使用三五互聯(lián)SSL工具實現(xiàn)自動更新SSL證書的流程

SSL證書默認有效期分3個月和1年兩種。您必須在證書到期前的30個自然日內(nèi)續(xù)費并更新證書，才能延長證書的服務時長。證書續(xù)費時，
會頒發(fā)一個新的證書，您收到新證書后需要手工更新到服務器上。部分證書支持一次性購買多年，但仍然是每次簽發(fā)一年的證書，到期前30天左右會自動重新簽發(fā)。

如果管理的證書較多，經(jīng)常去手工更新不但麻煩而且容易遺漏或出錯。因此三五互聯(lián)提供了本工具來實現(xiàn)證書續(xù)費重新頒發(fā)后的自動更新流程。

要想實現(xiàn)證書的自動化續(xù)費，需要滿足條件：

1. 自動化DNS驗證 （SSL證書和域名在相同的三五互聯(lián)會員帳號下，如果是騰訊、阿里的域名，支持在我司控制面板中設置apikey的方式來完成驗證，
   如果域名在第三方平臺，建議轉入我司統(tǒng)一管理，否則需要在重簽證書時再次驗證）
   

2. 證書重新簽發(fā)后能自動更新證書。（如果證書是用于三五互聯(lián)的虛擬主機/高防服務器/亞數(shù)云服務器，在完成證書續(xù)費重新頒發(fā)后，
   系統(tǒng)會自動更新證書不需要任何操作。證書用于三五互聯(lián)普通云服務器或第三方的服務器場景時，可通過本工具和任務計劃實現(xiàn)自動更新ssl證書 ,
   使用此工具您的證書需在我司申請或者托管證書在我司.）

3. 能滿足以上條件的場景，在購買時選中“自動續(xù)費”功能，就能一勞永逸。需要確保會員余額足夠。

35ssl工具有Windows和linux兩個版本. 此工具用于三五互聯(lián)普通云服務器或第三方的服務器場景，可實現(xiàn)證書重簽后對證書自動更新，同時也支持通過命令行方式調用API
批量購買新證書（見文尾幫助）。

環(huán)境要求:服務器上必須已經(jīng)部署過ssl證書,web服務為iis/apache/nginx中的一種. 
（證書的首次部署不屬于本文介紹的范圍，一般來說windows主機可通過我司提供的網(wǎng)站管理助手部署，Linux主機一般通過寶塔面板部署）

使用35ssl工具需要設置ssl證書的專用api密鑰,可以在"會員管理中心---賬號管理---設置中心---SSL證書API密鑰設置,這里設置"或者重置 .

(提交工單由我司幫您設置35ssl自動更新，此API密鑰必須提供至工單中)

linux(centos)系統(tǒng)下載方法 ssh遠程服務器,然后執(zhí)行  

wget http://downinfo.myhostadmin.net/ssltool/35ssl.zip -O /root/35ssl.zip && unzip -o /root/35ssl.zip && rm -f /root/35ssl.zip && chmod +x /root/35ssl   

輸入 /root/35ssl 使用

Windows服務器系統(tǒng)下載方法 ,遠程服務器,使用瀏覽器下載  http://downinfo.myhostadmin.net/ssltool/35ssl.exe  （如下載提示無法安全下載，請右鍵點擊“將鏈接另存為”。） , 建議保存在 d:\cert 目錄。

cmd命令行切換到 d:\cert   .輸入 35ssl.exe 使用    

1.下載完畢后,首先進行初始化 (重要)  初始化完成會自動生成 .35ssl\config.ini,請勿刪除

/root/35ssl init 

重啟重載web服務命令可以選擇對應編號,也可以自己手動輸入,請務必據(jù)實輸入!

2.查看當前服務器證書列表   /root/35ssl show   

寶塔和三五互聯(lián)建站助手創(chuàng)建的web環(huán)境，系統(tǒng)會識別相關證書，不需要手工添加，可以忽略本步驟。

非寶塔和三五互聯(lián)建站助手創(chuàng)建的web環(huán)境, 需要手動添加ssl證書路徑，才能實現(xiàn)自動更新ssl證書。 在show命令下，輸入  1 表示添加一個域名證書。

