CertBot自签Let's Encrypt免费SSL单域名证书和泛域名证书|运维起点

Linuxops
2017-06-01
Linux

CertBot自签Let's Encrypt免费SSL单域名证书和泛域名证书

版权说明：本文为博主原创，如果转载请注明来源。作为学习笔记，不能保证所有知识点是完全正确以及表达无误，用于生产环境配置时请斟酌。如有错误或建议请联系。侵删联系:linuxops@foxmail.com。感谢各位！

一、前言

基于明文传输的HTTP协议会造成很大的安全隐患，为了解决这些隐患诞生了HTTPS协议。

HTTP的三大风险：

窃听风险（eavesdropping）：第三方可以获知通信内容。
篡改风险（tampering）：第三方可以修改通信内容。
冒充风险（pretending）：第三方可以冒充他人身份参与通信。

对于HTTP协议的风险，HTTPS协议给出了解决方案：

所有信息都是加密传播，第三方无法窃听。
具有校验机制，一旦被篡改，通信双方会立刻发现。
配备身份证书，防止身份被冒充。

SSL（安全套接层）以及继任者TLS（传输安全层）是为网络通信提供安全以及数据完整性的一种安全协议，TLS与SSL再传输层对网络进行加密。在如今的网站建设中，SSL已然成为标准配置，以往传统的HTTP已经无法满足现在的安全需求，在对接第三方平台，例如高德地图、微信公众号等均要求使用HTTPS，否则无法访问第三方接口。

HTTPS的证书有三种：

DV证书（域名验证型证书），这种证书仅验证域名所有权，颁发快速；
OV证书（组织验证型），这种证书对申请者做严格的身份验证并且提供可信身份证明，具有较高的安全性。
EV证书（超安全证书），这种证书遵循全球统一的严格身份验证标准，是目前业界安全级别最高的顶级（class 4）证书。通常金融行业、网上商城等重点强调网站安全、企业可信形象的网站需要此种证书。

所以根据安全等级的不通申请证书的费用和周期也是不同的，DV证书虽然最便宜，但是目前市面上最便宜的泛解析域名也要2000元每年个域名。对于例如测试环境或者其他并不是迫切需要的我们并不想花这种“冤枉钱”。

开放是互联网的最核心的精神，所以我们也能找到免费的ssl证书提供商，并且得到了市面上绝大部分的浏览器信任。

在市面上做的最好的就是Let's Encrypt，Let's Encrypt虽然只提供了3个月免费的DV证书，但是他还提供了一个自动签发的工具CertBot，使用CertBot可以自动无限次续费证书。

Let's Encrypt是国外一个公共的免费SSL项目，由 Linux 基金会托管，它的来头不小，由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起，目的就是向网站自动签发和管理免费证书，以便加速互联网由HTTP过渡到HTTPS，目前Facebook等大公司开始加入赞助行列。

Let's Encrypt已经得了 IdenTrust 的交叉签名，这意味着其证书现在已经可以被Mozilla、Google、Microsoft和Apple等主流的浏览器所信任，你只需要在Web 服务器证书链中配置交叉签名，浏览器客户端会自动处理好其它的一切，Let's Encrypt安装简单，未来大规模采用可能性非常大。

闲话少说，开始配置。

二、准备环境

安装nginx，并启动，保证80端口可用。

CertBot有多种方式来创建证书，但通常在生产环境中我们不能停止服务来穿或者更新证书，CertBot提供了webroot方式来创建证书，通过webroot方式创建证书无需停止服务，但是为了验证，CertBot会在更目录下创建文件并且通过指定的域名访问，以此来认证身份。

安装CertBot

网络和官方推荐的centos的安装方式是通过yum来安装,但是yum安装会有很多未知的问题(阿里云主机),不知道其他的是否也是这样,所以还是推荐使用自动脚本安装,目前在阿里云环境里没有发现什么问题。

1.通过yum安装（不推荐）

centos可以通过yum来安装CertBot，安装之前先安装一下依赖

yum install -y python-devel openssl openssl-devel  yum-utils #准备好依赖
pip install --upgrade pip #更新pip
sudo yum install certbot #安装CertBot

