徐嘉裕(Neil Hsu)的工作心得網誌!

有些學校伺服器因為長期遭到網路爬蟲攻擊洗流量，乾脆由上層路由防火牆GeoIP鎖掉台灣以外的IP，這樣是能立刻減少流量及0/1消耗，因為國外的爬蟲都被擋掉了，但同樣副作用也導致Let's Encrypt的 SSL憑證更新失敗，因為國外的IP都被鎖了，測試方式很簡單，只要於下列網址輸入需要模擬Let's Encrypt更新的網站，即可測試 Let's Debug： https://letsdebug.net/ 如果返回 紅字 ，那就是IP被鎖，上層 GeoIP 限制會讓驗證節點直接超時（Timeout during connect），連80port都連不到， 綠字 表示沒問題， 黃字 雖有問題仍可更新 解決無法更新方案就只能改用DNS‑01驗證，方法如下： 步驟 1：進入伺服器並執行 Certbot sudo certbot certonly --manual --preferred-challenges dns -d yses.tyc.edu.tw 步驟 2：Certbot 會顯示 TXT 記錄資訊 它會出現類似這樣的提示： Please deploy a DNS TXT record under the name: _acme-challenge.example.com. with the following value: s9pRq9l5R9Xg1wKQyEjQ0i_Z4Hh3V9cQeH6jLn2Qzj8 Before continuing, verify the TXT record has been deployed. 將以下綠字及紅字複製下來： 記錄名稱： _acme-challenge .example.com 記錄值： s9pRq9l5R9Xg1wKQyEjQ0i_Z4Hh3V9cQeH6jLn2Qzj8 備註：終端機上只需要把滑鼠左鍵長壓拖曳後放開即可自動複製，不需要用鍵盤的CTRL+C 步驟 3：在 Infoblox或是網址管理介面新增 TXT 記錄 登入 Infoblox 或網址管理介面(外網段) 找到 網址 對應的 DNS Zone 新增 TXT 記錄： Name： _acme-challenge （Infoblox 會自動加上 .example.com，不需要自己寫完整） Text / Value： s9pRq9l5R...

如果Ubuntu的Apach是用PPA套件安裝的，建議SSL憑證也用PPA套件安裝，因為這樣不但省事，還能使用Certbot的自動更新功能，不用再另外寫定時器及更新腳本，一樣能做到A+，設定方法如下說明： ※透過PPA下載安裝 Certbot 的SSL套件 1. 更新系統套件 sudo apt update sudo apt upgrade -y (upgrade -y可能會跑10分鐘正常狀態) 2. 加入 Certbot 官方 PPA sudo apt install software-properties-common sudo add-apt-repository ppa:certbot/certbot 3. 安裝 Certbot 與 Apache 插件 sudo apt install certbot python3-certbot-apache -y 4. 申請 SSL 憑證 如果有同時使用www及沒有www的網域請使用以下指令 (紅字改為您的網址) sudo certbot --apache -d example.com -d www.example.com 如果只有單一網域要申請憑證 sudo certbot --apache -d  www.example.com 送出後會有申請詢問 ->請輸入E-Mail：輸入有效電子郵件以接收到期通知。 ->同意條款：輸入 A 同意。 ->是否將 HTTP 強制轉向 HTTPS：選擇 2（自動設定轉向）。 ※如果返回 Deploying certificate Successfully deployed certificate for moral.jjes.tyc.edu.tw to /etc/apache2/sites-available/000-default-le-ssl.conf Congratulations! You have successfully enabled HTTPS on https:/ www.example.com 表示Certbot已經吧憑證設定寫入到 /etc/apache2/sites-available/000-default-le-ssl.conf 裡面，以下步驟可省略，但需要再000-default-le-ssl.conf 補上 SSLCer...