ACME SSL /TLS Automatizace s Apache a Nginx

Tento návod vás provede nastavením automatizované instalace a obnovení certifikátu pomocí SSL.com pro Apache a Nginx s protokolem ACME a klientem Certbot.

Poznámka: Budete potřebovat přístup SSH a sudo postupujte podle těchto pokynů.
Poznámka:
Můžete použít mnoho dalších klientů ACME, včetně Cert-manager Kubernetes, se službou ACME SSL.com.
acme4j  klient nyní může používat služby SSL.com ACME na tomto úložišti: https://github.com/SSLcom/acme4j
Pokyny pro ostatní klienty ACME, kteří nejsou Certbot, naleznete v dokumentaci poskytovatele softwaru.

Nainstalujte Certbot a načtěte pověření ACME

  1. SSH na váš webový server.
  2. Ujistěte se, že aktuální verze Certbotspolu s doplňky Apache a Nginx jsou nainstalovány na vašem webovém serveru:
    • Pokud máte snapd nainstalován, můžete použít tento příkaz pro instalaci: 
      sudo snap install --classic certbot
    • If /snap/bin/ není ve vašem PATH, budete také muset přidat nebo spustit příkaz, jako je tento: 
      sudo ln -s / snap / bin / certbot / usr / bin / certbot
  3. Načtěte svá pověření ACME ze svého účtu SSL.com:
    1. Přihlaste se ke svému účtu SSL.com. Pokud jste již přihlášeni, přejděte na stránku Hlavní obrazovka Karta.
      Hlavní obrazovka
    2. klikněte api pověření, umístěný pod vývojáři a integrace.
      Odkaz pověření API
    3. Budete potřebovat vaše Klíč účtu / ACME a Klíč HMAC požadovat certifikáty. Klikněte na ikonu schránky () vedle každého klíče zkopírujte hodnotu do schránky.
      Klíč účtu / ACME a klíč HMAC
Přejít na začátek

Apache instalace a automatizace

Použijte takovýto příkaz k instalaci na Apache. Nahraďte hodnoty v ALL CAPS vašimi skutečnými hodnotami:

sudo certbot --apache --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME

Rozdělení příkazu:

  • sudo certbot běží certbot příkaz s oprávněními superuživatele.
  • --apache určuje instalaci certifikátů pro použití s ​​Apache.
  • --email EMAIL-ADDRESS poskytuje registrační e-mailovou adresu. Můžete zadat více adres oddělených čárkami.
  • --agree-tos (volitelně) souhlasí s účastnickou dohodou ACME. To můžete vynechat, pokud se chcete dohodnout interaktivně.
  • --no-eff-email (volitelné) označuje, že nechcete sdílet svou e-mailovou adresu s EFF. Pokud toto vynecháte, budete vyzváni k možnosti sdílet vaši e-mailovou adresu.
  • --config-dir /etc/ssl-com (volitelné) nastaví konfigurační adresář.
  • --logs-dir /var/log/ssl-com (volitelné) nastaví adresář pro protokoly.
  • --eab-kid ACCOUNT-KEY určuje klíč vašeho účtu.
  • --eab-hmac-key HMAC-KEY určuje váš klíč HMAC.
  • --server https://acme.ssl.com/sslcom-dv-ecc specifikuje server ACME serveru SSL.com.
  • -d DOMAIN.NAME Určuje název domény, na který se certifikát bude vztahovat.
Poznámka: Certbot 2.0.0 nebo novější standardně generuje ECDSA pro nové certifikáty. Výše uvedený příkaz je pro pár klíčů a certifikát ECDSA. Chcete-li místo toho použít klíče RSA:

  • Změň --server hodnota v příkazu do https://acme.ssl.com/sslcom-dv-rsa
Poznámka: Můžete použít -d DOMAIN.NAME možnost vícekrát v příkazu přidat názvy domén k vašemu certifikátu. Přečtěte si prosím naše informace o typy certifikátů a fakturace abyste zjistili, jak se různé kombinace doménových jmen mapují Typy certifikátů SSL.com a jejich odpovídající ceny.
Při prvním spuštění výše uvedeného certbot příkaz, informace o účtu ACME budou uloženy na vašem počítači v konfiguračním adresáři (/etc/ssl-com ve výše uvedeném příkazu. Při budoucích bězích certbotu můžete vynechat --eab-hmac-key a --eab-kid možnosti, protože certbot je bude ignorovat ve prospěch informací o místně uloženém účtu.