安装完毕，可以通过certbot --help 查看帮助。

[root@Certbot ~]# certbot --help
Traceback (most recent call last):
 File "/usr/bin/certbot", line 9, in <module>
   load_entry_point('certbot==0.12.0', 'console_scripts', 'certbot')()
 File "/usr/lib/python2.7/site-packages/pkg_resources.py", line 378, in load_entry_point
   return get_distribution(dist).load_entry_point(group, name)
 File "/usr/lib/python2.7/site-packages/pkg_resources.py", line 2566, in load_entry_point
   return ep.load()
 File "/usr/lib/python2.7/site-packages/pkg_resources.py", line 2260, in load
   entry = __import__(self.module_name, globals(),globals(), ['__name__'])
 File "/usr/lib/python2.7/site-packages/certbot/main.py", line 21, in <module>
   from certbot import client
 File "/usr/lib/python2.7/site-packages/certbot/client.py", line 10, in <module>
   from acme import client as acme_client
 File "/usr/lib/python2.7/site-packages/acme/client.py", line 31, in <module>
   requests.packages.urllib3.contrib.pyopenssl.inject_into_urllib3()
 File "/usr/lib/python2.7/site-packages/requests/packages/urllib3/contrib/pyopenssl.py", line 112, in inject_into_urllib3
   _validate_dependencies_met()
 File "/usr/lib/python2.7/site-packages/requests/packages/urllib3/contrib/pyopenssl.py", line 147, in _validate_dependencies_met
   raise ImportError("'pyOpenSSL' module missing required functionality. "
ImportError: 'pyOpenSSL' module missing required functionality. Try upgrading to v0.14 or newer.
[root@Certbot ~]#

但是报错了，这个错误是pyOpenSSL版本问题引起的，找了各种方法，升级了各个版本的pyOpenSSL均无法解决，这可能是certbot的一个bug。

最终找到了解决方案

rpm --query centos-release  # centos-release-7-3.1611.el7.centos.x86_64
wget ftp://ftp.muug.mb.ca/mirror/centos/7.3.1611/cloud/x86_64/openstack-mitaka/common/pyOpenSSL-0.15.1-1.el7.noarch.rpm
sudo rpm -Uvh pyOpenSSL-0.15.1-1.el7.noarch.rpm
sudo yum install certbot
certbot renew  # OK

安装pyOpenSSL-0.15.1-1.el7.noarch.rpm完美解决。

[root@Certbot hyc.rxcha.com]# certbot --version
certbot 0.12.0
[root@Certbot hyc.rxcha.com]#

2.通过官方脚本安装（推荐）

[root@Certbot ~]# wget https://dl.eff.org/certbot-auto  #下载脚本
[root@Certbot ~]# chmod +x certbot-auto #授于执行权限
[root@Certbot ~]# mv certbot-auto /usr/bin/certbot #将脚本剪切在用户bin目录下
[root@Certbot ~]# source /etc/profile 
[root@Certbot ~]# certbot --version #查看版本，第一次运行certbot会自动下载安装依赖包。如果输出版本号，说明安装成功。
certbot 0.15.0

以上，certbot安装成功!

三、使用命令签证

1.单域名签证

签证之前一定要先运行网站，这样才能正常验证。

sudo certbot certonly --webroot -w /usr/share/nginx/html/ -d your.domain.com

如上命令，其中：

--webroot：指定使用webroot方式签证（不需要停止web服务）

-w /usr/share/nginx/html/：指定网站的根目录，certbot会在更目录下创建.well-known目录用做认证。

-d your.domain.com ：指定域名，必须要绑定到-w的目录中。

因为是首次签证，所以运行之后会询问一些诸如是否同意协议之类的，一直同意就好了，知道出现如下就代表签证成功。

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/hyc.rxcha.com/fullchain.pem. Your cert will
   expire on 2017-08-30. To obtain a new or tweaked version of this
   certificate in the future, simply run certbot again. To
   non-interactively renew *all* of your certificates, run "certbot
   renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

