突然發現網站訪問時提示:您的連接不是私密連接 攻擊者可能會試圖從 www.xxxxx.com 竊取您的信息(例如:密碼、通訊內容或信用卡信息)。瞭解詳情 NET::ERR_CERT_DATE_INVALID
,這就很尷尬了,第一次遇到這種情況,還以爲域名解析出錯了呢。
點開高級按鈕,發現是因爲SSL證書過期了。
那麼開始更換SSL證書。
選擇
填寫申請信息
然後就等審覈結果就好了。
以爲審覈會很慢,結果五分鐘後刷新下,發現已經審覈通過了。
證書下載頁面,包含了Tomcat,Apache、nginx、IIS等證書,可以根據需要下載。
Apache證書裏面包含:
我這裏只需要替換原來traefik中的.key 和.crt證書即可。
traefik.toml文件內容如下:
# traefik.toml
################################################################
# 全局配置文件
################################################################
# 設置超時的時間(以秒爲單位)
# 在熱更新期間給還在活動中的請求來完成當前任務的超時時間
#
# 可選
# 默認: 10
#
# graceTimeOut = 10
# 開啓調試模式
#
# 可選
# 默認: false
#
# debug = true
# 定期檢查是否有新版本產生
#
# 可選
# 默認: true
#
# checkNewVersion = false
# Traefik 日誌文件
# 如果沒有定義, 日誌文件輸出到 stdout
#
# 可選
#
traefikLogsFile = "log/traefik.log"
# 日誌文件路徑
#
# 可選
#
accessLogsFile = "log/access.log"
# 日誌等級
#
# 可選
# 默認: "ERROR"
# 接受以下值,按照嚴重程度排序: "DEBUG", "INFO", "WARN", "ERROR", "FATAL", "PANIC"
# 日誌等級在配置值或配置值以上的信息將被日誌記錄。
#
# logLevel = "ERROR"
# 後端節流持續時間:在應用新配置之前,提供者的2個事件之間的最短持續時間(以秒爲單位)
# 如果在短時間內發送多個事件,它可以避免不必要的重新加載。
#
# 可選
# 默認: "2"
#
# ProvidersThrottleDuration = "5"
# 爲每個host控制最大空閒連接(keep-alive)。如果設置爲0,那麼將會使用
# Go語言基礎庫net/http中的DefaultMaxIdleConnsPerHost。
# 如果造成 'too many open files' 錯誤,你也可以增加這個值或改變 `ulimit`。
#
# 可選
# 默認: 200
#
# MaxIdleConnsPerHost = 200
# 如果設置爲 true, 無效的 SSL 證書也會被後端所接受。If set to true invalid SSL certificates are accepted for backends.
# 注意:這會禁用中間人攻擊(man-in-the-middle attacks)監測,所以只能被用在安全的後端網絡中。
#
# 可選
# 默認: false
#
# InsecureSkipVerify = true
# 被前端所使用的入口點未指定任何入口點。
# 任何前端可以指定它自己的入口點。
#
# 可選
# 默認: ["http"]
#
defaultEntryPoints = ["http", "https"]
[entryPoints]
[entryPoints.http]
address = ":80"
# [entryPoints.http.redirect]
# entryPoint = "https"
[entryPoints.https]
address = ":443"
[entryPoints.https.tls]
[[entryPoints.https.tls.certificates]]
CertFile = "/www.xxxxxx.com_public.crt"
KeyFile = "/www.xxxxxx.com.key"
[[entryPoints.https.tls.certificates]]
CertFile = "/yyyyyy/yyyyyy.com.pem"
KeyFile = "/yyyyyy/yyyyyy.com.key"
# [[entryPoints.https.tls.certificates]]
# CertFile = "/www.111111.com_public.crt"
# KeyFile = "/www.11111.com.key"
配置的證書名稱需要對應:CertFile 的路徑需要對應證書文件名稱和路徑。
traefik項目路徑:
接下來就是打包部署了。
如果使用了docker集羣,需要將所有的traefik版本全部更新完成之後,新的SSL纔會生效。
建議先從節點服務器開始更新,避免影響其他業務。