https://www.eternal.foo/docs/debian/certbot/hooks/Recent content in Hooks on 我的文档站Hugozh-CNCopyright (c) 2020-2026 Thulitehttps://www.eternal.foo/docs/debian/certbot/hooks/api-hook/Mon, 01 Jan 0001 00:00:00 +0000https://www.eternal.foo/docs/debian/certbot/hooks/api-hook/<ol> <li>原理</li> </ol> <p>Certbot 默认使用 HTTP-01 或 DNS-01 验证来证明你对域名的控制权。</p> <p>HTTP-01：在服务器上放置一个临时文件，让 Let’s Encrypt 访问验证。</p> <p>DNS-01：在域名 DNS 上添加 TXT 记录来验证。</p> <p>当你使用 DNS-01 + API 模式时，Certbot 不需要你手动去 DNS 管理后台添加 TXT 记录，而是直接调用 DNS 服务商的 API 自动完成验证。这通常通过 Certbot 的 DNS 插件（如 certbot-dns-cloudflare、certbot-dns-route53 等）实现。</p>https://www.eternal.foo/docs/debian/certbot/hooks/deploy-hook/Mon, 01 Jan 0001 00:00:00 +0000https://www.eternal.foo/docs/debian/certbot/hooks/deploy-hook/<p>Deploy Hook 是 Certbot 中用于在证书成功签发或续期后自动执行脚本的一种机制。它常用于<strong>自动化部署证书</strong>，比如重启服务、复制证书、更新配置等。</p> <hr> <h2 id="一certbot-hook-简介">一、Certbot Hook 简介</h2> <p>在 Certbot 的生命周期中，主要有三种 Hook：</p> <table> <thead> <tr> <th>Hook 类型</th> <th>触发时机</th> </tr> </thead> <tbody> <tr> <td><code>--pre-hook</code></td> <td>申请/续期前执行</td> </tr> <tr> <td><code>--post-hook</code></td> <td>申请/续期后执行（无论成功与否）</td> </tr> <tr> <td><code>--deploy-hook</code></td> <td><strong>仅在证书成功更新后执行</strong></td> </tr> </tbody> </table> <p>Deploy Hook 是最常用的一种自动化方式，因为它只在证书真正更新时触发，避免不必要操作。</p>https://www.eternal.foo/docs/debian/certbot/hooks/post-hook/Mon, 01 Jan 0001 00:00:00 +0000https://www.eternal.foo/docs/debian/certbot/hooks/post-hook/<h4 id="使用场景1--ha2">使用场景1 : ha2</h4> <p>假设我有一个程序是ha2,当Certbot自动更新完证书之后:</p> <ol> <li>需要将新证书复制到<code>etc/ha2</code>目录下</li> <li>在复制证书之前停止ha2,复制完证书之后,重启ha2,实现重新载入新的证书</li> <li>可以根据自己的实际需求,修改<code>fullchain.pem</code> 和 <code>privkey.pem</code>证书权限.</li> </ol> <h5 id="脚本示例1">脚本示例1:</h5> <div class="expressive-code"> <figure class="frame not-content"> <figcaption class="header"> <span class="title"></span> </figcaption> <pre tabindex="0"><code class="language-config" data-lang="config">#!/bin/bash DOMAIN=&#34;www.test.net&#34; SRC=&#34;/etc/letsencrypt/live/$DOMAIN&#34; DST=&#34;/etc/ha2&#34; #停止ha2 systemctl stop ha2-server.service # 拷贝证书到 ha2 专用路径 cp &#34;$SRC/fullchain.pem&#34; &#34;$DST/fullchain.pem&#34; cp &#34;$SRC/privkey.pem&#34; &#34;$DST/privkey.pem&#34; # 设置安全权限 chown ha2:ha2 &#34;$DST/fullchain.pem&#34; &#34;$DST/privkey.pem&#34; chmod 0644 &#34;$DST/fullchain.pem&#34; chmod 0640 &#34;$DST/privkey.pem&#34; #重启ha2 systemctl restart ha2-server.service</code></pre> </figure> </div> <h5 id="修改脚本">修改脚本</h5> <ol> <li>将<code>www.test.net</code>修改成你真实需要的域名</li> <li>将<code>/etc/ha2</code>改成你需要证书存放的目录</li> <li>将命令<code>grep ha2 /etc/passwd</code>中<code>ha2</code>修改你你实际的应用名称,并在终端中输入,并查看输出结果,例如:</li> </ol> <div class="expressive-code"> <figure class="frame not-content"> <figcaption class="header"> <span class="title"></span> </figcaption> <pre tabindex="0"><code class="language-Terminal" data-lang="Terminal">root@test:~# grep ha2 /etc/passwd ha2:x:999:996::/var/lib/ha2:/bin/sh</code></pre> </figure> </div> <p>提示: 从上面输出我们已经得知,ha2的用户名是<code>ha2</code>,因此根据你自己的实际需求修改<code>chown ha2:ha2 &quot;$DST/fullchain.pem&quot; &quot;$DST/privkey.pem</code>中的<code>ha2:ha2</code> 提示: <code>chown ha2:ha2 &quot;$DST/fullchain.pem&quot; &quot;$DST/privkey.pem</code>中 第一个<code>ha2</code>是用户名,可以使用命令<code>getent passwd ha2</code>验证用户是否存在 第二个<code>ha2</code>是用户组,可以使用命令<code>id ha2</code>验证<code>ha2</code>用户所属的gid的name,例如:</p>