El script checkallsslcerts | Documentación de cPanel y WHM

El script checkallsslcerts

Válido para las versiones 82 hasta la última versión


Última modificación: 13 de abril de 2021

Visión general

Advertencia:

Nosotros fuertemente te recomiendo solamente ejecute este script si el soporte técnico de cPanel le aconseja que lo haga.

El sistema ejecuta el /usr/local/cpanel/bin/checkallsslcerts script durante la actualización nocturna de cPanel y WHM (upcp) proceso. Este script realiza las siguientes acciones:

  • Solicita un certificado SSL firmado por Sectigo para reemplazar los certificados que cumplen alguna de las siguientes condiciones:

    • Mantiene un algoritmo de firma débil.

    • Ha sido revocado.

    • Lo hace no tener una extensión de Nombre alternativo del sujeto (SAN).

    • Lo hace no tener una extensión Extended Key Usage (EKU) con el valor de autenticación del servidor.

    • Está autofirmado.

    • No es válido (por ejemplo, el nombre de host de su servidor debe ser válido y resolverse en DNS).

    • Expirará pronto, según los siguientes criterios:

  • Actualiza el certificado SSL para todos los servicios de cPanel y WHM.

Que hace el guion

Cuando el /usr/local/cpanel/bin/checkallsslcerts se ejecuta el script, el sistema realiza los siguientes pasos:

  1. El sistema crea un archivo de Validación de control de dominio (DCV), que se parece al siguiente ejemplo:

    4221C402112E4831C72C2E004614C47C.txt

    Nota:

    Los sistemas que utilizan EasyApache 4 almacenan este archivo en el /var/www/html/.well-known/pki-validation directorio.

  2. El sistema realiza una búsqueda de DNS para la dirección IP del nombre de host en los servidores de nombres raíz.

    Nota:

    Si el nombre de host devuelve varias direcciones IP, el sistema utilizará la primera dirección IP.

  3. El sistema utiliza la dirección IP del nombre de host para confirmar que puede acceder al archivo de Validación de control de dominio (DCV).

    • Para los servidores cPanel y WHM, el script utiliza la validación HTTP del archivo DCV.

    • Para los servidores cPanel DNSOnly®, el script usa la validación de DNS contra un DNS. TXT registro.

  4. Cuando pasa la verificación DCV local, el sistema envía una solicitud a la API de la tienda cPanel para el nuevo certificado SSL.

    • Si existe un certificado SSL válido y coincide con el archivo DCV, el sistema no realiza ninguna acción.

    • Si el sistema debe emitir un nuevo certificado SSL, el sistema envía una solicitud a Sectigo.

    • Sectigo valida el archivo DCV de las siguientes direcciones IP:

      1
      2
      3
      4
      
      178.255.81.12
      178.255.81.13
      91.199.212.132
      199.66.201.132
  5. El sistema registra las solicitudes de Sectigo para HTTP DVC en el /etc/apache2/logs/access expediente. También contiene cadenas de agentes de usuario que muestran quién accede al archivo DCV. Estas cadenas de agentes de usuario se parecen a los siguientes ejemplos:

Ejecuta el script

Recordar:

Nosotros fuertemente recomienda que solo ejecute este script manualmente si el soporte técnico de cPanel le aconseja que lo haga.

Para ejecutar este script en la línea de comando, use el siguiente formato:

/usr/local/cpanel/bin/checkallsslcerts [options]

Opciones

Utilice las siguientes opciones con este script:

Opciones

Descripción

Ejemplo

--allow-retry Si cPanel Store continúa procesando la solicitud de certificado de nombre de host, el sistema vuelve a comprobar cPanel Store en una hora. Para obtener más información sobre esta opción, consulte la allow-retry opciones sección siguiente. --allow-retry
--verbose Ejecute el script en modo detallado. --verbose

Las opciones de permitir-reintentar

Cuando el sistema verifica cPanel Store después de una hora, ejecuta el siguiente comando:

/usr/local/cpanel/scripts/try-later --action '/usr/local/cpanel/bin/checkallsslcerts --no-retry' --check '/bin/sh -c exit 1' –delay 60 --max-retries 1 --skip-first

Si el sistema debe reintentar el proceso de actualización del certificado SSL, agrega una entrada en el at daemon (atd) cola de trabajos. Para ver, ejecutar o eliminar un trabajo del atd cola, usa el /usr/local/cpanel/scripts/try-later script con una de las siguientes opciones:

Opción Descripción
atq Listar todo at trabajos en cola.
at -c # Muestra el contenido de un trabajo específico.
at -c # | sh Ejecute manualmente un trabajo en cola.
atrm # Elimina manualmente un trabajo en cola.

Producción

Si este script detecta errores cuando se ejecuta, envía un correo electrónico al administrador del sistema que contiene advertencias sobre esos errores.

Deshabilitar un certificado de nombre de host firmado por cPanel

Para deshabilitar la instalación de un certificado de nombre de host firmado por cPanel, ejecute el siguiente comando:

touch /var/cpanel/ssl/disable_auto_hostname_certificate

Para deshabilitar el reemplazo automático de todos los certificados de servicio vencidos y deshabilitar las notificaciones sobre certificados de servicio vencidos o vencidos, ejecute el siguiente comando:

touch /var/cpanel/ssl/disable_service_certificate_management

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *