Tento návod vás provede nastavením automatizované instalace a obnovení certifikátu pomocí SSL.com pro Apache a Nginx s protokolem ACME a klientem Certbot.
sudo
postupujte podle těchto pokynů.Můžete použít mnoho dalších klientů ACME, včetně Cert-manager Kubernetes, se službou ACME SSL.com.
acme4j klient nyní může používat služby SSL.com ACME na tomto úložišti: https://github.com/SSLcom/acme4j
Pokyny pro ostatní klienty ACME, kteří nejsou Certbot, naleznete v dokumentaci poskytovatele softwaru.
Nainstalujte Certbot a načtěte pověření ACME
- SSH na váš webový server.
- Ujistěte se, že aktuální verze Certbotspolu s doplňky Apache a Nginx jsou nainstalovány na vašem webovém serveru:
- Pokud máte snapd nainstalován, můžete použít tento příkaz pro instalaci:
sudo snap install --classic certbot
- If
/snap/bin/
není ve vašemPATH
, budete také muset přidat nebo spustit příkaz, jako je tento:sudo ln -s / snap / bin / certbot / usr / bin / certbot
- Pokud máte snapd nainstalován, můžete použít tento příkaz pro instalaci:
- Načtěte svá pověření ACME ze svého účtu SSL.com:
- Přihlaste se ke svému účtu SSL.com. Pokud jste již přihlášeni, přejděte na stránku Hlavní obrazovka Karta.
- klikněte api pověření, umístěný pod vývojáři a integrace.
- Budete potřebovat vaše Klíč účtu / ACME a Klíč HMAC požadovat certifikáty. Klikněte na ikonu schránky () vedle každého klíče zkopírujte hodnotu do schránky.
- Přihlaste se ke svému účtu SSL.com. Pokud jste již přihlášeni, přejděte na stránku Hlavní obrazovka Karta.
Apache instalace a automatizace
Použijte takovýto příkaz k instalaci na Apache. Nahraďte hodnoty v ALL CAPS vašimi skutečnými hodnotami:
sudo certbot --apache --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
Rozdělení příkazu:
sudo certbot
běžícertbot
příkaz s oprávněními superuživatele.--apache
určuje instalaci certifikátů pro použití s Apache.--email EMAIL-ADDRESS
poskytuje registrační e-mailovou adresu. Můžete zadat více adres oddělených čárkami.--agree-tos
(volitelně) souhlasí s účastnickou dohodou ACME. To můžete vynechat, pokud se chcete dohodnout interaktivně.--no-eff-email
(volitelné) označuje, že nechcete sdílet svou e-mailovou adresu s EFF. Pokud toto vynecháte, budete vyzváni k možnosti sdílet vaši e-mailovou adresu.--config-dir /etc/ssl-com
(volitelné) nastaví konfigurační adresář.--logs-dir /var/log/ssl-com
(volitelné) nastaví adresář pro protokoly.--eab-kid ACCOUNT-KEY
určuje klíč vašeho účtu.--eab-hmac-key HMAC-KEY
určuje váš klíč HMAC.--server https://acme.ssl.com/sslcom-dv-ecc
specifikuje server ACME serveru SSL.com.-d DOMAIN.NAME
Určuje název domény, na který se certifikát bude vztahovat.
- Změň
--server
hodnota v příkazu dohttps://acme.ssl.com/sslcom-dv-rsa
.
-d DOMAIN.NAME
možnost vícekrát v příkazu přidat názvy domén k vašemu certifikátu. Přečtěte si prosím naše informace o typy certifikátů a fakturace abyste zjistili, jak se různé kombinace doménových jmen mapují Typy certifikátů SSL.com a jejich odpovídající ceny.certbot
příkaz, informace o účtu ACME budou uloženy na vašem počítači v konfiguračním adresáři (/etc/ssl-com
ve výše uvedeném příkazu. Při budoucích bězích certbotu můžete vynechat --eab-hmac-key
a --eab-kid
možnosti, protože certbot je bude ignorovat ve prospěch informací o místně uloženém účtu.
Pokud potřebujete spojit své objednávky certifikátů ACME pro počítač s jiným účtem SSL.com, měli byste tyto informace o účtu z počítače odebrat pomocí příkazu sudo rm -r /etc/ssl-com/accounts/acme.ssl.com
(nebo, pokud jste vynechali nepovinné --config-dir
volba, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com
).
Po spuštění příkazu byste měli vidět takový výstup:
Ukládání protokolu ladění do /var/log/ssl-com/letsencrypt.log Vybrané doplňky: Apache Authenticator, Installer apache Získání nového certifikátu Provedení následujících výzev: výzva http-01 pro DOMAIN.NAME Čekání na ověření ... Vyčištění výzev Vytvořil vhost SSL na /etc/apache2/sites-available/DOMAIN-le-ssl.conf Nasazení certifikátu na VirtualHost /etc/apache2/sites-available/DOMAIN-le-ssl.conf Povolení dostupného webu: / etc / apache2 / sites-available / DOMAIN-le-ssl.conf Přesměrování vhost v /etc/apache2/sites-enabled/DOMAIN.NAME.conf na ssl vhost v /etc/apache2/sites-available/DOMAIN-le-ssl.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Gratulujeme! Úspěšně jste povolili https://DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Certbot také vytvoří soubor crontab pro automatické neinteraktivní obnovení jakéhokoli certifikátu nainstalovaného certbotem, jehož platnost vyprší do 30 dnů:
$ cat /etc/cron.d/certbot # /etc/cron.d/certbot: položky crontab pro balíček certbot # # Upstream doporučuje pokus o obnovení dvakrát denně # # Nakonec to bude příležitost ověřit certifikáty # útočiště ' nebylo odvoláno atd. K obnovení dojde pouze v případě, že vypršení platnosti # je do 30 dnů. # # Důležitá poznámka! Tato cronjob NEBUDE provedena, pokud # používáte systemd jako svůj init systém. Pokud používáte systemd, # funkce cronjob.timer má přednost před touto cronjob. # Další podrobnosti najdete na stránce systemd.timer nebo použijte systemctl show # certbot.timer. SHELL = / bin / sh PATH = / usr / local / sbin: / usr / local / bin: / sbin: / bin: / usr / sbin: / usr / bin 0 * / 12 * * * root test -x / usr / bin / certbot -a \! -d / run / systemd / system && perl -e 'sleep int (rand (43200))' && certbot -q obnovit
Instalace a automatizace Nginx
Pro Nginx jednoduše nahraďte --nginx
for --apache
ve výše uvedeném příkazu:
sudo certbot --nginx --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
- Změň
--server
hodnota v příkazu dohttps://acme.ssl.com/sslcom-dv-rsa
.
Vynutit ruční obnovení
Pokud si přejete ručně obnovit certifikát před blížící se expirací, použijte tento příkaz:
certbot restore --force-obnova --cert-name DOMAIN.NAME
SSL.com poskytuje širokou škálu SSL /TLS certifikáty serveru pro webové stránky HTTPS.