中国建设标准化协会网站成都设计院工资一般多少

中国建设标准化协会网站,成都设计院工资一般多少,做薪酬调查有哪些网站,专注南昌网站建设凌晨2点#xff0c;告警电话响了。 “网站打不开#xff0c;显示证书过期。” 一看日历#xff0c;证书有效期90天#xff0c;刚好今天到期。忘续了。 从那以后#xff0c;我把所有证书都做了自动续期。整理一下踩过的坑。 常见的坑 坑1#xff1a;证书过期 这是最常见的…凌晨2点告警电话响了。“网站打不开显示证书过期。”一看日历证书有效期90天刚好今天到期。忘续了。从那以后我把所有证书都做了自动续期。整理一下踩过的坑。常见的坑坑1证书过期这是最常见的问题。证书有有效期过期了浏览器就报错。检查方法# 查看证书过期时间openssl s_client -connect example.com:443 -servername example.com2/dev/null|openssl x509 -noout -dates# 输出notBeforeDec2300:00:002024GMTnotAfterMar2223:59:592025GMT或者用这个一行命令echo|openssl s_client -connect example.com:4432/dev/null|openssl x509 -noout -enddate坑2证书链不完整现象PC浏览器正常手机浏览器报错。# 检查证书链openssl s_client -connect example.com:443 -servername example.com# 正常应该显示完整的证书链Certificate chain0s:/CNexample.com i:/CUS/OLets Encrypt/CNR3 1 s:/CUS/OLets Encrypt/CNR3 i:/CUS/OInternet Security Research Group/CNISRG Root X1如果只有0没有1说明中间证书没配。解决# 下载中间证书拼到一起catexample.com.crt intermediate.crtfullchain.crtNginx配置ssl_certificate /etc/nginx/ssl/fullchain.crt; ssl_certificate_key /etc/nginx/ssl/example.com.key;坑3证书和域名不匹配# 检查证书包含的域名openssl x509 -in cert.crt -noout -text|grep-A1Subject Alternative Name# 输出X509v3 Subject Alternative Name: DNS:example.com, DNS:www.example.com如果访问api.example.com但证书只包含example.com就会报错。解决申请泛域名证书*.example.com。坑4私钥和证书不匹配# 检查私钥和证书是否匹配openssl x509 -noout -modulus -in cert.crt|md5sum openssl rsa -noout -modulus -in private.key|md5sum# 两个md5值应该一样如果不一样说明证书和私钥不是一对需要重新申请。坑5多域名证书配置错误一个证书包含多个域名但Nginx配置错了。# 错误每个server block用不同证书 server { server_name example.com; ssl_certificate /etc/nginx/ssl/example.crt; } server { server_name api.example.com; ssl_certificate /etc/nginx/ssl/api.crt; # 应该用同一个 } # 正确多域名证书只需要配一次 server { server_name example.com www.example.com api.example.com; ssl_certificate /etc/nginx/ssl/fullchain.crt; # 包含所有域名的证书 }Let’s Encrypt自动续期Let’s Encrypt的证书90天过期必须做自动续期。安装certbot# Ubuntu/Debianaptinstallcertbot python3-certbot-nginx# CentOSyuminstallcertbot python3-certbot-nginx申请证书# 自动配置Nginxcertbot --nginx -d example.com -d www.example.com# 或者只申请证书自己配置certbot certonly --nginx -d example.com手动续期# 测试续期不会真的续期certbot renew --dry-run# 真正续期certbot renew自动续期certbot安装后会自动创建定时任务但建议检查一下# 查看定时任务systemctl list-timers|grepcertbot# 或者查看croncat/etc/cron.d/certbot如果没有手动添加# 每天凌晨2点检查续期02* * * root certbot renew --quiet --post-hooksystemctl reload nginx--post-hook是续期成功后执行的命令用来重载Nginx。续期失败排查# 查看日志tail-100 /var/log/letsencrypt/letsencrypt.log# 常见原因# 1. 80端口被占用验证失败# 2. DNS解析不对# 3. 防火墙拦截了验证请求acme.sh自动续期比certbot更轻量纯shell实现。