应用到web服务中

签证好了的证书文件存放在 /etc/letsencrypt/live/your.domain.com/目录下，每个域名一个目录，里面内容如下：

[root@Certbot your.domain.com]# ll
total 4
lrwxrwxrwx 1 root root  37 Jun  1 22:18 cert.pem -> ../../archive/your.domain.com/cert1.pem
lrwxrwxrwx 1 root root  38 Jun  1 22:18 chain.pem -> ../../archive/your.domain.com/chain1.pem
lrwxrwxrwx 1 root root  42 Jun  1 22:18 fullchain.pem -> ../../archive/your.domain.com/fullchain1.pem
lrwxrwxrwx 1 root root  40 Jun  1 22:18 privkey.pem -> ../../archive/your.domain.com/privkey1.pem
-rw-r--r-- 1 root root 543 Jun  1 22:18 README
[root@Certbot your.domain.com]#

可以看出live目录下的都是软连接，/etc/letsencrypt/archive文件，建议在nginx配置中应用这个软连接。

这样就每次重签的时候就不需要更改nginx的配置了。

根据实际经验，事实上在更换证书的时候要需要清理NGINX的缓存，并且reload新证书才会生效。

nginx的配置就不多说了。

server {
        listen       443 ssl;
        server_name  your.domain.com;

        ssl_certificate      /etc/letsencrypt/live/your.domain.com/fullchain.pem;
        ssl_certificate_key  /etc/letsencrypt/live/your.domain.com/privkey.pem;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }

2.泛域名签证

2018-05-14更新

2018年3月13日，Let’s Encrypt 终于在社区宣布支持通配符证书，但是泛域名有以下限制：

无法通过webroot方式签证，必须使用dns的方式。
certbot提供了多个第三方的插件，但是没有国内的DNS服务商插件（我们的服务大部分基于阿里云DNS）
依然限制90天的有效期

签证的方式影响着我们的工作量，因为没有阿里云DNS的插件，所以我们只能通过手动的交互方式来签证。证书即将到期时，依然需要手动的方式去续约，如果你管理的域名不是很多，没三个月操作一次也是可以的，但是因为手上管理着几十个域名，所以感觉泛域名的方式也并非适合我。

泛域名证书中，.abc.com可以使用同一张证书，但是 123.*.abc.com就不能和 .abc.com使用同一张证书了，我们现在大量使用三级四级域名，所以这种泛域名的签证方式并不适合我们（需要手动更新,维护工作量巨大）

好了，下面我们看一下怎么泛域名是怎么签证。

泛域名签证使用的是ACME V2版本的协议，certbot0.22.0以上的版本支持新的协议，所以我们要先检查一下certbot的版本是否达到需求.

[root@OPS ~]# certbot --version
certbot 0.24.0 #显然我的版本达到了要求

然后使用以下命令即可签发泛域名证书：

[root@OPS ~]# certbot certonly  -d *.abc.com --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory

certonly 表示只签证 -d 指定了需要签证的域名 --manual 指定了以手工交互模式签证 --preferred-challenges dns 指定了通过DNS挑战来验证 --server 指定acme的服务器

回车之后会有一系列的交互信息需要填写，例如email地址、是否同意协议等等（不同意协议当然不给你签证啦）

当然整个过程最最重要的是你会看到如下信息：

-------------------------------------------------------------------------------
Please deploy a DNS TXT record under the name
_acme-challenge.abc.com with the following value:

9L2_ihN6Y8AefoXbTBFN7n9ydVa4k5fF3z1qT5Zi6qE

Before continuing, verify the record is deployed.
-------------------------------------------------------------------------------
Press Enter to Continue

看到以上信息的时候不要做任何操作，你需要到你的域名DNS解析增加一条如下解析：

记录类型	主机记录	解析线路	记录值
TXT	_acme-challenge	默认	9L2_ihN6Y8AefoXbTBFN7n9ydVa4k5fF3z1qT5Zi6qE

