en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

ACME SSL /TLS Automatisierung mit Apache und Nginx

Diese Anleitung führt Sie durch die Einrichtung der automatischen Installation und Erneuerung von Zertifikaten mit SSL.com für Apache und Nginx mit dem ACME-Protokoll und dem Certbot-Client.

Hinweis: Sie benötigen SSH-Zugang und sudo Berechtigungen auf Ihrem Webserver, um diese Anweisungen zu befolgen.

Installieren Sie Certbot und rufen Sie ACME-Anmeldeinformationen ab

  1. SSH in Ihren Webserver.
  2. Stellen Sie sicher, dass eine aktuelle Version von Certbotwerden zusammen mit den Apache- und Nginx-Plugins auf Ihrem Webserver installiert:
    • Wenn Sie snapd installiertkönnen Sie diesen Befehl für die Installation verwenden:
      sudo snap install - klassischer certbot
    • If /snap/bin/ ist nicht in deinem PATHSie müssen es auch hinzufügen oder einen Befehl wie den folgenden ausführen:
      sudo ln -s / snap / bin / certbot / usr / bin / certbot
  3. Rufen Sie Ihre ACME-Anmeldeinformationen von Ihrem SSL.com-Konto ab:
    1. Melden Sie sich bei Ihrem SSL.com-Konto an. Wenn Sie bereits angemeldet sind, gehen Sie zu Dein Bereich Tab.
      Dein Bereich
    2. Klicken Sie API-Anmeldeinformationenbefindet sich unter Entwickler und Integration.
      Link zu API-Anmeldeinformationen
    3. Du wirst deine brauchen Konto / ACME-Schlüssel . HMAC-Schlüssel Zertifikate anfordern. Klicken Sie auf das Zwischenablagesymbol () neben jeder Taste, um den Wert in die Zwischenablage zu kopieren.
      Konto- / ACME-Schlüssel und HMAC-Schlüssel

Apache Installation und Automatisierung

Verwenden Sie einen solchen Befehl, um auf Apache zu installieren. Ersetzen Sie die Werte in ALL CAPS durch Ihre tatsächlichen Werte:

sudo certbot --apache --email E-MAIL-ADRESSE --agree-tos --no-eff-email --config-dir / etc / ssl-com --logs-dir / var / log / ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-rsa -d DOMAIN.NAME

Befehl aufteilen:

  • sudo certbot Läuft die certbot Befehl mit Superuser-Berechtigungen.
  • --apache Gibt an, dass Zertifikate zur Verwendung mit Apache installiert werden sollen.
  • --email EMAIL-ADDRESS gibt eine Registrierungs-E-Mail-Adresse an. Sie können mehrere durch Kommas getrennte Adressen angeben.
  • --agree-tos (optional) stimmt der ACME-Abonnentenvereinbarung zu. Sie können dies weglassen, wenn Sie interaktiv zustimmen möchten.
  • --no-eff-email (optional) gibt an, dass Sie Ihre E-Mail-Adresse nicht mit dem EFF teilen möchten. Wenn Sie dies weglassen, werden Sie aufgefordert, Ihre E-Mail-Adresse mitzuteilen.
  • --config-dir /etc/ssl-com (optional) legt das Konfigurationsverzeichnis fest.
  • --logs-dir /var/log/ssl-com (optional) legt das Verzeichnis für Protokolle fest.
  • --eab-kid ACCOUNT-KEY Gibt Ihren Kontoschlüssel an.
  • --eab-hmac-key HMAC-KEY Gibt Ihren HMAC-Schlüssel an.
  • --server https://acme.ssl.com/sslcom-dv-rsa Gibt den ACME-Server von SSL.com an.
  • -d DOMAIN.NAME Gibt den Domänennamen an, den das Zertifikat abdeckt.
Hinweis: Sie können die Verwendung -d DOMAIN.NAME Option mehrmals in Ihrem Befehl, um Ihrem Zertifikat Domänennamen hinzuzufügen. Bitte beachten Sie unsere Informationen zu Zertifikatstypen und Abrechnung um zu sehen, wie verschiedene Kombinationen von Domainnamen zugeordnet werden SSL.com-Zertifikatstypen und deren entsprechende Preisgestaltung.
Wenn Sie das obige zum ersten Mal ausführen certbot Befehl werden ACME-Kontoinformationen auf Ihrem Computer im Konfigurationsverzeichnis (/etc/ssl-com im oben gezeigten Befehl. Bei zukünftigen certbot-Ausführungen können Sie die --eab-hmac-key . --eab-kid Optionen, da certbot sie zugunsten der lokal gespeicherten Kontoinformationen ignoriert.