安装curlhttps://get.acme.sh|shsource~/.bashrc申请证书# 使用DNS验证推荐不需要80端口exportAli_Keyyour_keyexportAli_Secretyour_secretacme.sh --issue --dns dns_ali -d example.com -d*.example.com# 使用HTTP验证acme.sh --issue -d example.com -w /var/www/html安装证书acme.sh --install-cert -d example.com\--key-file /etc/nginx/ssl/example.key\--fullchain-file /etc/nginx/ssl/fullchain.crt\--reloadcmdsystemctl reload nginxacme.sh会自动设置定时任务续期。证书监控续期做好了还要有监控兜底。脚本监控#!/bin/bash# check_ssl.shDOMAINSexample.com api.example.comALERT_DAYS7WEBHOOKhttps://oapi.dingtalk.com/robot/send?access_tokenxxxfordomainin$DOMAINS;doexpire_date$(echo|openssl s_client -connect ${domain}:443 -servername ${domain}2/dev/null|openssl x509 -noout -enddate|cut-d-f2)expire_ts$(date-d${expire_date}%s)now_ts$(date%s)days_left$((($expire_ts-$now_ts)/86400))if[$days_left-lt$ALERT_DAYS];thencurl-s -HContent-Type: application/json\-d{\msgtype\:\text\,\text\:{\content\:\[证书告警]${domain}还有${days_left}天过期\}}\$WEBHOOKfiecho${domain}: 剩余${days_left}天done加到crontab每天跑一次09* * * /opt/scripts/check_ssl.shPrometheus监控用blackbox_exporter# blackbox.ymlmodules:https_2xx:prober:httphttp:valid_http_versions:[HTTP/1.1,HTTP/2]valid_status_codes:[200]tls_config:insecure_skip_verify:false# prometheus.yml-job_name:ssl_expirymetrics_path:/probeparams:module:[https_2xx]static_configs:-targets:-https://example.com-https://api.example.comrelabel_configs:-source_labels:[__address__]target_label:__param_target-source_labels:[__param_target]target_label:instance-target_label:__address__replacement:blackbox_exporter:9115Grafana面板告警# 证书剩余天数 probe_ssl_earliest_cert_expiry - time() 86400 * 7多服务器证书同步如果有多台服务器用同一个证书续期后需要同步。方案一rsync同步#!/bin/bash# sync_ssl.shSERVERS10.0.0.2 10.0.0.3 10.0.0.4CERT_PATH/etc/nginx/sslforserverin$SERVERS;dorsync-avz${CERT_PATH}/ root${server}:${CERT_PATH}/sshroot${server}systemctl reload nginxdone方案二共享存储证书放在NFS/对象存储上所有服务器挂载同一个目录。方案三配置中心把证书存在配置中心Consul、Nacos服务启动时拉取。运维小技巧我们有几台Web服务器在不同城市证书统一管理比较麻烦。用星空组网把所有服务器组到一起后用Ansible一个命令就能把证书同步到所有节点ansible webservers -m copy -asrc/etc/nginx/ssl/ dest/etc/nginx/ssl/ansible webservers -m shell -asystemctl reload nginxHTTPS最佳配置顺便提一下Nginx的HTTPS优化配置# SSL配置 ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off; # Session复用 ssl_session_cache shared:SSL:10m; ssl_session_timeout 1d; ssl_session_tickets off; # OCSP Stapling ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid300s; resolver_timeout 5s; # HSTS add_header Strict-Transport-Security max-age63072000 always;总结问题原因解决方案证书过期忘了续期自动续期监控告警证书链不完整缺少中间证书fullchain配置域名不匹配证书不包含该域名泛域名证书私钥不匹配证书和私钥不是一对重新申请手机报错PC正常证书链问题检查中间证书证书管理核心自动续期是必须的监控告警是兜底多服务器要有同步机制定期检查证书状态别等凌晨被叫醒才想起来。有SSL相关经验欢迎交流~