解析之后等待生效。

现在的DNS生效基本上很快，阿里云几乎在几十秒钟之内即可生效，但是不同的服务商生效时间也不一样（具体的要了解DNS的机制了，这里就不展开了）

等待一小段时间之后，我们需要通过dig命令可以验证一下解析是否生效，如果没有安装dig命令，可以使用yum install -y bind-utils安装

[root@OPS ~]# dig  -t txt  _acme-challenge.abc.com @8.8.8.8

; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> -t txt _acme-challenge.abc.com @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34825
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;_acme-challenge.abc.com.   IN  TXT

;; ANSWER SECTION:
_acme-challenge.abc.com.    589 IN  TXT "9L2_ihN6Y8AefoXbTBFN7n9ydVa4k5fF3z1qT5Zi6qE"

;; Query time: 46 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Mon May 14 10:27:29 CST 2018
;; MSG SIZE  rcvd: 115

[root@OPS ~]#

如上，;; ANSWER SECTION:返回了解析结果。

如果有返回结果，再回到交互，按下回车，Let’s Encrypt会验证DNS，验证通过机会办法证书。

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/abc.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/abc.com/privkey.pem
   Your cert will expire on 2018-08-14. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

签证完成，证书存放目录和单域名证书一致。

续签的方式也是如此，修改DNS的TXT解析值。

2018-06-19更新

四、单域名续签

Let's Encrypt免费SSL证书有效期为90天，可以配合crontab进行续签。

certbot renew --quiet --renew-hook "/usr/local/nginx/sbin/nginx -s reload"

以上命令更新证书，--renew-hook是个钩子，证书更新完毕触发钩子执行后面的命令来重启nginx，简直是贴心周到！

五、使用python实现自动签证、续签泛域名证书

上文说到，如果要签泛域名证书必须要指定--manual参数通过交互的方式签证，Let's Encrypt会返回一个值，手动解析txt值以后发起验证，通过了验证才颁发证书，这个过程都需要人工手动操作，这当然并不是我们想要的。

经过多天的实践，我们可以利用python的pexpect库来实现自动签证和续签。代码已经用于环境上了，目前没有什么问题，但是代码写的太烂就不贴出来，这里我们讲讲思路。

Pexpect 是 Don Libes 的 Expect 语言的一个 Python 实现，是一个用来启动子程序，并使用正则表达式对程序输出做出特定响应，以此实现与其自动交互的 Python 模块。 Pexpect 的使用范围很广，可以用来实现与 ssh、ftp 、telnet 等程序的自动交互；可以用来自动复制软件安装包并在不同机器自动安装；还可以用来实现软件测试中与命令行交互的自动化。

可以简单理解为linux下的expect的python实现，但是个人觉得pexpect更为强大，比如它的日志管理。

实现SSL自动签证分一下几个步骤：

用pexpect发起签证请求，并且保存日志到文件。
pexpect匹配关键字，发送交互。
匹配到返回TXT解析值，读取pexpect日志文件获取TXT值。
调用DNS服务商的API接口解析（我们使用的是阿里云）
通过dig命令判断解析是否生效（最好判断谷歌的DNS 8.8.8.8）
dig判断解析生效后发送交互让Let's Encrypt验证。
验证通过判断返回，记录相关信息。

上面是大概的一个思路，在我编写脚本的过程中发现pexpect的日志只能写入到文件或者标准输出（其实应该要说只能写入到有wirte方法的对象中），所以无法保存在变量中，我用了最笨的方法：读取日志文件，来获取信息。

泛域名证书的续期和签证是一样一样的，所以不需要做特别的处理，唯一要做的就是判断是否新签证还是续签（Let's Encrypt对签证频率有限制，具体规则请看官网），我们可以通过Let's Encrypt的renew的配置的时间信息来判断，也可以自行维护过期时间（我选择了自行维护过期时间）

