宝塔面板不提供CRL可视化管理,需手动下载CA提供的CRL文件并配置Nginx的ssl_crl指令;须逐站配置、验证文件有效性,并可选自建CRL服务统一托管。
如果您在宝塔面板中需要对服务器上已部署的多个SSL证书对应的吊销列表(CRL)进行有效管理,则需明确CRL并非由宝塔面板原生提供可视化操作界面,而是依赖Nginx/Apache配置与证书文件体系协同生效。以下是针对该需求的具体操作路径:
一、确认CRL文件来源与存放位置
CRL文件通常由证书颁发机构(CA)提供,需手动下载并保存至服务器指定目录,供Web服务引用。宝塔面板不自动生成或托管CRL文件,因此必须确保每个SSL证书对应的有效CRL文件已就位。
1、登录证书颁发机构官网,查找对应域名证书的CRL分发点(CDP)URL,该URL通常在证书详情的“CRL Distribution Points”字段中可查。
2、使用curl命令下载CRL文件,例如:curl -o /www/server/panel/vhost/cert/example.com/crl.pem https://crl.example-ca.com/example.crl。
3、检查CRL文件格式是否为PEM编码,执行openssl crl -in /www/server/panel/vhost/cert/example.com/crl.pem -noout -text验证其有效性及有效期。
二、在Nginx配置中启用CRL验证
Nginx需通过ssl_crl指令指向CRL文件路径,才能对客户端证书进行吊销状态校验;该设置需为每个启用OCSP或CRL验证的站点单独配置,不可全局复用。
1、进入宝塔面板 → 网站 → 对应站点 → 配置文件。
2、在server块内的SSL相关配置段落中,添加一行:ssl_crl /www/server/panel/vhost/cert/example.com/crl.pem;。
3、确保同一server块中已启用证书验证:ssl_verify_client on;(仅当需强制校验客户端证书时适用)。
4、保存配置后,点击“重载配置”使Nginx重新加载规则。
三、通过OpenSSL命令行批量检查多个CRL状态
当服务器托管多个域名且各自关联不同CA签发的证书时,需独立验证各CRL文件是否仍在有效期内、未被更新覆盖或损坏,避免因单个CRL失效导致整站HTTPS异常。
1、编写Shell脚本遍历所有站点证书目录,定位crl.pem文件:find /www/server/panel/vhost/cert/ -name "crl.pem"。
2、对每个找到的CRL文件执行过期检查:openssl crl -in /path/to/crl.pem -noout -nextupdate 2>/dev/null | grep -q "$(date -d '+1 day' +%b\ %d\ %H:%M:%S\ %Y)" || echo "警告:/path/to/crl.pem 即将过期"。
3、将输出结果重定向至日志文件,例如:/bin/bash /www/scripts/check_crl.sh > /www/wwwlogs/crl_status.log 2>&1。
四、使用自建CRL分发服务统一托管
若管理数十个以上SSL证书,且多个证书同属一个私有CA,则可搭建本地CRL HTTP服务,使所有Nginx站点统一指向同一CRL地址,降低维护复杂度并支持热更新。
1、在服务器新建目录并赋予Nginx读取权限:mkdir -p /var/www/crl && chown www:www /var/www/crl。
2、将最新CRL文件复制至此目录,并命名为统一名称如ca.crl.pem。
3、在宝塔面板中新增一个静态网站,根目录设为/var/www/crl,绑定域名如crl.internal.site。
4、修改所有相关站点的Nginx配置,将ssl_crl路径替换为:ssl_crl https://crl.internal.site/ca.crl.pem;。
