我在 katefromhrbot.com 上运行一个 nodejs express 应用程序的 linux 服务器,我使用了Nginx 和 Ubuntu 18.04 LTS 的 certbot 指南为其提供安全的 https 域支持。它现在正在运行,但最近我收到了一封令人担忧的电子邮件,让我心里紧张不已,因为电子邮件说,如果我不采取行动,我的证书将在不久的将来终止并过期!我对此感到困惑,因为 certbot 的最后一步说:“除非您更改配置,否则您不需要再次运行 Certbot。您可以通过运行此命令来测试证书的自动续订”。我最初设置它时已经运行了续订试运行命令,所以我很困惑为什么我首先需要为续订做任何事情。
答案1
您的自动续订功能运行正常;-)
要了解这种情况,有一个“细节”你没有提到,因为你忘记了它或者只是觉得不重要......无论如何,让我们仔细研究一下并得到你想要的答案。
正如您正确引用的说明一样,您写下了答案,即使您不知道这一点;-):“除非您更改配置,否则您无需再次运行 Certbot。您可以通过运行此命令来测试证书的自动续订”
此案例的“终止”日期是 2019 年 9 月 19 日,届时您将更改设置。对于您提到的域名,曾经有两个证书,只有一个在使用中,并且自动续订。第二个证书已停止使用但未被撤销。从技术上讲,这不是问题,因为它无论如何都会在 90 天内过期,但作为“未撤销且即将过期”的证书,您已收到正确的通知……
您已开始使用证书2019年7月11日当您为域名生成证书时katefromhrbot.com带有序列号3:81:51:37:84:6E:0A:8B:14:5C:71:24:87:D3:11:89:EB:57将于2019年10月9日到期。
在2019年9月9日您的设置正确,使用相同的配置和序列号自动更新证书3:23:0B:95:64:05:5D:66:52:C1:0A:55:B0:79:D6:CE:85:BE2019 年 12 月 8 日到期。2019年9月19日你必须意识到katefromhrbot.com存在于证书中,并且通过更改设置颁发了第二份证书,其中包含katefromhrbot.com和www.katefromhrbot.com带有串行3:43:48:28:2E:A4:5C:87:37:6B:B3:C1:92:26:BB:11:05:2D2019 年 12 月 17 日到期。自此配置更改以来,仅保留了第二个证书进行自动续订。第一个证书没有被撤销,只是停止使用。
在2019年11月18日正在使用的证书(具有 2 个 FQDN)已续订,并且已颁发了新的证书,序列号3:22:18:44:D5:0A:64:51:90:52:48:76:37:10:7B:B5:41:712020 年 2 月 16 日到期。
您提到的通知与序列号证书有关3:23:0B:95:64:05:5D:66:52:C1:0A:55:B0:79:D6:CE:85:BE您的系统上已用新证书替换了该证书。在 Let's encrypt 方面,该证书有效且即将过期,因此已发出通知。
证书的有效期为 90 天。建议在有效期的 2/3 处续订 - 到期前 30 天。有关证书到期的第一次通知将在有效期结束前 20 天发出。续订成功后,将获得新的证书相同/匹配的 SAN(主题备用名称)可用,则不会发送通知。因此,在发出通知之前至少需要尝试 9 次。
我希望这个答案能让您清楚了解并解答与该过程的疑问相关的所有问题。