希望官方能出自动签泛域名的功能。

六、使用阿里云SLB遇到的问题

在不同的负载均衡中，有不同方式部署SSL证书：

如果是NGINX等七层负载均衡，可以直接将证书部署在负载均衡上。
如果是LVS四层负载均衡，证书需要部署在后端的Real-Server中部署。

NGINX等七层负载均衡可以直接在负载均衡服务器上使用CertBot来签证续约。

如果是采用LVS四层负载均衡的或者正在使用阿里云的业务，请继续阅读。

目前我们的业务大部分跑在阿里云上，阿里云的SLB提供了TCP和UDP的四层负载均衡，这个功能基于LVS，也提供了HTTP和HTTPS的七层负载均衡，这个功能基于淘宝的Tengine。

那么就有以下两个问题：

阿里云官方都承认七层的负载均衡性能非常差，在大流量大并发下表现非常不好。
阿里云的HTTPS负载均衡需要在负载均衡管理后台提交证书文件，然后才能选用证书，这样就无法使用CertBot自签Let's Encrypt免费SSL证书。

基于以上两点，我们决定负载均衡使用四层负载均衡，将证书部署在后端的Real-Server上。

那么问题又来了：

如何保证在业务不中断的情况下创建证书和更新证书。
如何保证每一台的Real-Sever的证书同步。

第二个问题好解决，一种是通过共享证书解决问题（例如samba），另一种方式是通过rsync这种同步软件解决问题，在证书更新的时候自动复制到每一台Real-Server。

我个人更建议使用rsync，因为如果使用共享的这种方式，比如samba，那么有可能samba会挂掉，影响到整个业务的正常访问。

第一个问题才是我们要解决的棘手问题。

七、CertBot签证过程

为了解决在集群中签的这个问题，我们先来看看CertBot的webroot的工作方式（CertBot提供了多种签证方式，但是只有webroot能在业务不停止的情况下签证）

certbot certonly --webroot -w /usr/local/nginx/html -d your.domain.com

以上是webboot的签证的命令的示例，webroot在命令提交的时候会在/usr/share/nginx/html/下创建一个.well-known的文件夹，然后Let's Encrypt通过your.domain.com域名访问到.well-known 的信息，匹配的话证明这个域名属于你的，就给颁发证书。

知道这个原理，那就好办了。

我们可以使用NGINX的代理来实现，我们可以在一台服务器上做好签证或更新(姑且把这样的一台服务器叫着SSL证书服务器，负责签证、更新证书、存储证书等)，然后将证书通过rsync复制到Real-Server，经过测试此方法行得通。

八、阿里云SLB环境签证具体步骤

1.在SLB的Real-Server中配置hosts

[root@OPS ~]# echo "1.2.3.4  ssl-server" >> /etc/hosts

你也可以直接使用IP访问ssl-server，但是为了安全还是建议使用解析来访问。

2.在SLB的Real-Server中的NGINX配置文件中增加.well-known的代理，代理到SSL证书服务器上。

server {
    listen 80;
    server_name  your.domain.com;
    root /usr/local/nginx/html;
    index index.html;
    location / {
      root   html;
      index  index.html index.htm;
    }
    location /.well-known { # 匹配.well-known路径
      proxy_pass http://ssl-server;   #代理到证书服务器
    }
}

以上是Real-Server配置文件片段，将.well-known的这个目录代理到证书服务器，使Let's Encrypt能够正确识别到CertBot创建的文件。

注意：每一台Real-Server都需要配置，否则负载均衡有可能将Let's Encrypt服务器的数据扔给没有配置代理的Real-Server，这将会导致签字失败。

3.在SSL证书服务器上创建web服务，响应代理的数据

server {
  listen       80;
  server_name  ssl-server; #为了安全起见，还是使用server_name来访问
  location / {
    root   /usr/local/nginx/html;
    index  index.html index.htm;
  }
}

