Zákazníci SSL.com nyní mohou pomocí populárního protokolu ACME požadovat a zrušit SSL /TLS certifikáty.
ACME (Automated Certificate Management Environment) je standardní protokol pro automatické ověřování domén a instalaci certifikátů X.509, dokumentovaný v IETF RFC 8555. Jako dobře zdokumentovaný standard s mnoha open-source implementace klientů, ACME nabízí bezbolestný způsob poskytování webových stránek nebo Zařízení IoT jako jsou modemy a směrovače s veřejně nebo soukromě důvěryhodnými digitálními certifikáty a tyto certifikáty průběžně aktualizujte.
Tato příručka vám ukáže, jak:
- Vyhledejte a načtěte přihlašovací údaje, které budete potřebovat k vyžádání certifikátů pomocí ACME.
- Použijte Certbot k ručnímu vyžádání SSL /TLS certifikáty prostřednictvím HTTP-01 a DNS-01 metody výzvy.
- Odvolání certifikátů pomocí Certbot.
Můžete použít mnoho dalších klientů ACME, včetně Cert-manager Kubernetes, se službou ACME SSL.com.
acme4j klient nyní může používat služby SSL.com ACME na tomto úložišti: https://github.com/SSLcom/acme4j
Pokyny pro ostatní klienty ACME, kteří nejsou Certbot, naleznete v dokumentaci poskytovatele softwaru.
Nainstalujte Certbot
Tato příručka předpokládá, že pracujete na počítači, který má Certbot nainstalován. Certbot je bezplatný a otevřený nástroj vyvinutý společností Electronic Frontier Foundation (EFF), který můžete použít k vyžádání nebo zrušení SSL /TLS certifikáty od SSL.com přes protokol ACME. Certbot lze provozovat na různých platformách, včetně Linux, macOS a Windows.
- Pokud máte snapd nainstalován, můžete použít tento příkaz pro instalaci:
sudo snap install --classic certbot
- If
/snap/bin/
není ve vašemPATH
, budete také muset přidat nebo spustit příkaz, jako je tento:sudo ln -s / snap / bin / certbot / usr / bin / certbot
Pokud potřebujete další informace o instalaci Certbotu do vašeho systému, podívejte se na EFF dokumentace.
Načíst pověření ACME
Před použitím ACME k vyžádání certifikátu budete muset získat svůj Klíč účtu a Klíč HMAC ze svého účtu SSL.com.
- Přihlaste se ke svému účtu SSL.com. Pokud jste již přihlášeni, přejděte na stránku Hlavní obrazovka Karta.
- klikněte api pověření, umístěný pod vývojáři a integrace.
- Budete potřebovat vaše Klíč účtu / ACME a Klíč HMAC požadovat certifikáty. Klikněte na ikonu schránky () vedle každého klíče zkopírujte hodnotu do schránky.
- Můžete také zkopírovat příkaz Certbot s předvyplněnou e-mailovou adresou, klíčem Account / ACME a klíčem HMAC kliknutím na ikonu schránky () vedle příkaz cli, Pod ACME Certbot. Tento předformátovaný příkaz nainstaluje certifikát pomocí metody výzvy HTTP-01.
Ručně požádat o SSL /TLS Osvědčení
Nyní, když jste získali svá pověření, můžete požádat o certifikát prostřednictvím certbot
příkaz. Certbot podporuje dvě metody ověření domény (DV): HTTP-01 a DNS-01.
Metoda výzvy HTTP-01
HTTP-01 je nejčastěji používanou metodou výzev používaných s ACME a Certbot. Když tímto způsobem požádáte o certifikát, Certbot vygeneruje token, který můžete použít k vytvoření veřejně přístupného souboru na vašem webu. Server ACME serveru SSL.com poté soubor ověří pomocí protokolu HTTP a vydá podepsaný certifikát, pokud je správný.
požadavky: Metoda HTTP-01 vyžaduje, abyste měli přístup k vašemu webovému serveru a aby byl web k dispozici přes port 80
přes HTTP. Budete také potřebovat sudo
oprávnění v počítači.
