利用nginx-ui和inotify-tools实现阿里云CDN证书自动更新

在实际生产环境中，SSL证书的自动更新和管理是一个常见需求。本文将介绍如何结合nginx-ui和inotify-tools工具，实现阿里云CDN证书的自动更新机制。

背景介绍

nginx-ui是一个开源的Nginx管理界面，提供了证书管理功能。虽然它本身不支持自定义shell执行，但我们可以通过其他方式实现证书更新后的自动化操作。特别是在使用阿里云CDN服务时，证书更新后需要同步到CDN节点，这一过程可以通过脚本自动化完成。

技术方案

本方案采用inotify-tools监控证书文件变化，当检测到证书更新时，自动调用阿里云CLI工具更新CDN证书配置。主要包含以下组件：

1. inotify-tools：Linux文件系统监控工具
2. aliyun-cli：阿里云官方命令行工具
3. 自定义脚本：处理证书更新逻辑

实现步骤

1. 安装必要工具

首先需要安装inotify-tools和aliyun-cli：

# 安装inotify-tools
yum -y install inotify-tools

# 安装aliyun-cli（具体安装方法参考阿里云官方文档）

2. 编写证书更新脚本

创建ssl_alicdn_xxx.domain.com.sh脚本，内容如下：

#!/usr/bin/env bash

# 阿里云API凭证
API_KEY=your_api_key
API_SECRET=your_api_secret
RegionId=your_region

# 证书文件路径
CERT_KEY_PATH=/etc/nginx/ssl/*.xxx.domain.com_xxx.domain.com_2048/private.key
CERT_FULLCHAIN_PATH=/etc/nginx/ssl/*.xxx.domain.com_xxx.domain.com_2048/fullchain.cer

# 处理证书内容函数
get_cert() {
    sed -e "/^$/d" "$CERT_FULLCHAIN_PATH"
}

get_key() {
    cat "$CERT_KEY_PATH"
}

# 需要更新证书的CDN域名列表
DOMAIN_LIST=(
    "xxx.domain.com"
    "test.xxx.domain.com"
)

# 为每个域名更新证书
for _domain in "${DOMAIN_LIST[@]}"; do
    _cert_name="cert--${_domain//./_}--$(date +%Y%m%d%s)"
    aliyun cdn SetCdnDomainSSLCertificate \
        --region "${RegionId}" \
        --api-key "${API_KEY}" \
        --api-secret "${API_SECRET}" \
        --CertName "${_cert_name}" \
        --DomainName "$_domain" \
        --SSLPub="$(get_cert)" \
        --SSLPri="$(get_key)" \
        --CertType upload \
        --SSLProtocol on || exit 103
    sleep .5
done

3. 编写文件监控脚本

创建ssl_watchdog.sh监控脚本：

#!/bin/sh

# 监控的文件或目录
filename=$1

# 检测到变化后执行的脚本
script=$2

inotifywait -mrq --format '%e' --event create,delete,modify $filename | while read event
do
    case $event in
        MODIFY|CREATE)
            echo `date "+%Y%m%d%s"`-$event && bash $script
        ;;
        DELETE)
            echo `date "+%Y%m%d%s"`-$event
        ;;
    esac
done

4. 启动监控服务

使用nohup后台运行监控脚本：

nohup bash /path/ssl_watchdog.sh \
    /etc/nginx/ssl/*.xxx.domain.com_xxx.domain.com_2048/fullchain.cer \
    /path/ssl_alicdn_xxx.domain.com.sh \
    >> /path/ssl_watchdog.sh.log 2>&1 &

方案优势

1. 自动化程度高：证书更新后自动同步到CDN，无需人工干预
2. 实时性强：文件变化立即触发，保证证书及时更新
3. 可靠性好：完善的错误处理和日志记录
4. 灵活性高：可轻松扩展支持更多CDN域名

注意事项

1. 确保aliyun-cli工具已正确配置API访问权限
2. 监控脚本需要有足够的权限访问证书文件
3. 建议将敏感信息如API_SECRET存储在更安全的位置
4. 定期检查监控脚本的运行状态

通过这种方案，我们可以实现nginx-ui签发证书后自动同步到阿里云CDN的完整自动化流程，大大提高了运维效率和系统可靠性。