ACME SSL /TLS أتمتة مع Apache و Nginx

ستوجهك هذه الكيفية خلال إعداد التثبيت التلقائي للشهادة وتجديدها باستخدام SSL.com لـ Apache و Nginx باستخدام بروتوكول ACME وعميل Certbot.

ملحوظة: ستحتاج إلى وصول SSH و sudo امتيازات على خادم الويب الخاص بك لاتباع هذه التعليمات.
ملحوظة:
يمكنك استخدام العديد من عملاء ACME الآخرين، بما في ذلك مدير شهادات Kubernetes، مع خدمة ACME الخاصة بـ SSL.com.
com.acme4j  يمكن للعميل الآن استخدام خدمات SSL.com ACME في هذا المستودع: https://github.com/SSLcom/acme4j
يرجى الرجوع إلى وثائق موفر البرنامج الخاص بك للحصول على إرشادات لعملاء آخرين غير Certbot ACME.

قم بتثبيت Certbot واسترداد بيانات اعتماد ACME

  1. SSH في خادم الويب الخاص بك.
  2. تأكد من أن الإصدار الحالي من Certbot، جنبًا إلى جنب مع إضافات Apache و Nginx ، مثبتة على خادم الويب الخاص بك:
    • إذا كان لديك snapd مثبتة، يمكنك استخدام هذا الأمر للتثبيت: 
      تثبيت sudo snap - certbot الكلاسيكي
    • If /snap/bin/ ليس في الخاص بك PATH، ستحتاج أيضًا إلى إضافته أو تشغيل أمر مثل هذا: 
      sudo ln -s / snap / bin / certbot / usr / bin / certbot
  3. استرجع بيانات اعتماد ACME الخاصة بك من حساب SSL.com الخاص بك:
    1. قم بتسجيل الدخول إلى حساب SSL.com الخاص بك. إذا كنت قد قمت بتسجيل الدخول بالفعل ، فانتقل إلى لوحة المعلومات علامة التبويب.
      لوحة المعلومات
    2. انقر وثائق التفويض apiيقع تحت المطورين والتكامل.
      رابط بيانات اعتماد API
    3. سوف تحتاج الخاص بك مفتاح الحساب / ACME و مفتاح HMAC لطلب الشهادات. انقر فوق أيقونة الحافظة () بجانب كل مفتاح لنسخ القيمة إلى الحافظة.
      مفتاح الحساب / ACME ومفتاح HMAC
اذهب الى القمة

تثبيت Apache والأتمتة

استخدم أمرًا مثل هذا للتثبيت على Apache. استبدل القيم بالأحرف الكبيرة بقيمك الفعلية:

sudo certbot --apache --email EMAIL-ADDRESS --agree-tos - no-eff-email --config-dir / etc / ssl-com --logs-dir / var / log / ssl-com --eab -Kid Account-KEY --eab-hmac-key HMAC-KEY - الخادم https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME

كسر الأمر:

  • sudo certbot يدير certbot الأمر بامتيازات المستخدم المتميز.
  • --apache يحدد لتثبيت الشهادات للاستخدام مع Apache.
  • --email EMAIL-ADDRESS يوفر عنوان بريد إلكتروني للتسجيل. يمكنك تحديد عناوين متعددة ، مفصولة بفواصل.
  • --agree-tos (اختياري) يوافق على اتفاقية المشتركين لدى عربكو. يمكنك حذف هذا إذا كنت تريد الموافقة بشكل تفاعلي.
  • --no-eff-email (اختياري) يشير إلى أنك لا تريد مشاركة عنوان بريدك الإلكتروني مع EFF. إذا حذفت هذا ، فستتم مطالبتك بخيار مشاركة عنوان بريدك الإلكتروني.
  • --config-dir /etc/ssl-com (اختياري) يحدد دليل التكوين.
  • --logs-dir /var/log/ssl-com (اختياري) يحدد الدليل للسجلات.
  • --eab-kid ACCOUNT-KEY يحدد مفتاح حسابك.
  • --eab-hmac-key HMAC-KEY يحدد مفتاح HMAC الخاص بك.
  • --server https://acme.ssl.com/sslcom-dv-ecc تحدد خادم ACME الخاص بـ SSL.com.
  • -d DOMAIN.NAME يحدد اسم المجال الذي ستغطيه الشهادة.
ملحوظة: Certbot 2.0.0 أو أحدث الإعدادات الافتراضية لتوليد ECDSA للشهادات الجديدة. الأمر أعلاه خاص بزوج مفاتيح وشهادة ECDSA. لاستخدام مفاتيح RSA بدلاً من ذلك:

  • تغيير --server القيمة في الأمر إلى https://acme.ssl.com/sslcom-dv-rsa
ملحوظة: يمكنك استخدام -d DOMAIN.NAME الخيار عدة مرات في الأمر الخاص بك لإضافة أسماء المجال إلى شهادتك. يرجى الاطلاع على معلوماتنا على أنواع الشهادات والفواتير لمعرفة كيفية تعيين مجموعات مختلفة من أسماء النطاقات إلى أنواع شهادات SSL.com والتسعير المقابل لها.
عندما تقوم بتشغيل ما ورد أعلاه لأول مرة certbot الأمر ، سيتم تخزين معلومات حساب ACME على جهاز الكمبيوتر الخاص بك في دليل التكوين (/etc/ssl-com في الأمر الموضح أعلاه. في عمليات التشغيل المستقبلية لـ certbot ، يمكنك حذف ملف --eab-hmac-key و --eab-kid خيارات لأن certbot سوف يتجاهلها لصالح معلومات الحساب المخزنة محليًا.

