首页
/ 利用nginx-ui和inotify-tools实现阿里云CDN证书自动更新

利用nginx-ui和inotify-tools实现阿里云CDN证书自动更新

2025-05-28 16:16:15作者:江焘钦

在实际生产环境中,SSL证书的自动更新和管理是一个常见需求。本文将介绍如何结合nginx-ui和inotify-tools工具,实现阿里云CDN证书的自动更新机制。

背景介绍

nginx-ui是一个开源的Nginx管理界面,提供了证书管理功能。虽然它本身不支持自定义shell执行,但我们可以通过其他方式实现证书更新后的自动化操作。特别是在使用阿里云CDN服务时,证书更新后需要同步到CDN节点,这一过程可以通过脚本自动化完成。

技术方案

本方案采用inotify-tools监控证书文件变化,当检测到证书更新时,自动调用阿里云CLI工具更新CDN证书配置。主要包含以下组件:

  1. inotify-tools:Linux文件系统监控工具
  2. aliyun-cli:阿里云官方命令行工具
  3. 自定义脚本:处理证书更新逻辑

实现步骤

1. 安装必要工具

首先需要安装inotify-tools和aliyun-cli:

# 安装inotify-tools
yum -y install inotify-tools

# 安装aliyun-cli(具体安装方法参考阿里云官方文档)

2. 编写证书更新脚本

创建ssl_alicdn_xxx.domain.com.sh脚本,内容如下:

#!/usr/bin/env bash

# 阿里云API凭证
API_KEY=your_api_key
API_SECRET=your_api_secret
RegionId=your_region

# 证书文件路径
CERT_KEY_PATH=/etc/nginx/ssl/*.xxx.domain.com_xxx.domain.com_2048/private.key
CERT_FULLCHAIN_PATH=/etc/nginx/ssl/*.xxx.domain.com_xxx.domain.com_2048/fullchain.cer

# 处理证书内容函数
get_cert() {
    sed -e "/^$/d" "$CERT_FULLCHAIN_PATH"
}

get_key() {
    cat "$CERT_KEY_PATH"
}

# 需要更新证书的CDN域名列表
DOMAIN_LIST=(
    "xxx.domain.com"
    "test.xxx.domain.com"
)

# 为每个域名更新证书
for _domain in "${DOMAIN_LIST[@]}"; do
    _cert_name="cert--${_domain//./_}--$(date +%Y%m%d%s)"
    aliyun cdn SetCdnDomainSSLCertificate \
        --region "${RegionId}" \
        --api-key "${API_KEY}" \
        --api-secret "${API_SECRET}" \
        --CertName "${_cert_name}" \
        --DomainName "$_domain" \
        --SSLPub="$(get_cert)" \
        --SSLPri="$(get_key)" \
        --CertType upload \
        --SSLProtocol on || exit 103
    sleep .5
done

3. 编写文件监控脚本

创建ssl_watchdog.sh监控脚本:

#!/bin/sh

# 监控的文件或目录
filename=$1

# 检测到变化后执行的脚本
script=$2

inotifywait -mrq --format '%e' --event create,delete,modify $filename | while read event
do
    case $event in
        MODIFY|CREATE)
            echo `date "+%Y%m%d%s"`-$event && bash $script
        ;;
        DELETE)
            echo `date "+%Y%m%d%s"`-$event
        ;;
    esac
done

4. 启动监控服务

使用nohup后台运行监控脚本:

nohup bash /path/ssl_watchdog.sh \
    /etc/nginx/ssl/*.xxx.domain.com_xxx.domain.com_2048/fullchain.cer \
    /path/ssl_alicdn_xxx.domain.com.sh \
    >> /path/ssl_watchdog.sh.log 2>&1 &

方案优势

  1. 自动化程度高:证书更新后自动同步到CDN,无需人工干预
  2. 实时性强:文件变化立即触发,保证证书及时更新
  3. 可靠性好:完善的错误处理和日志记录
  4. 灵活性高:可轻松扩展支持更多CDN域名

注意事项

  1. 确保aliyun-cli工具已正确配置API访问权限
  2. 监控脚本需要有足够的权限访问证书文件
  3. 建议将敏感信息如API_SECRET存储在更安全的位置
  4. 定期检查监控脚本的运行状态

通过这种方案,我们可以实现nginx-ui签发证书后自动同步到阿里云CDN的完整自动化流程,大大提高了运维效率和系统可靠性。

登录后查看全文
热门项目推荐