Letsencrypt简单教程调整

弘志勇

2023-12-01

《Letsencrypt简单教程》一文较为详细地介绍了Letsencrypt的安装以及使用方法，然而，最近在一台服务器部署letsencrypt时，执行letsencrypt-auto命令出现错误：

./letsencrypt-auto --help all

Skipping bootstrap because certbot-auto is deprecated on this system.
Your system is not supported by certbot-auto anymore.
Certbot cannot be installed.
Please visit https://certbot.eff.org/ to check for other alternatives.

系统不再被支持！！！

查看certbot（https://github.com/certbot/certbot/releases）在

2021年1月的更新日志：

●certbot-auto was deprecated on all systems. For more information about this
change, see
Certbot-auto no longer works on Debian based systems - #7 by bmw - Help - Let's Encrypt Community Support.

可知：

certbot-auto不再支持所有的操作系统！根据作者的说法，certbot团队认为维护certbot-auto在几乎所有流行的UNIX系统以及各种环境上的正常运行是一项繁重的工作，加之certbot-auto是基于python 2编写的，而python 2即将寿终正寝，将certbot-auto迁移至python 3需要大量工作，这非常困难，因此团队决定放弃certbot-auto的维护。

既然如此，现在我们还能继续使用certbot吗？certbot团队使用了基于snap的新的分发方法。

1. 环境

操作系统：CentOS 7

Webserver：Nginx

2. 安装letsencrypt

2.1. 安装letsencrypt之前，需要先安装snaps。

a. 先安装epel。

yum install epel-release

b. 安装snapd。

yum install snapd

c. 启用snapd.socket。

systemctl enable --now snapd.socket

d. 创建/var/lib/snapd/snap和/snap之间的链接。

ln -s /var/lib/snapd/snap /snap

e. 退出账号并重新登录，或者重启系统，确保snap启用。

f. 安装/更新core软件包。

snap install core

snap refresh core

如果执行以上命令提示错误：

error: too early for operation, device not yet seeded or device model not acknowledged

则需要先禁用SELinux：

setenforce 0

2.2. 卸载已安装的certbot。

如果之前在系统上已经部署过certbot，则需要先将其进行卸载。

a. 卸载certbot。

yum remove certbot

b. 根据certbot安装位置删除相关文件。

rm /usr/local/bin/certbot-auto

c. 删除certbot附加软件包。

rm -rf /opt/eff.org/certbot

2.3. 安装certbot。

a. 通过snap安装certbot。

snap install --classic certbot

b. 创建/snap/bin/certbot的软链接，方便certbot命令的使用。

ln -s /snap/bin/certbot /usr/bin/certbot

3. letsencrypt的使用

3.1. 获取证书。

a. 生成证书。

确保nginx处于运行状态，需要获取证书的站点在80端口，并且可以正常访问。

certbot certonly --nginx --email xxx@mail.com -d a.do.com -d b.do.com

b. 更新nginx配置并重启nginx。

3.2. 更新证书。

certbot renew

4. 错误

运行certbot 相关命令时提示一下错误：

An unexpected error occurred:
ValueError: Requesting acme-v02.api.letsencrypt.org/directory: Network is unreachable

执行curl确认网络是否正常：

curl -4 -v https://acme-v02.api.letsencrypt.org/directory
curl -6 -v https://acme-v02.api.letsencrypt.org/directory

如确实无法访问，请确认防火墙设置，如防火墙设置正确，则等待一段时间后重试。出现过该站点在一段时间内在指定服务器无法访问，过一段时间后恢复正常的情况。

5. Letsencrypt根证书过期问题

Letsencrypt的根证书DST Root CA X3已在2021-9-30过期，以下为在服务端通过Letsencrypt证书管理程序申请证书时生成的fullchain.pem文件中的证书链示例，需要指出的是，证书链中实际并不包含根证书，根证书由客户端从本地可信任证书存储区域中匹配补全：

