gpt4 book ai didi

php - 我如何为指向我的服务器的域动态创建新的 LetsEncrypt/Certbot SSL 证书?

转载 作者:太空宇宙 更新时间:2023-11-03 13:59:27 25 4
gpt4 key购买 nike

我正在构建一个网络应用程序(示例:www.mywebapp.example),允许用户指向他们的域 - www.xyz.example - 至 www.mywebapp.example .当用户转到 www.xyz.example , 他们的内容将从 www.mywebapp.example 提供反而。用户将被告知如何更新他们的 @www A records在他们的域提供商 DNS 设置中连接 www.xyz.examplewww.mywebapp.example .

我可以使用 ./certbot-auto -d <domain-name> 手动创建新的 SSL 证书对于每个域。我还设置了一个 cron 作业来测试更新。

但是,我想通过运行一个 PHP 脚本来自动执行此过程,每次用户将其域连接到 www.mywebapp.example 时,该脚本由 JavaScript 函数触发。 .我的问题是:

  1. 我应该执行 ./certbot-auto 吗?使用 exec()/shell_exec() 的 PHP 命令命令?我应该编写一个单独的 bash 脚本并改为运行 bash 脚本吗?

  2. 我应该使用 LetsEncrypt 推荐的 ACME PHP 库吗 - https://letsencrypt.org/docs/client-options/

  3. 我为域手动创建了一个新的 SSL 证书 www.xyz2.example ,成功指向www.mywebapp.example .但是,这破坏了对所有现有域的 SSL 支持 - *.mywebapp.example, mywebapp.example, www.xyz.example .我是否需要为指向 www.mywebapp.example 的每个域创建虚拟主机? ?

  4. 我需要编辑吗 /etc/httpd/conf.d/ssl.conf添加新的虚拟主机?多个域可以使用相同的DocumentRoot路径?

我已经通读了以下所有链接,但仍然很困惑:

非常感谢任何帮助。如果需要更多信息,请告诉我。

我的服务器设置是:

  • AWS EC2

最佳答案

你有很多问题。

Should I execute the ./certbot-auto command from PHP using the exec()/shell_exec() command? Should I write a separate bash script and run the bash script instead?

在一般情况下:否。

一旦到达网页,PHP 就会执行,因此它存在于当前的 HTTP session 中,另一端的浏览器将在某种有限的时间内等待某种响应(并且用户会生气,如果他们看不到出现“快速”的东西)。

如果你执行一些事情,你有两个选择:

  1. 你等待外部程序完成:问题,这可能是在“不确定”的时间之后,所以如果不考虑这一点,用户将永远不会在浏览器中看到任何东西
  2. 你在后台启动它,你不等待它完成:问题,你不需要它是否成功,所以即使你能够向浏览器回复“某事”,你将如何处理故障?

这种情况的通用解决方案是:

  1. HTTP访问触发的 Action 只是记录请求,就像在数据库里什么的
  2. 独立地,一个进程轮询数据库以查找要执行的任务并执行它们;这完全独立于任何网络服务器;当作业完成(成功或失败)时,数据库将以相同的方式更新
  3. 1) 处的进程可以定期轮询数据库以查看状态(待定、完成或失败)并向用户显示一条消息,例如在其访问期间,通过某种自动刷新,和/或提供特定的单独用户可以在其中跟踪其操作状态的页面

Should I use an ACME PHP library recommended by LetsEncrypt - https://letsencrypt.org/docs/client-options/

您可以使用以任何语言正确实现 ACME 协议(protocol)的任何库。

Let's Encrypt 只推荐一款软件:certbot。该页面中列出的所有其他内容都是预期有效的客户端库/程序的示例。

Do I need to create virtual hosts for each domain pointing to www.mywebapp.example?

是的,特别是如果他们每个人都使用一个特定的证书,否则网络服务器将无法根据浏览器提供的主机名(在 SNI 扩展中)识别正确的证书以在 TLS 握手开始时返回在 TLS 握手开始时使用)

或者您可以使用 Apache 的一些海量虚拟主机功能,例如 https://httpd.apache.org/docs/2.4/mod/mod_vhost_alias.html然而,这可能意味着添加了所有名称的单个证书,这在技术上可以工作直到一定数量的名称,但可能会产生非技术问题(比如看到所有名称等)

当然,其他软件,如 Nging/HAProxy 可以提供更高级的功能,您不需要为每个虚拟主机配置虚拟主机,即使使用不同的证书,您只需使用特定的命名将东西放在适当的位置,网络服务器就会根据需要匹配事物。

Do I need to edit /etc/httpd/conf.d/ssl.conf to add the new virtual hosts?

是的,或者任何其他文件,只要您使用 Include 或类似文件即可。

如果你管理许多不同的和独立的网站,每个网站有一个配置文件可能更简单,包括它的证书路径等,许多 Linux 发行版安装 Apache 的方式是你有 /etc/httpd/sites-enabled/ 用于该功能。如果没有,您也可以自己做同样的事情。

Can multiple domains use the same DocumentRoot path?

当然可以。

PS:请不要再说SSL了,这个协议(protocol)叫TLS,20年前发明的。 SSL 早已不复存在,当前的建议是运行 TLS 1.2,除非有充分的理由也允许具有漏洞的 1.1 和 1.0。由于这个原因并且因为它们是用词不当,所以没有“SSL证书”。 TLS 可以在没有证书的情况下工作,并且这些证书可以在 TLS 之外使用,例如在 S/MIME 中。它们是 X.509 证书。

关于php - 我如何为指向我的服务器的域动态创建新的 LetsEncrypt/Certbot SSL 证书?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55388724/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com