إذا كنت بحاجة إلى ربط طلبات شهادات ACME للكمبيوتر بحساب SSL.com مختلف ، فيجب عليك إزالة معلومات الحساب هذه من جهاز الكمبيوتر الخاص بك باستخدام الأمر sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (أو ، إذا حذفت الخيار --config-dir اختيار، sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

يجب أن ترى مثل هذا الإخراج بعد تشغيل الأمر:

حفظ سجل التصحيح في /var/log/ssl-com/letsencrypt.log المكونات الإضافية المحددة: Authenticator apache، Installer apache الحصول على شهادة جديدة تنفيذ التحديات التالية: http-01 التحدي لـ DOMAIN.NAME في انتظار التحقق ... تنظيف التحديات تم إنشاء SSL vhost على /etc/apache2/sites-available/DOMAIN-le-ssl.conf نشر الشهادة على VirtualHost /etc/apache2/sites-available/DOMAIN-le-ssl.conf تمكين الموقع المتاح: / etc / apache2 / sites-available / DOMAIN-le-ssl.conf إعادة توجيه vhost في /etc/apache2/sites-enabled/DOMAIN.NAME.conf إلى ssl vhost في /etc/apache2/sites-available/DOMAIN-le-ssl.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - تهانينا! لقد نجحت في تمكين https://DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

ستنشئ Certbot أيضًا ملف crontab مثل هذا للتجديد التلقائي غير التفاعلي لأي شهادة مثبتة على certbot تنتهي صلاحيتها في غضون 30 يومًا:

$ cat /etc/cron.d/certbot # /etc/cron.d/certbot: إدخالات crontab لحزمة certbot # # Upstream يوصي بمحاولة التجديد مرتين يوميًا # # في النهاية ، ستكون هذه فرصة للتحقق من صحة الشهادات # ملاذ ' تم الإلغاء ، إلخ. لن يتم التجديد إلا إذا كان انتهاء الصلاحية # في غضون 30 يومًا. # # ملاحظة مهمة! لن يتم تنفيذ cronjob هذا إذا كنت تستخدم نظام التشغيل # كنظام init. إذا كنت تقوم بتشغيل systemd ، فإن # وظيفة cronjob.timer لها الأسبقية على وظيفة cronjob هذه. لمزيد من التفاصيل ، راجع صفحة إدارة systemd.timer ، أو استخدم systemctl show # certbot.timer. SHELL = / bin / sh PATH = / usr / local / sbin: / usr / local / bin: / sbin: / bin: / usr / sbin: / usr / bin 0 * / 12 * * * اختبار الجذر -x / usr / بن / certbot -a \! -d / run / systemd / system && perl -e 'sleep int (rand (43200))' && certbot -q تجديد
ملحوظة: كل SSL /TLS الشهادات الصادرة عبر ACME بواسطة SSL.com لها عمر عام واحد.
اذهب الى القمة

تثبيت Nginx وأتمتة

بالنسبة لـ Nginx ، استبدل ببساطة --nginx For --apache في الأمر الموضح أعلاه:

sudo certbot --nginx --email EMAIL-ADDRESS --agree-tos - no-eff-email --config-dir / etc / ssl-com --logs-dir / var / log / ssl-com --eab -Kid Account-KEY --eab-hmac-key HMAC-KEY - الخادم https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
ملحوظة: Certbot 2.0.0 أو أحدث الإعدادات الافتراضية لتوليد ECDSA للشهادات الجديدة. الأمر أعلاه خاص بزوج مفاتيح وشهادة ECDSA. لاستخدام مفاتيح RSA بدلاً من ذلك:

  • تغيير --server القيمة في الأمر إلى https://acme.ssl.com/sslcom-dv-rsa
اذهب الى القمة

فرض التجديد يدويًا

إذا كنت ترغب في تجديد شهادة يدويًا قبل انتهاء الصلاحية ، فاستخدم هذا الأمر:

تجديد certbot - تجديد القوة - اسم الشهادة DOMAIN.NAME

يوفر SSL.com مجموعة متنوعة من SSL /TLS شهادات الخادم لمواقع HTTPS.

قارن SSL /TLS شهادات

فريق دعم SSL.com

المؤلف - مسؤول المحتوى
جميع المشاركات

ذات الصلة كيف Tos

عرض الكل How Tos
فيسبوك لينكد إن تويتر يوتيوب جيثب

اشترك في النشرة الإخبارية لـ SSL.com

ما هو SSL /TLS?

البدء

اشترك في النشرة الإخبارية SSL.com

لا تفوت المقالات والتحديثات الجديدة من SSL.com

ابق على اطلاع وآمن

SSL.com هي شركة عالمية رائدة في مجال الأمن السيبراني، PKI والشهادات الرقمية. قم بالتسجيل لتلقي آخر أخبار الصناعة والنصائح وإعلانات المنتجات من SSL.com.

نحن نحب ملاحظاتك

شارك في استبياننا وأخبرنا بأفكارك حول عملية الشراء الأخيرة.

خذ المسح