Chcete-li certifikát načíst ručně, použijte následující příkaz. Nahraďte hodnoty v ALL CAPS svými skutečnými hodnotami. (Jak je uvedeno výše, můžete také zkopírovat a vložit příkaz certbot, který to provede, z vašeho účtu portálu):
sudo certbot certonly --manual --server https://acme.ssl.com/sslcom-dv-ecc --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com -- souhlas-tos --no-eff-email --email E-MAILOVÁ ADRESA --eab-hmac-key HMAC-KEY --eab-kid KLÍČ ÚČTU -d DOMÉNA.NAME
Rozdělení příkazu:
sudo certbot
běžícertbot
příkaz s oprávněními superuživatele.certonly
požaduje načíst certifikát, ale neinstalovat ho.--manual
určuje interaktivní spuštění Certbot.--server https://acme.ssl.com/sslcom-dv-ecc
specifikuje server ACME serveru SSL.com.--config-dir /etc/ssl-com
(volitelné) nastaví konfigurační adresář.--logs-dir /var/log/ssl-com
(volitelné) nastaví adresář pro protokoly.--agree-tos
(volitelně) souhlasí s účastnickou dohodou ACME. To můžete vynechat, pokud se chcete dohodnout interaktivně.--no-eff-email
(volitelné) označuje, že nechcete sdílet svou e-mailovou adresu s EFF. Pokud toto vynecháte, budete vyzváni k možnosti sdílet vaši e-mailovou adresu.--email EMAIL-ADDRESS
poskytuje registrační e-mailovou adresu. Můžete zadat více adres oddělených čárkami.--eab-hmac-key HMAC-KEY
určuje váš klíč HMAC.--eab-kid ACCOUNT-KEY
určuje klíč vašeho účtu.-d DOMAIN.NAME
Určuje název domény, na který se certifikát bude vztahovat. Všimněte si, že můžete použít-d DOMAIN.NAME
možnost vícekrát v příkazu přidat názvy domén k vašemu certifikátu. Certbot bude vyžadovat, abyste pro každý požadovaný název domény vytvořili soubor výzvy. Viz část o typy certifikátů a fakturace níže uvidíte, jak se různé kombinace doménových jmen mapují na Typy certifikátů SSL.com a jejich odpovídající ceny.
- Změň
--server
hodnota v příkazu dohttps://acme.ssl.com/sslcom-dv-rsa
. - přidat
--key-type rsa
na příkaz.
certbot
příkaz, informace o účtu ACME budou uloženy na vašem počítači v konfiguračním adresáři (/etc/ssl-com
ve výše uvedeném příkazu. Při budoucích bězích certbotu můžete vynechat --eab-hmac-key
a --eab-kid
možnosti, protože certbot je bude ignorovat ve prospěch informací o místně uloženém účtu.
Pokud potřebujete spojit své objednávky certifikátů ACME pro počítač s jiným účtem SSL.com, měli byste tyto informace o účtu z počítače odebrat pomocí příkazu sudo rm -r /etc/ssl-com/accounts/acme.ssl.com
(nebo, pokud jste vynechali nepovinné --config-dir
volba, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com
).
Když spustíte výše uvedený příkaz, měli byste dostat pokyny k vytvoření ověřovacího souboru:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Vytvořte soubor obsahující pouze tato data: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI A zpřístupněte jej na svém webovém serveru na této adrese URL: http://DOMAIN.NAME/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Pokračujte stisknutím klávesy Enter
Vytvořte soubor a uložte jej na umístění na webovém serveru, kde k němu lze přistupovat přes HTTP přes port 80
na zobrazené adrese URL a stiskněte Enter
.
-
) znak. V tomto případě možná budete muset při vytváření souboru zadat adresář, abyste zabránili tomu, aby shell interpretoval pomlčku (např vim ./-r1rsRTImVz_s7HHk7biTQ
).Pokud jsou všechny vaše informace správné, měli byste obdržet potvrzovací zprávu s umístěním vašeho řetězce certifikátů a soukromého klíče:
DŮLEŽITÉ POZNÁMKY: - Gratulujeme! Váš certifikát a řetězec byly uloženy na: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem Váš klíčový soubor byl uložen na: /etc/ssl-com/live/DOMAIN.NAME/privkey.pem Your platnost certifikátu vyprší dne 2021-10-05. Chcete-li v budoucnu získat novou nebo vylepšenou verzi tohoto certifikátu, jednoduše znovu spusťte certbot. Chcete-li neinteraktivně obnovit * všechny * své certifikáty, spusťte „certbot obnovit“
Nyní můžete nakonfigurovat webový server pro přístup k novému certifikátu a soukromému klíči.