以上配置端是SSL证书服务器的配置，用于响应Real-Server的Let's Encrypt的数据。

这样我们就配置好了，接下来可以开始签证了。

4.签证和更新证书。

做好了以上操作，我们就开始签字或者是更新证书了。

[root@HUANG html]# certbot certonly --webroot -w /usr/local/nginx/html/ -d your.domain.com #签证
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for ssl-test.linuxops.org
Using the webroot path /usr/local/nginx/html for all unmatched domains.
Waiting for verification...
Cleaning up challenges
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/your.domain.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/your.domain.com/privkey.pem
   Your cert will expire on 2017-11-11. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:
   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le
[root@HUANG html]# ls  /etc/letsencrypt/live/your.domain.com/fullchain.pem
/etc/letsencrypt/live/your.domain.com/fullchain.pem

从以上的信息看出签证已经成功了。

证书文件存放在/etc/letsencrypt/live/your.domain.com/，其实这个目录只是一个软连接，真正的证书文件存放在/etc/letsencrypt/archive/your.domain.com/，每一次续约成功后，证书文件的编号会增加一个，如下：

[root@OPS ~]# ls -l /etc/letsencrypt/archive/your.domain.com/
total 64
-rw-r--r-- 1 root root 1789 Nov  7 11:08 cert1.pem
-rw-r--r-- 1 root root 1789 Jan  6 22:00 cert2.pem
-rw-r--r-- 1 root root 1789 Jan 10 16:21 cert3.pem
-rw-r--r-- 1 root root 1789 Mar 19 09:52 cert4.pem
-rw-r--r-- 1 root root 1647 Nov  7 11:08 chain1.pem
-rw-r--r-- 1 root root 1647 Jan  6 22:00 chain2.pem
-rw-r--r-- 1 root root 1647 Jan 10 16:21 chain3.pem
-rw-r--r-- 1 root root 1647 Mar 19 09:52 chain4.pem
-rw-r--r-- 1 root root 3436 Nov  7 11:08 fullchain1.pem
-rw-r--r-- 1 root root 3436 Jan  6 22:00 fullchain2.pem
-rw-r--r-- 1 root root 3436 Jan 10 16:21 fullchain3.pem
-rw-r--r-- 1 root root 3436 Mar 19 09:52 fullchain4.pem
-rw-r--r-- 1 root root 1704 Nov  7 11:08 privkey1.pem
-rw-r--r-- 1 root root 1704 Jan  6 22:00 privkey2.pem
-rw-r--r-- 1 root root 1704 Jan 10 16:21 privkey3.pem
-rw-r--r-- 1 root root 1708 Mar 19 09:52 privkey4.pem

当然，每一次续约成功，/etc/letsencrypt/live/your.domain.com/下的软连接也会重新指到最新的证书上。

接下来就是要复制证书到real-server了，我们可以用rsync来同步证书。关于rsync就不详细说明了。Let's Encrypt这样做是为了没错续约的时候可以不用更改NGINX的配置。

注意：签证和更新的操作应该在SSL服务器上操作的，证书文件也会保存到SSL服务器上。

九、证书续约

Let's Encrypt免费SSL证书有效期为90天，可以配合crontab进行续签。

certbot renew --quiet --renew-hook "/bin/bash /data/script/certbot_update.sh"

以上命令更新证书，--renew-hook是个钩子，证书更新完毕触发钩子执行后面的命令你可以自己编写命令来触发NGINX重启以应用新证书，简直是贴心周到！

虽然证书的更新会自动将软连接指向到新的证书上，但是如果要应用新证书，依然需要重启删除NGINX的缓存文件并且重启。

十、证书同步

证书的签证是在一台专用服务器上完成的，我们需要将证书复制到负载均衡的Real-Server下，我们推荐使用RSYNC这样的同步软件，因为通过RSYNC同步，证书文件存放在本地Real-Server上，不会受其他因素影响。 rsync同步这里展开说明了，请大家自行百度谷歌。

十一、Let's Encrypt的一些重要问题

Let's Encrypt免费SSL证书对有效期，创建数量，创建频率，更新频率，以及访问频率都有做限制，如果用在生产环境中，请评估这些限制，具体详情可以查看官方文档。传送门

以上就是负载均衡下的CertBot自签Let's Encrypt免费SSL证书的思路和方法，如果有更好的办法请不吝赐教。