Let’s Encrypt 是一个免费、开放,自动化的证书颁发机构,由 ISRG(Internet Security Research Group)运作。
然而有一个问题,Let’s Encrypt 的证书只有三个月的有效期,虽说服务器会自动续签,但是续签之后的证书不能自动推送到阿里云 CDN,博主手上有几个站点都使用的 Let’s Encrypt,手动上传证书是在是太麻烦了。
前几个月,朋友 Hintay 写了一个 Python 脚本,利用了阿里云 OpenAPI 的 SDK,实现推送 Let’s Encrypt 证书到阿里云 CDN,脚本只能提交一个域名。前段时间一直很忙,就没有跟进这件事,今天有空把脚本改成批量推送了,并且在服务器上用 Crontab 开了定时,因为证书会至少提前一个月自动续期,所以设置成每周一检,就很舒服了。
下面上 Python
#!/usr/bin/python
# -*- coding:utf-8 -*-
#
# Copyright (c) 2017 Hintay <hintay@me.com> & 0xJacky <jacky-943572677@qq.com>
#
# !请先使用 pip install aliyun-python-sdk-cdn 安装 sdk!
from aliyunsdkcore import client
from aliyunsdkcdn.request.v20141111 import SetDomainServerCertificateRequest
import datetime
import os
import collections
import hashlib
import json
ABS_PATH = os.path.abspath('.')
JSON_PATH = os.path.join(ABS_PATH, 'data.json')
## 配置开始
# 访问 https://ak-console.aliyun.com/index#/accesskey 获取
AccessKeyId = ''
AccessKeySecret = ''
# 指定证书所属加速域名,需属于https加速类型
# !!! 修改域名元组后请将 data.json 删除
DomainName = ['jackyu.cn', 'beta.uozi.org']
Letsencrypt_path = os.path.join('/etc/letsencrypt')
live_cert = os.path.join(Letsencrypt_path, 'live')
## 配置结束
# 获取证书 md5 返回: 字典
def key_md5():
domain = collections.OrderedDict()
for d in DomainName:
privkey = os.path.join(live_cert, d, 'privkey.pem')
file = open(privkey, 'rb')
md5 = hashlib.md5(file.read()).hexdigest()
domain[d] = md5
return domain
# 写入数据
def write_data(domain):
with open(JSON_PATH, 'w') as json_file:
json_file.write(json.dumps(domain))
# 获取数据
def load_data():
with open(JSON_PATH) as json_file:
data = json.load(json_file)
return data
# 判断数据文件是否存在
if not os.path.exists(JSON_PATH):
# 将私钥的 md5 写入 Json
write_data(key_md5())
domain = key_md5()
data = load_data()
for d in DomainName:
if not data[d] == domain[d]:
try:
Client = client.AcsClient(AccessKeyId, AccessKeySecret, 'cn-hangzhou')
request = SetDomainServerCertificateRequest.SetDomainServerCertificateRequest()
request.set_accept_format('json')
CertName = d + '_' + datetime.datetime.now().strftime("%Y%m%d_%H%M%S") # 证书名称,默认域名+日期时间
ServerCertificate_path = os.path.join(live_cert, d, 'fullchain.pem') # 安全证书路径
PrivateKey_path = os.path.join(live_cert, d, 'privkey.pem') # 私钥路径
request.set_DomainName(d)
request.set_CertName(CertName)
request.set_ServerCertificateStatus('on')
ServerCertificate = open(ServerCertificate_path, 'r').read()
ServerCertificate = open(ServerCertificate_path, 'r').read()
PrivateKey = open(PrivateKey_path, 'r').read()
request.set_ServerCertificate(ServerCertificate)
request.set_PrivateKey(PrivateKey)
result = Client.do_action_with_exception(request)
print(result)
except ServerException as e:
print('Domain:'+d+'Error:'+e)
# 更新数据文件
os.remove(JSON_PATH)
write_data(key_md5())
文章最后修订于 2020年5月14日
为啥是if not data[d] == domain[d]:
不是 if data[d] == domain[d]:
@jilmy: md5值相等的话就不用重复推送了
@Jacky: 是的,我刚刚发现,感谢
@jilmy: 扩展项目是这个 https://github.com/0xJacky/cdn_cert 如果您发现代码有逻辑问题可以提个 pr
@Jacky: 好的,学习了
PrivateKey 需要为RSA格式啊,要先转一下吧
@Harry: 这个 issue 已经在 cdn_cert 项目中修正