php - 我如何为指向我的服务器的域动态创建新的 LetsEncrypt/Certbot SSL 证书？

Question

我正在构建一个网络应用程序(示例:www.mywebapp.example)，允许用户指向他们的域 - www.xyz.example - 至 www.mywebapp.example .当用户转到 www.xyz.example , 他们的内容将从 www.mywebapp.example 提供反而。用户将被告知如何更新他们的 @和 www A records在他们的域提供商 DNS 设置中连接 www.xyz.example至 www.mywebapp.example .

我可以使用 ./certbot-auto -d <domain-name> 手动创建新的 SSL 证书对于每个域。我还设置了一个 cron 作业来测试更新。

但是，我想通过运行一个 PHP 脚本来自动执行此过程，每次用户将其域连接到 www.mywebapp.example 时，该脚本由 JavaScript 函数触发。 .我的问题是:

1. 我应该执行 ./certbot-auto 吗？使用 exec()/shell_exec() 的 PHP 命令命令？我应该编写一个单独的 bash 脚本并改为运行 bash 脚本吗？

2. 我应该使用 LetsEncrypt 推荐的 ACME PHP 库吗 - https://letsencrypt.org/docs/client-options/

3. 我为域手动创建了一个新的 SSL 证书 www.xyz2.example ，成功指向www.mywebapp.example .但是，这破坏了对所有现有域的 SSL 支持 - *.mywebapp.example, mywebapp.example, www.xyz.example .我是否需要为指向 www.mywebapp.example 的每个域创建虚拟主机？ ？

4. 我需要编辑吗 /etc/httpd/conf.d/ssl.conf添加新的虚拟主机？多个域可以使用相同的DocumentRoot路径？

我已经通读了以下所有链接，但仍然很困惑:

• > https://httpd.apache.org/docs/2.4/vhosts/name-based.html
• > https://serverfault.com/questions/7308/dynamic-virtual-hosts-in-apache
• > https://serverfault.com/questions/126554/multiple-domains-with-ssl-on-same-ip
• > certbot-auto / letsencrypt setting up one key for multiple domains pointing to the same server

非常感谢任何帮助。如果需要更多信息，请告诉我。

我的服务器设置是:

• 灯
• AWS EC2

Answer 1

你有很多问题。

Should I execute the ./certbot-auto command from PHP using the exec()/shell_exec() command? Should I write a separate bash script and run the bash script instead?

在一般情况下:否。

一旦到达网页，PHP 就会执行，因此它存在于当前的 HTTP session 中，另一端的浏览器将在某种有限的时间内等待某种响应(并且用户会生气，如果他们看不到出现“快速”的东西)。

如果你执行一些事情，你有两个选择:

1. 你等待外部程序完成:问题，这可能是在“不确定”的时间之后，所以如果不考虑这一点，用户将永远不会在浏览器中看到任何东西
2. 你在后台启动它，你不等待它完成:问题，你不需要它是否成功，所以即使你能够向浏览器回复“某事”，你将如何处理故障？

这种情况的通用解决方案是:

1. HTTP访问触发的 Action 只是记录请求，就像在数据库里什么的
2. 独立地，一个进程轮询数据库以查找要执行的任务并执行它们；这完全独立于任何网络服务器；当作业完成(成功或失败)时，数据库将以相同的方式更新
3. 1) 处的进程可以定期轮询数据库以查看状态(待定、完成或失败)并向用户显示一条消息，例如在其访问期间，通过某种自动刷新，和/或提供特定的单独用户可以在其中跟踪其操作状态的页面

Should I use an ACME PHP library recommended by LetsEncrypt - https://letsencrypt.org/docs/client-options/

您可以使用以任何语言正确实现 ACME 协议(protocol)的任何库。

Let's Encrypt 只推荐一款软件:certbot。该页面中列出的所有其他内容都是预期有效的客户端库/程序的示例。

Do I need to create virtual hosts for each domain pointing to www.mywebapp.example?

是的，特别是如果他们每个人都使用一个特定的证书，否则网络服务器将无法根据浏览器提供的主机名(在 SNI 扩展中)识别正确的证书以在 TLS 握手开始时返回在 TLS 握手开始时使用)

或者您可以使用 Apache 的一些海量虚拟主机功能，例如 https://httpd.apache.org/docs/2.4/mod/mod_vhost_alias.html然而，这可能意味着添加了所有名称的单个证书，这在技术上可以工作直到一定数量的名称，但可能会产生非技术问题(比如看到所有名称等)

当然，其他软件，如 Nging/HAProxy 可以提供更高级的功能，您不需要为每个虚拟主机配置虚拟主机，即使使用不同的证书，您只需使用特定的命名将东西放在适当的位置，网络服务器就会根据需要匹配事物。

Do I need to edit /etc/httpd/conf.d/ssl.conf to add the new virtual hosts?

是的，或者任何其他文件，只要您使用 Include 或类似文件即可。

如果你管理许多不同的和独立的网站，每个网站有一个配置文件可能更简单，包括它的证书路径等，许多 Linux 发行版安装 Apache 的方式是你有 /etc/httpd/sites-enabled/ 用于该功能。如果没有，您也可以自己做同样的事情。

Can multiple domains use the same DocumentRoot path?

当然可以。

PS:请不要再说SSL了，这个协议(protocol)叫TLS，20年前发明的。 SSL 早已不复存在，当前的建议是运行 TLS 1.2，除非有充分的理由也允许具有漏洞的 1.1 和 1.0。由于这个原因并且因为它们是用词不当，所以没有“SSL证书”。 TLS 可以在没有证书的情况下工作，并且这些证书可以在 TLS 之外使用，例如在 S/MIME 中。它们是 X.509 证书。