Metoda výzvy DNS-01
Projekt DNS-01 Výzva je obtížnější než HTTP-01, ale může být pohodlnější pro použití na více webových serverech. V této metodě Certbot poskytne token, který použijete k vytvoření záznamu DNS TXT pod názvem domény, který bude certifikát chránit.
požadavky: Metoda DNS-01 vyžaduje, abyste měli schopnost vytvářet záznamy DNS pro název domény vašeho webu.
Následující příkaz bude vyžadovat certifikát pro DOMAIN.NAME pomocí metody výzvy DNS-01:
sudo certbot certonly --manual --server https://acme.ssl.com/sslcom-dv-rsa --agree-tos --no-eff-email --email EMAIL-ADDRESS --eab-hmac-key HMAC-KEY --eab-kid ACCOUNT-KEY --preferred-challenges dns -d DOMAIN.NAME
-d DOMAIN.NAME
možnost vícekrát v příkazu přidat názvy domén k vašemu certifikátu. Certbot bude vyžadovat, abyste pro každý požadovaný název domény vytvořili samostatný záznam DNS TXT. Před stisknutím nemusíte čekat, až se každý záznam TXT rozšíří Enter
dokud nedosáhnete poslední výzvy. Viz část o typy certifikátů a fakturace níže uvidíte, jak se různé kombinace doménových jmen mapují na Typy certifikátů SSL.com a jejich odpovídající ceny. certbot
příkaz, informace o účtu ACME budou uloženy na vašem počítači v konfiguračním adresáři (/etc/ssl-com
ve výše uvedeném příkazu. Při budoucích bězích certbotu můžete vynechat --eab-hmac-key
a --eab-kid
možnosti, protože certbot je bude ignorovat ve prospěch informací o místně uloženém účtu.
Pokud potřebujete spojit své objednávky certifikátů ACME pro počítač s jiným účtem SSL.com, měli byste tyto informace o účtu z počítače odebrat pomocí příkazu sudo rm -r /etc/ssl-com/accounts/acme.ssl.com
(nebo, pokud jste vynechali nepovinné --config-dir
volba, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com
).
Tento příkaz je stejný jako v sekci HTTP-01, ale přidává --preferred-challenges dns
volba. Po spuštění příkazu obdržíte pokyny pro vytvoření záznamu DNS:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please deploy a DNS TXT record under the name _acme-challenge.DOMAIN.NAME with the following value: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Before continuing, verify the record is deployed. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Press Enter to Continue
Vytvořte záznam DNS TXT a počkejte, až se rozšíří. (whatsmydns.net je vhodný nástroj pro kontrolu šíření DNS). Všimněte si, že znak podtržítka (_) na začátku názvu záznamu je požadováno. Když se záznam rozšířil do celého světa, stiskněte Enter
.
*.example.com
) budete si muset základní název domény vyžádat samostatně, pokud si jej přejete chránit také (například -d *.example.com -d example.com
). V takovém případě budete muset vytvořit dvě TXT záznamy se stejným názvem (_acme-challenge.example.com
). Pokud jsou všechny vaše informace správné, měli byste obdržet potvrzovací zprávu s umístěním vašeho řetězce certifikátů a soukromého klíče:
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem Your key file has been saved at: /etc/ssl-com/live/DOMAIN.NAME/privkey.pem Your cert will expire on 2021-10-05. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew"
Nyní můžete nakonfigurovat webový server pro přístup k novému certifikátu a soukromému klíči.
