运维脚本——8.证书自动化管理

场景：自动化SSL/TLS证书的申请、续期和部署，避免证书过期导致服务中断。
示例：使用Shell脚本配合Let's Encrypt的Certbot工具自动续期证书。

#!/bin/bash
# 自动续期Let's Encrypt证书并重启服务
certbot renew --quiet --post-hook "systemctl reload nginx"

扩展案例：检查证书过期时间并触发告警。

import ssl
import socket
import datetime
import smtplib

def check_cert_expiry(domain, port=443):
    context = ssl.create_default_context()
    with socket.create_connection((domain, port)) as sock:
        with context.wrap_socket(sock, server_hostname=domain) as ssock:
            cert = ssock.getpeercert()
    expires_on = datetime.datetime.strptime(cert['notAfter'], '%b %d %H:%M:%S %Y %Z')
    days_left = (expires_on - datetime.datetime.now()).days
    return days_left

domain = "example.com"
threshold = 30
days_left = check_cert_expiry(domain)

if days_left < threshold:
    msg = f"证书 {domain} 将在 {days_left} 天后过期！"
    smtp_server = smtplib.SMTP('smtp.example.com', 587)
    smtp_server.login('admin@example.com', 'password')
    smtp_server.sendmail('admin@example.com', 'ops-team@example.com', msg)
    smtp_server.quit()