[Leaf]:
subjectName: CN=dancen.com
issuerName: CN=R3,O=Let's Encrypt,C=US
notBefore: 2021/08/30_10:18:42
notAfter: 2021/11/28_10:18:41
subjectAlternativeName: [dancen.com,www.dancen.com]

[Intermediate_1/2]:
subjectName: CN=R3,O=Let's Encrypt,C=US
issuerName: CN=ISRG Root X1,O=Internet Security Research Group,C=US
notBefore: 2020/09/04_08:00:00
notAfter: 2025/09/16_00:00:00

[Intermediate_2/2]:
subjectName: CN=ISRG Root X1,O=Internet Security Research Group,C=US
issuerName: CN=DST Root CA X3,O=Digital Signature Trust Co.
notBefore: 2021/01/21_03:14:03
notAfter: 2024/10/01_02:14:03

[Root]（由客户端补全）:
subjectName: CN=DST Root CA X3,O=Digital Signature Trust Co.
issuerName: CN=DST Root CA X3,O=Digital Signature Trust Co.
notBefore: 2000/10/01_05:12:19
notAfter: 2021/09/30_22:01:15

对于根证书过期，Letsencrypt早在几年以前已经提供了新的名为ISRG Root X1的根证书，该证书与上面的证书链中的中间证书ISRG Root X1同名，并且使用相同的公钥，但实际为一个自签名的根证书，即证书链中的中间证书R3是由两个同名，但不同的ISRG Root X1证书交叉签名的。因此，对于终端证书，实际上存在两条可用的证书链，只不过fullchain.pem文件中明确指定的证书链为证书链1：

证书链1：guangzhuiyuan.com > R3 > ISRG Root X1（中间CA证书） > DST Root CA X3
证书链2：guangzhuiyuan.com > R3 > ISRG Root X1（根证书）

由于Letsencrypt证书管理程序在服务端生成的证书文件fullchain.pem使用的是包含过期根证书的已经失效的证书链1，因此，该证书链将无法通过客户端的验证。

幸运的是，windows、浏览器等很多客户端在建立https连接时不会直接采纳服务端提供的证书链，它们会结合本地可信任证书存储区域中的证书重新构建证书链，最终形成证书链2，不至于在建立https连接时无法通过证书验证。

然而，悲剧的是，对于Java程序等客户端，它们在与服务端建立https连接时，会直接使用服务端提供的证书链，由于证书链中根证书已经过期，https连接将无法通过证书验证。这也导致了我们在10月1日时的一些运维事故，因为一些服务器无法和另外的服务器建立https连接。

更加悲剧和不可思议的是，即便是在根证书DST Root CA X3已经过期的当下，使用Letsencrypt证书管理程序在服务端生成证书文件时，很多情况下其仍然使用了过期的根证书形成的证书链。也就是说，即使现在重新从Letsencrypt申请证书也不能解决根证书过期的问题。

解决方案1：
解决方案之一是在客户端本地的可信任证书存储区域中手动移除已过期的根证书DST Root CA X3，并且，如果客户端没有安装根证书ISRG Root X1的话，需要手动安装之，这样，客户端就能够抛弃服务端返回的证书链1，重新构建出合法的证书链2。

解决方案2：
解决方案之二是手动修正服务端fullchain.pem文件中的证书链，将其由证书链1调整为证书链2。

fullchain.pem文件中存储的证书链信息自上而下，依次对应终端证书、中间CA证书……修改证书链的方法为删除文件中的中间证书等内容，仅保留其中的终端证书，然后补上中间证书R3的内容，再强制补上根证书ISRG Root X1的内容。最终，新的fullchain.pem文件内容如下：

Letsencrypt简单教程调整

1. 环境

2. 安装letsencrypt

3. letsencrypt的使用

4. 错误

5. Letsencrypt根证书过期问题

相关阅读

相关文章

相关问答

相关文档