Pokud potřebujete spojit své objednávky certifikátů ACME pro počítač s jiným účtem SSL.com, měli byste tyto informace o účtu z počítače odebrat pomocí příkazu sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (nebo, pokud jste vynechali nepovinné --config-dir volba, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

Po spuštění příkazu byste měli vidět takový výstup:

Ukládání protokolu ladění do /var/log/ssl-com/letsencrypt.log Vybrané doplňky: Apache Authenticator, Installer apache Získání nového certifikátu Provedení následujících výzev: výzva http-01 pro DOMAIN.NAME Čekání na ověření ... Vyčištění výzev Vytvořil vhost SSL na /etc/apache2/sites-available/DOMAIN-le-ssl.conf Nasazení certifikátu na VirtualHost /etc/apache2/sites-available/DOMAIN-le-ssl.conf Povolení dostupného webu: / etc / apache2 / sites-available / DOMAIN-le-ssl.conf Přesměrování vhost v /etc/apache2/sites-enabled/DOMAIN.NAME.conf na ssl vhost v /etc/apache2/sites-available/DOMAIN-le-ssl.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Gratulujeme! Úspěšně jste povolili https://DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Certbot také vytvoří soubor crontab pro automatické neinteraktivní obnovení jakéhokoli certifikátu nainstalovaného certbotem, jehož platnost vyprší do 30 dnů:

$ cat /etc/cron.d/certbot # /etc/cron.d/certbot: položky crontab pro balíček certbot # # Upstream doporučuje pokus o obnovení dvakrát denně # # Nakonec to bude příležitost ověřit certifikáty # útočiště ' nebylo odvoláno atd. K obnovení dojde pouze v případě, že vypršení platnosti # je do 30 dnů. # # Důležitá poznámka! Tato cronjob NEBUDE provedena, pokud # používáte systemd jako svůj init systém. Pokud používáte systemd, # funkce cronjob.timer má přednost před touto cronjob. # Další podrobnosti najdete na stránce systemd.timer nebo použijte systemctl show # certbot.timer. SHELL = / bin / sh PATH = / usr / local / sbin: / usr / local / bin: / sbin: / bin: / usr / sbin: / usr / bin 0 * / 12 * * * root test -x / usr / bin / certbot -a \! -d / run / systemd / system && perl -e 'sleep int (rand (43200))' && certbot -q obnovit
Poznámka: Vše SSL /TLS certifikáty vydané přes ACME na SSL.com mají jednoroční životnost.
Přejít na začátek

Instalace a automatizace Nginx

Pro Nginx jednoduše nahraďte --nginx for --apache ve výše uvedeném příkazu:

sudo certbot --nginx --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
Poznámka: Certbot 2.0.0 nebo novější standardně generuje ECDSA pro nové certifikáty. Výše uvedený příkaz je pro pár klíčů a certifikát ECDSA. Chcete-li místo toho použít klíče RSA:

  • Změň --server hodnota v příkazu do https://acme.ssl.com/sslcom-dv-rsa
Přejít na začátek

Vynutit ruční obnovení

Pokud si přejete ručně obnovit certifikát před blížící se expirací, použijte tento příkaz:

certbot restore --force-obnova --cert-name DOMAIN.NAME

SSL.com poskytuje širokou škálu SSL /TLS certifikáty serveru pro webové stránky HTTPS.

POROVNAT SSL /TLS CERTIFIKÁTY

Tým podpory SSL.com

Autor - správce obsahu
Všechny příspěvky

Související Jak Tos

Zobrazit vše, jak Tos
facebook linkedin X Youtube GitHub

Přihlaste se k odběru zpravodaje SSL.com

Co je SSL /TLS?

Přehrát video

Přihlaste se k odběru zpravodaje SSL.com

Nenechte si ujít nové články a aktualizace z SSL.com

Zůstaňte informováni a zabezpečte se

SSL.com je světovým lídrem v oblasti kybernetické bezpečnosti, PKI a digitální certifikáty. Přihlaste se k odběru nejnovějších zpráv z oboru, tipů a oznámení o produktech SSL.com.

Budeme rádi za vaši zpětnou vazbu

Vyplňte náš průzkum a sdělte nám svůj názor na váš nedávný nákup.

Zúčastněte se průzkumu