Obnovení certifikátu (ruční)
U ručně vydaných certifikátů (jak je popsáno v této příručce) se obnovení certifikátu provádí jednoduchým opakováním příkazu použitého k vyžádání certifikátu. Certbot poskytuje renew
dílčí příkaz, ale způsobí chybu při pokusu o použití s certifikáty požadovanými s --manual
možnost:
sudo certbot restore --force-obnova Ukládání ladicího protokolu do /var/log/ssl-com/letsencrypt.log - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Zpracování /etc/ssl-com/renewal/DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Nelze vybrat vhodný plugin: Manuální plugin nefunguje; mohou existovat problémy s vaší stávající konfigurací. Chyba byla: PluginError ('Při použití ručního pluginu neinteraktivně musí být poskytnut ověřovací skript s --manual-auth-hook.') Pokus o obnovení cert (DOMAIN.NAME) z / etc / ssl-com / obnova / DOMAIN.NAME.conf způsobila neočekávanou chybu: Ruční plugin nefunguje; mohou existovat problémy s vaší stávající konfigurací. Chyba byla: PluginError ('Při použití ručního pluginu neinteraktivně musí být poskytnut ověřovací skript s --manual-auth-hook.',). Skákání. Všechny pokusy o obnovení selhaly. Následující certifikáty nelze obnovit: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem (selhání) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Všechny pokusy o obnovení selhaly. Následující certifikáty nelze obnovit: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem (selhání) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1 selhání obnovy, 0 selhání analýzy
Zrušení certifikátu
Zrušit certifikát pomocí certbot revoke
. Nahraďte cestu k certifikátu VŠECHNY VELIKOSTI skutečnými hodnotami (například /etc/ssl-com/live/example.com/cert.pem
). Pokud jste nezadali vlastní --config-dir
a --logs-dir
při žádosti o původní certifikát tyto možnosti vynechejte.
sudo certbot revoke --server https://acme.ssl.com/sslcom-dv-rsa --cert-path /PATH/TO/cert.pem --config-dir / etc / ssl-com --logs-dir / var / log / ssl-com
Zobrazí se výzva, zda chcete zrušený certifikát také odstranit:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Chtěli byste smazat cert (y) právě jste odvolali, spolu se všemi staršími a novějšími verzemi certifikátu? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y) es (doporučeno) / (N ) o: Y - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Smazány všechny soubory týkající se certifikátu DOMÉNOVÉ JMÉNO. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Unable to register an account with ACME server. Error returned by the ACME server: Something went wrong. We apologize for the inconvenience.
Chcete-li chybu vyřešit, zkuste následující:
a) Zadejte cestu soukromého klíče certifikátu pro podepsání žádosti o odvolání.
Příklad:
--key-path /PATH/TO/privkey.pem
b) Pokud jste použili vlastní adresář, zadejte adresář, který jste použili při vydávání certifikátu:
--config-dir
Typy certifikátů a fakturace
Vše SSL /TLS certifikáty vydané přes ACME SSL.com jsou jednoroční certifikáty. Typ certifikátu SSL.com, který obdržíte (a bude vám účtován), závisí na počtu a typu požadovaných názvů domén:
- Základní SSL: Jeden název domény nebo název domény plus
www
subdoména (napřexample.com
awww.example.com
).- Všimněte si, že pokud chcete chránit jak základní název domény, tak i
www
, musíte do příkazu Certbot zahrnout obě (např-d example.com -d www.example.com
).
- Všimněte si, že pokud chcete chránit jak základní název domény, tak i
- Wildcard SSL: Jeden zástupný název domény nebo jeden zástupný název domény plus základní název domény (např
*.example.com
aexample.com
). - Prémiový SSL: Základní název domény a jedna až tři subdomény bez zástupných znaků. (Výjimka: Jak je uvedeno výše, základní doména plus
www
subdoména [a žádné další] budou účtovány jako základní SSL.) Například:
example.com
ainfo.example.com
example.com
,www.example.com
, ainfo.example.com
example.com
,www.example.com
,info.example.com
, astore.example.com
- UCC / SAN SSL s více doménami: Jakákoli jiná kombinace doménových jmen. Například:
- Základní název domény a více než tři subdomény
- Dva nebo více zástupných znaků a / nebo názvů domén jiných než subdoména
Účastníci v SSL.com Program distributora a hromadného nákupu budou účtovány se sníženou sazbou spojenou s jejich cenovou úrovní.
Pro více informací
S protokolem ACME můžete dělat mnohem víc (s Certbotem nebo bez něj). Další informace najdete v následujících zdrojích:
- Co je protokol ACME?
- ACME SSL /TLS Automatizace s Apache a Nginx
- SSL /TLS Automatizace pro internet věcí pomocí ACME
- Dokumentace Certbot
- Mužská stránka Certbot
Potřebujete další pomoc s vaším účtem SSL.com?
- Váš účet SSL.com - Odeslání a CSR
- Neúspěšný předběžný test ?!
- Váš účet SSL.com - Ověření
- Váš účet SSL.com - objednávky
- SWS API SSL.com - úvod
- Váš účet SSL.com - domény
- Podporované cloudové HSM pro podepisování dokumentů a podepisování kódů EV