3.您可以通過計劃任務方式,完成自動更新證書 ： 更新證書命令  /root/35ssl update  

linux任務計劃設置方式 

1.寶塔環(huán)境通過面板任務計劃添加每天定時更新

腳本內(nèi)容:

cd /root 

/root/35ssl update

保存任務計劃即可每天自動更新ssl證書

2. Linux非寶塔環(huán)境,使用命令“crontab -e”添加任務計劃 

30 1 * * * /root/35ssl update

以上命令代表每天1點30分,執(zhí)行自動更新ssl證書

Windows任務計劃設置方式

任務計劃程序添加定期運行此工具

在管理員身份運行cmd 執(zhí)行：

schtasks /create /RU system /SC DAILY /F /TN 35ssl_auto_update /TR  "D:\cert\35ssl.exe update -c D:\cert\.35ssl\config.ini"  /ST 01:00

其中：
35ssl_auto_update 計劃任務名稱
"D:\cert\35ssl.exe update -c D:\cert\.35ssl\config.ini" 要執(zhí)行的程序及參數(shù)
/ST 01:00 每天1:00執(zhí)行

成功創(chuàng)建計劃任務后即可每天1點自動更新ssl證書.

注：

1、 35ssl update 在windows系統(tǒng)下會在 .35ssl 下級目錄生成westcertapp.exe執(zhí)行文件，此是正常更新文件放心使用。

      若此文件執(zhí)行失敗IIS對應站點證書會更新失敗，會影響網(wǎng)站正常訪問。

2、35ssl update 這個命令會自動檢測當前服務器上所有證書的到期時間，如果離到期時間小于30天，或過期30天以內(nèi)的，

     會自動調用三五互聯(lián)SSL證書api接口，來檢查相關的域名有沒有新的證書頒發(fā)成功，如果有，則自動下載新證書進行替換，

     替換后會執(zhí)行相關的命令來重啟IIS/apache/ngix以使新證書生效。

3、如果通過IIS手動導入SSL證書時，證書存儲必須選擇  個人, 否則 35ssl無法識別

-----------------------------------------------------------------------------------------------------------------

用35ssl來批量購買證書的流程：(注：可以輸入35ssl.exe -h來顯示幫助提示，接iisue命令表示申請新證書)

D:\cert>35ssl.exe issue    

缺少必要參數(shù)!

申請證書

Usage:

  35ssl issue [flags]

Flags:

  -c, --config string   Config file (default "config.ini")

      --dns             SSL證書DNS驗證方式 [file,dns 驗證必須二選一]

  -d, --domain string   [必填]申請SSL證書域名;此參數(shù)支持3種模式:

                        1) 單域名.

                        2) 多個域名,必須用逗號(,)分隔.

                        3) 域名批量購買,必須是域名列表文件完整路徑,要購買的域名放在這個文件中一行一個.

      --file            SSL證書文件驗證方式 [file,dns 驗證必須二選一]

  -h, --help            help for issue

  -t, --type string     [必填]常見證書類型:

                        1) 通用型DV: dv-350

                        2) 試用90天DV: free-trial

                        更多產(chǎn)品型號請訪問API接口查詢 https://console-docs.apipost.cn/preview/4e5d940c9be19cda/73e3028374812fc5?target_id=9d27cd1e-6bfa-4665-9a8f-e421b7707a1c

D:\cert>35ssl.exe issue   --dns  -t free-trial -d mytest123.com

或者 ：

D:\cert>35ssl.exe issue   --dns  -t free-trial -d D:\cert\mydomains.txt   把要購買的域名都放在這個txt文件中批量購買。

-----------------------------------------------------------------------------------------------------------------

用35ssl來批量下載購買的證書

D:\cert>35ssl.exe online

在線SSL證書下載

Usage:

  35ssl online [flags]

Flags:

  -c, --config string   Config file (default "config.ini")

      --domain string   下載域名對應證書:

                        1、多個域名必須用逗號(,)分隔.

                        2、all 表示下載所有證書.

                        3、證書批量下載列表文件完整路徑,要下載的證書域名放在這個文件中一行一個.

  -h, --help            help for online

      --show            查看在線證書列表

D:\cert>35ssl.exe online --domain mytest123.com

或者 ：

D:\cert>35ssl.exe online --domain D:\cert\mydomains.txt   把要下載的證書域名都放在這個txt文件中批量下載。

D:\cert>35ssl.exe online --show  可查看在線的證書列表及查看驗證參數(shù)值

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

常見問題 :

api result: token 時間超時:請檢查服務器時間是否為北京時間 .