首页
/ 利用nginx-ui和inotify-tools实现阿里云CDN证书自动更新

利用nginx-ui和inotify-tools实现阿里云CDN证书自动更新

2025-05-28 16:17:40作者:江焘钦

在实际生产环境中,SSL证书的自动更新和管理是一个常见需求。本文将介绍如何结合nginx-ui和inotify-tools工具,实现阿里云CDN证书的自动更新机制。

背景介绍

nginx-ui是一个开源的Nginx管理界面,提供了证书管理功能。虽然它本身不支持自定义shell执行,但我们可以通过其他方式实现证书更新后的自动化操作。特别是在使用阿里云CDN服务时,证书更新后需要同步到CDN节点,这一过程可以通过脚本自动化完成。

技术方案

本方案采用inotify-tools监控证书文件变化,当检测到证书更新时,自动调用阿里云CLI工具更新CDN证书配置。主要包含以下组件:

  1. inotify-tools:Linux文件系统监控工具
  2. aliyun-cli:阿里云官方命令行工具
  3. 自定义脚本:处理证书更新逻辑

实现步骤

1. 安装必要工具

首先需要安装inotify-tools和aliyun-cli:

# 安装inotify-tools
yum -y install inotify-tools

# 安装aliyun-cli(具体安装方法参考阿里云官方文档)

2. 编写证书更新脚本

创建ssl_alicdn_xxx.domain.com.sh脚本,内容如下:

#!/usr/bin/env bash

# 阿里云API凭证
API_KEY=your_api_key
API_SECRET=your_api_secret
RegionId=your_region

# 证书文件路径
CERT_KEY_PATH=/etc/nginx/ssl/*.xxx.domain.com_xxx.domain.com_2048/private.key
CERT_FULLCHAIN_PATH=/etc/nginx/ssl/*.xxx.domain.com_xxx.domain.com_2048/fullchain.cer

# 处理证书内容函数
get_cert() {
    sed -e "/^$/d" "$CERT_FULLCHAIN_PATH"
}

get_key() {
    cat "$CERT_KEY_PATH"
}

# 需要更新证书的CDN域名列表
DOMAIN_LIST=(
    "xxx.domain.com"
    "test.xxx.domain.com"
)

# 为每个域名更新证书
for _domain in "${DOMAIN_LIST[@]}"; do
    _cert_name="cert--${_domain//./_}--$(date +%Y%m%d%s)"
    aliyun cdn SetCdnDomainSSLCertificate \
        --region "${RegionId}" \
        --api-key "${API_KEY}" \
        --api-secret "${API_SECRET}" \
        --CertName "${_cert_name}" \
        --DomainName "$_domain" \
        --SSLPub="$(get_cert)" \
        --SSLPri="$(get_key)" \
        --CertType upload \
        --SSLProtocol on || exit 103
    sleep .5
done

3. 编写文件监控脚本

创建ssl_watchdog.sh监控脚本:

#!/bin/sh

# 监控的文件或目录
filename=$1

# 检测到变化后执行的脚本
script=$2

inotifywait -mrq --format '%e' --event create,delete,modify $filename | while read event
do
    case $event in
        MODIFY|CREATE)
            echo `date "+%Y%m%d%s"`-$event && bash $script
        ;;
        DELETE)
            echo `date "+%Y%m%d%s"`-$event
        ;;
    esac
done

4. 启动监控服务

使用nohup后台运行监控脚本:

nohup bash /path/ssl_watchdog.sh \
    /etc/nginx/ssl/*.xxx.domain.com_xxx.domain.com_2048/fullchain.cer \
    /path/ssl_alicdn_xxx.domain.com.sh \
    >> /path/ssl_watchdog.sh.log 2>&1 &

方案优势

  1. 自动化程度高:证书更新后自动同步到CDN,无需人工干预
  2. 实时性强:文件变化立即触发,保证证书及时更新
  3. 可靠性好:完善的错误处理和日志记录
  4. 灵活性高:可轻松扩展支持更多CDN域名

注意事项

  1. 确保aliyun-cli工具已正确配置API访问权限
  2. 监控脚本需要有足够的权限访问证书文件
  3. 建议将敏感信息如API_SECRET存储在更安全的位置
  4. 定期检查监控脚本的运行状态

通过这种方案,我们可以实现nginx-ui签发证书后自动同步到阿里云CDN的完整自动化流程,大大提高了运维效率和系统可靠性。

登录后查看全文
热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
136
187
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
881
521
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
361
381
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
181
264
kernelkernel
deepin linux kernel
C
22
5
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
7
0
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.09 K
0
note-gennote-gen
一款跨平台的 Markdown AI 笔记软件,致力于使用 AI 建立记录和写作的桥梁。
TSX
83
4
cherry-studiocherry-studio
🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端
TypeScript
613
60
open-eBackupopen-eBackup
open-eBackup是一款开源备份软件,采用集群高扩展架构,通过应用备份通用框架、并行备份等技术,为主流数据库、虚拟化、文件系统、大数据等应用提供E2E的数据备份、恢复等能力,帮助用户实现关键数据高效保护。
HTML
118
78