记一次更换网站SSL证书--打包在traefik里面使用docker部署

突然发现网站访问时提示：您的连接不是私密连接 攻击者可能会试图从 www.xxxxx.com 窃取您的信息（例如：密码、通讯内容或信用卡信息）。了解详情 NET::ERR_CERT_DATE_INVALID，这就很尴尬了，第一次遇到这种情况，还以为域名解析出错了呢。

点开高级按钮，发现是因为SSL证书过期了。

那么开始更换SSL证书。
选择

填写申请信息


然后就等审核结果就好了。

以为审核会很慢，结果五分钟后刷新下，发现已经审核通过了。

证书下载页面，包含了Tomcat，Apache、nginx、IIS等证书，可以根据需要下载。

Apache证书里面包含：

我这里只需要替换原来traefik中的.key 和.crt证书即可。

traefik.toml文件内容如下：

# traefik.toml
################################################################
# 全局配置文件
################################################################

# 设置超时的时间（以秒为单位）
# 在热更新期间给还在活动中的请求来完成当前任务的超时时间
#
# 可选
# 默认: 10
#
# graceTimeOut = 10

# 开启调试模式
#
# 可选
# 默认: false
#
# debug = true

# 定期检查是否有新版本产生
#
# 可选
# 默认: true
#
# checkNewVersion = false

# Traefik 日志文件
# 如果没有定义, 日志文件输出到 stdout
#
# 可选
#
traefikLogsFile = "log/traefik.log"

# 日志文件路径
#
# 可选
#
accessLogsFile = "log/access.log"

# 日志等级
#
# 可选
# 默认: "ERROR"
# 接受以下值，按照严重程度排序: "DEBUG", "INFO", "WARN", "ERROR", "FATAL", "PANIC"
# 日志等级在配置值或配置值以上的信息将被日志记录。
#
# logLevel = "ERROR"

# 后端节流持续时间：在应用新配置之前，提供者的2个事件之间的最短持续时间（以秒为单位）
# 如果在短时间内发送多个事件，它可以避免不必要的重新加载。
#
# 可选
# 默认: "2"
#
# ProvidersThrottleDuration = "5"

# 为每个host控制最大空闲连接（keep-alive）。如果设置为0，那么将会使用
# Go语言基础库net/http中的DefaultMaxIdleConnsPerHost。
# 如果造成 'too many open files' 错误，你也可以增加这个值或改变 `ulimit`。
#
# 可选
# 默认: 200
#
# MaxIdleConnsPerHost = 200

# 如果设置为 true, 无效的 SSL 证书也会被后端所接受。If set to true invalid SSL certificates are accepted for backends.
# 注意：这会禁用中间人攻击（man-in-the-middle attacks）监测，所以只能被用在安全的后端网络中。
#
# 可选
# 默认: false
#
# InsecureSkipVerify = true

# 被前端所使用的入口点未指定任何入口点。
# 任何前端可以指定它自己的入口点。
#
# 可选
# 默认: ["http"]
#
defaultEntryPoints = ["http", "https"]
[entryPoints]
  [entryPoints.http]
  address = ":80"
#    [entryPoints.http.redirect]
#     entryPoint = "https"
  [entryPoints.https]
  address = ":443"
    [entryPoints.https.tls]
      [[entryPoints.https.tls.certificates]]
      CertFile = "/www.xxxxxx.com_public.crt"
      KeyFile = "/www.xxxxxx.com.key"
      [[entryPoints.https.tls.certificates]]
      CertFile = "/yyyyyy/yyyyyy.com.pem"
      KeyFile = "/yyyyyy/yyyyyy.com.key"
#     [[entryPoints.https.tls.certificates]]
#     CertFile = "/www.111111.com_public.crt"
#     KeyFile = "/www.11111.com.key"

配置的证书名称需要对应：CertFile 的路径需要对应证书文件名称和路径。

traefik项目路径：

接下来就是打包部署了。

如果使用了docker集群，需要将所有的traefik版本全部更新完成之后，新的SSL才会生效。

建议先从节点服务器开始更新，避免影响其他业务。