如何查看Let‘s encrypt 证书ssl到期时间与自动续期

之前,有一个域名使用了网上免费的 ssl 证书,然后想在该证书过期后更换为 Let's encrypt 的免费证书,便想查询下该域名 ssl 证书还剩多少天过期。

查询证书到期时间的方法还是很简单的,以下使用 sslforfree.com 这个域名进行测试,下面简单的记录一下步骤。

方法一:直接浏览器上查看

该方法的前提是你的域名已经指向了 web 服务器,在浏览器上可以正常访问。

首先使用浏览器访问你的站点域名,然后单击地址栏上面的锁图标进行查看:

上面使用的是firefox浏览器进行查看,其它浏览器应该查看的方法也基本一样。

方法二:在服务端使用 Openssl 工具进行查看

由于我服务端是搭建在 Centos 上,所以用 xshell 或者 putty 工具登录后,进入证书目录,使用 openssl 命令进行查看:

# cd :/etc/letsencrypt/sslforfree.com_ecc

# openssl x509 -in cert.pem -noout -dates

上面改成你自己证书的所在目录,证书名称也改成你自己服务端上证书的名称。

方法三:使用 php 代码方法进行查看

如果你有多个可访问的域名,那么使用代码的方法进行查看就会容易很多,省得一个一个手动查看。下面贴上代码:

 
  1. /**

  2. * 获取证书有效期

  3. */

  4. public function getValidity(){

  5. $domain = "sslforfree.com";

  6. $context = stream_context_create(array("ssl" => array("capture_peer_cert_chain" => true)));

  7. $socket = stream_socket_client("ssl://$domain:443", $errno, $errstr, 30, STREAM_CLIENT_CONNECT, $context);

  8. $context = stream_context_get_params($socket);

  9. foreach ($context["options"]["ssl"]["peer_certificate_chain"] as $value) {

  10. //使用openssl扩展解析证书,这里使用x509证书验证函数

  11. $cerInfo = openssl_x509_parse($value);

  12. if(strpos($cerInfo['name'],$domain)) {

  13. echo "start:".date("Y-m-d",$cerInfo['validFrom_time_t'])."
    ";

  14. echo "end:".date("Y-m-d",$cerInfo['validTo_time_t']);

  15. }

  16. }

  17. }

输出内容:

start:2018-04-06
end:2018-07-05

上面的 $cerInfo 信息参数很多,敢兴趣的可以打印出来看下。

上面介绍了几个查看 ssl 证书到期的方法,一般来说最常用的方法就是直接在浏览器上进行查看了,方便快捷

 

 

自动续期

获取Let's Encrypt的ssl

##获取

wget https://dl.eff.org/certbot-auto  

##设置为可执行

chmod a+x certbot-auto

 

执行自动部署

./certbot-auto

部署过程中会下载一大堆的依赖包,不需要紧张。如果需要确认,(输入"y")确认就好了

这里注意下,在执行过程中,会卡在'Installing Python packages',等待一段时间下载Phthon lib

 

依赖包下载完后会进入交互界面,依次是: 填写邮箱、域名(多域名用空格或逗号隔开)、条款确认、验证域名所有权(这一步可以选择第一种方式,手动选择tomcat的root目录)

执行成功后会显示

Congratulations! Your certificate and chain have been saved at  

/etc/letsencrypt/live/xxx.com/fullchain.pem. Your cert will

expire on 2016-10-05. To obtain a new or tweaked version of this

certificate in the future, simply run certbot-auto again. To

non-interactively renew *all* of your certificates, run

"certbot-auto renew"

此时的生成的证书文件(.pem)都已经在如下路径了

/etc/letsencrypt/

#主要用到的文件(.pem)在

/etc/letsencrypt/live/xxxxx(域名)/

 

自动续期脚本

 

Let's Encrypt申请的证书会有三个月的有效期,可以到期前手动续约,也可以自己写定时脚本任务自动续约。嫌手动麻烦,就写了个简单的续期脚本。

 

1、脚本

复制代码

#/bin/sh
#续期   说明:只用renew的话,会先检查证书是否需要更新,大概是距离到期还有三天或者十几天之内才会执行更新,否则会提示不需要更新。(昨天更新了证书,今天直接用renew,提示不允许更新)
#这里方便测试,增加参数--force-renew,能够强制立即更新(但好像也会有检查,时间会变短,比如我刚才更新过了,马上再次执行会报错并提示不需要更新)。
./certbot-auto renew --force-renew
#生成p12
cd /mnt/web/letsTemp &&  openssl pkcs12 -export -in fullchain.pem -inkey privkey.pem -out fullchain_and_key.p12 -name tomcat -passin passyourPKCS12pass  -passout pass:yourPKCS12pass  
#移动新生成的证书文件
cp /etc/letsencrypt/live/yourDomain/fullchain.pem /mnt/web/letsTemp
cp /etc/letsencrypt/live/yourDomain/privkey.pem /mnt/web/letsTemp
#生成jks文件
#备份并删除原jks文件
mv /mnt/web/letsTemp/MyDSKeyStore.jks /mnt/web/letsTemp/MyDSKeyStore`date '+%Y-%m-%d'`.jks
cd /mnt/web/letsTemp && keytool -importkeystore -deststorepass yourKeyPass  -destkeypass yourKeyPass  -destkeystore MyDSKeyStore.jks -srckeystore fullchain_and_key.p12 -srcstoretype PKCS12 -srcstorepass yourPKCS12pass  -alias tomcat
#重启服务器
/mnt/web/tomcat/tomcat8/bin/restartup.sh

复制代码

 

 

 

2、定时任务

脚本有了,还需要在linux中添加一个定期执行脚本的任务,这里用linux自带的cron来处理这部分。

crontab -e

在打开的编辑器中添加如下内容(每个月1号凌晨3点更新)

0    0  3 *  *  sh /mnt/web/lets/ssl_auto_auth.sh >/dev/null 2>&1 &

你可能感兴趣的:(如何查看Let‘s encrypt 证书ssl到期时间与自动续期)