雷池WAF配置自动更新证书

前言

前几天公司同事说要给公司网站加一个 WAF 防火墙，就说到了这个雷池，我一听就想起来之前也看过这个雷池 WAF，既然想到了就给自己网站也加一个试试看吧。

加上来之后发现，好家伙，每天还真有好几百条攻击记录，看到记录之后感觉自己安心了好多，于是就决定这么用着了。

问题

雷池 WAF 本质上就是一个内置了规则和管理工具的 Nginx 反向代理，他要作为你网站最前置的反向代理，所以需要给他配置证书才能正常使用 SSL。

但是他内置的 SSL 证书配置，要么用他自己的证书工具(不支持泛域名，只支持 Let's Encrypt 证书)，要么就需要手动上传/粘贴证书信息才能配置，就非常的不好用。

我的网站使用 1panel 面板，而 1panel 面板有着很好用的证书更新功能，于是我就想怎么让雷池跟着 1panel 的证书自动更新证书。

实现方式

首先需要在雷池 WAF 的后台里，手动添加一个证书，并且设置到需要的网站上。

然后点右边的编辑，并且打开 F12 的网络页面。随便填点数据，点提交，然后查看旁边多出来的 cert 接口的信息。其中 id 字段便是你这个证书的 ID 值。

在系统设置里面，添加一个新的 API Token，记录下来。

然后创建一个计划任务，用你的运维面板或者 crontab 之类的都行，运行下面的脚本(请注意修改对应的值)。

#/bin/sh

crt=$(sed ":tag;N;s/\n/\\\n/;b tag" 你的证书文件路径)
key=$(sed ":tag;N;s/\n/\\\n/;b tag" 你的私钥文件路径)

curl --location --request POST "https://雷池的服务地址/api/open/cert" \
--header "X-SLCE-API-TOKEN: 你的API_Token" \
--header "Content-Type: application/json" \
--data "{
    \"manual\": {
        \"crt\": \"$crt\",
        \"key\": \"$key\"
    },
    \"type\": 2,
    \"id\": 你的证书ID
}"

修改后的案例。

#/bin/sh

crt=$(sed ":tag;N;s/\n/\\\n/;b tag" /abc/123/fullchain.pem)
key=$(sed ":tag;N;s/\n/\\\n/;b tag" /abc/123/privkey.pem)

curl --location --request POST "https://example.com/api/open/cert" \
--header "X-SLCE-API-TOKEN: XYZ_ABCD1234abcd7890qwer6543zxcv" \
--header "Content-Type: application/json" \
--data "{
    \"manual\": {
        \"crt\": \"$crt\",
        \"key\": \"$key\"
    },
    \"type\": 2,
    \"id\": 1
}"

之后只要运行这个脚本，雷池就可以更换新的证书了。