未分類
26 2 月 2021

更新 ssl 证书时痛苦,求推荐比 nginx 好用的反向代理服务

更新 ssl 证书时痛苦,求推荐比 nginx 好用的反向代理服务

資深大佬 : zealinux 2

现在有 100+个二级域名, 然后有 nginx 服务有 10+台,

现在的做法是,上传 ssl 泛域名 ssl 证书到 10+台机器上, 然后更新 100+个配置文件。

有点痛苦

有没有什么好的方法,只要在 nginx.conf导入一次就行。 然后各个 conf.d 目录下的配置文件引用这个变量就行。

这样我以后升级,就只要改 10+个 nginx.conf 就行了。这样就舒服多了。

或者有没有其他更好的反向代理服务推荐?

最好是有webui的, 这样不需要登陆到各个机器上编辑文件。

大佬有話說 (31)

  • 資深大佬 : dongtingyue

    为啥要更新配置文件?不是只要更新证书就可以了么

  • 資深大佬 : matolv

    rsycn 把证书覆盖掉就行了,不需要其他操作

  • 資深大佬 : zengxs

    Nginx 有个 include 指令就是用来干这个的

    Debian/Ubuntu 的 Nginx 配置中默认有一个 snippet 目录,就是用来存放一些通用配置片段的,然后在其他配置文件中 include 就行了

  • 資深大佬 : Slartibartfast

    写个脚本就行了

  • 資深大佬 : zengxs

    #1 确实,只要更新证书文件就行了,完全不需要更新配置,刚刚都没反应过来

  • 資深大佬 : Love4Taylor

    caddy ?

  • 資深大佬 : imdong

    写个脚本,定时执行,从特定地址下载证书并解压到特定目录.

    然后重启 nginx,

    现在,你甚至都不需要登陆到对应服务器,也不用改 nginx 了.

    当然,更换证书只要文件名相同也不需要修改配置文件吧?

    简单代码如下(盲写 未测试)

    cron 0 0 1 * *

    ====

    wget https://xxx.com/ca.tar.gz -O /tmp/ca.tar.gz

    tar -zxf /tmp/ca.tar.gz -C /etc/nginx/ca

    nginx -s reload

  • 資深大佬 : hxndg

    我司多机器组件 ha 的时候是 ha 有个同步脚本
    用的 rsync,是从本机登录到目标机器上,然后执行从本机到目标机器的拷贝
    写个脚本就成。

  • 資深大佬 : CoreJa

    更新证书+reload nginx 的事情,为啥要改 nginx 配置?

  • 資深大佬 : noahzh

    推荐使用 traefik.

  • 資深大佬 : xuanbg

    买个通配符证书,失效只需要更新几个证书文件就行了

  • 資深大佬 : xuanbg

    为啥要更新 conf ?替换 10+服务器上面的证书文件不就好了吗?

  • 資深大佬 : xiwangzishi

    http://www.confd.io/ 试一试这个

  • 資深大佬 : paranoia

    webui? gitee 上有个 nginxWebUI,我这发不了链接,主可以去搜搜看

  • 資深大佬 : saytesnake

    …include 是干嘛的…不就是做这个的么

  • 資深大佬 : d0m2o08

    这么多机器不试试 ansible 一把梭么?

  • 資深大佬 : guxingke

    conf 还是要更新的,证书名字最好能体现一些信息,比如过期时间之类的,方便校验。
    配置改完之后的发布和 reload,建议配合 ansible 来做 10+ 个实例很快的

  • 資深大佬 : eason1874

    什么配置都不用动,证书和密钥文件名不变,rsync 直接覆盖同步过去,然后 systemctl reload nginx 就行了

  • 資深大佬 : tinyRat

    caddy?

  • 資深大佬 : eason1874

    如果证书文件名一定要变,就把这两行独立出来一个文件:

    ssl_certificate /etc/nginx/ssl/domain.crt;
    ssl_certificate_key /etc/nginx/ssl/domain.key;

    比如命名成 ssl_cert.conf 放在 ssl 目录,然后其他配置文件应该填这两行的地方改成:

    include /etc/nginx/ssl/ssl_cert.conf;

    然后每次变更证书,就更新这个文件,然后 reload nginx

  • 資深大佬 : henyi2211

    traefik 我用于管理 docker 容器, 用的挺爽的, 可以自动申请证书, 还能服务发现….
    上手再简单点就好了, 花了一天看官方文档, 才弄清楚原理和使用

  • 資深大佬 : SenLief

    如果是买的证书不都是 1 年起步吗?那 1 年更新一次也没多少时间啊。

  • 資深大佬 : liuzhaowei55

    nginx 有的版本更新证书后要重启?

  • 資深大佬 : ik

    ansible copy

    nfs 共享证书目录不都可以吗

  • 資深大佬 : lychs1998

    自动签发的脚本配置好,就很方便了。

  • 資深大佬 : isnullstring

    不是直接更新证书文件么?配置也不用改的

  • 資深大佬 : cominghome

    上已经很多人回复了,做一个软链接的事情,别搞复杂了

  • 資深大佬 : xmumiffy

    审题的话 我推荐用 caddy

  • 資深大佬 : wakzz

    使用 Kong 替代 Nginx

  • 資深大佬 : dot

    有个叫 Caddy 的 Web server,自带证书申请和续期……啥都不用管~

  • 資深大佬 : Showfom

    @liuzhaowei55 所有版本都需要 reload 重启倒不是必须