Wenn Sie Ihre ACME-Zertifikatsbestellungen für den Computer mit einem anderen SSL.com-Konto verknüpfen müssen, sollten Sie diese Kontoinformationen mit dem Befehl . von Ihrem Computer entfernen sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (oder, wenn Sie das optionale weggelassen haben --config-dir Option, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

Nach dem Ausführen des Befehls sollte die folgende Ausgabe angezeigt werden:

Speichern des Debug-Protokolls in /var/log/ssl-com/letsencrypt.log Ausgewählte Plugins: Authenticator-Apache, Installer-Apache Abrufen eines neuen Zertifikats Ausführen der folgenden Herausforderungen: http-01-Herausforderung für DOMAIN.NAME Warten auf Überprüfung ... Bereinigen von Herausforderungen Erstellt einen SSL-vhost unter /etc/apache2/sites-available/DOMAIN-le-ssl.conf Bereitstellen des Zertifikats für VirtualHost /etc/apache2/sites-available/DOMAIN-le-ssl.conf Aktivieren der verfügbaren Site: / etc / apache2 / sites-available / DOMAIN-le-ssl.conf Umleiten von vhost in /etc/apache2/sites-enabled/DOMAIN.NAME.conf zu ssl vhost in /etc/apache2/sites-available/DOMAIN-le-ssl.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Herzliche Glückwünsche! Sie haben https://DOMAIN.NAME erfolgreich aktiviert - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Certbot erstellt außerdem eine Crontab-Datei wie diese zur automatisierten nicht interaktiven Erneuerung eines von Certbot installierten Zertifikats, das innerhalb von 30 Tagen abläuft:

$ cat /etc/cron.d/certbot # /etc/cron.d/certbot: crontab-Einträge für das certbot-Paket # # Upstream empfiehlt, zweimal täglich eine Verlängerung zu versuchen # # Möglicherweise bietet sich die Gelegenheit, Zertifikate # zu validieren t wurde widerrufen usw. Die Verlängerung erfolgt nur, wenn die Ablaufnummer innerhalb von 30 Tagen liegt. # # Wichtige Notiz! Dieser Cronjob wird NICHT ausgeführt, wenn Sie systemd als Init-System ausführen. Wenn Sie systemd ausführen, # hat die Funktion cronjob.timer Vorrang vor diesem cronjob. Weitere Informationen finden Sie in der Manpage systemd.timer oder verwenden Sie systemctl show # certbot.timer. SHELL = / bin / sh PATH = / usr / local / sbin: / usr / local / bin: / sbin: / bin: / usr / sbin: / usr / bin 0 * / 12 * * * root test -x / usr / bin / certbot -a \! -d / run / systemd / system && perl -e 'sleep int (rand (43200))' && certbot -q erneuern
Hinweis: Alle SSL /TLS Zertifikate, die von SSL.com über ACME ausgestellt wurden, haben eine Lebensdauer von einem Jahr.

Nginx Installation und Automatisierung

Für Nginx einfach ersetzen --nginx für --apache im oben gezeigten Befehl:

sudo certbot --nginx --email E-MAIL-ADRESSE --agree-tos --no-eff-email --config-dir / etc / ssl-com --logs-dir / var / log / ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme-qa.ssl.com/sslcom-dv-rsa -d DOMAIN.NAME

Manuelle Erneuerung erzwingen

Wenn Sie ein Zertifikat vor dem bevorstehenden Ablauf manuell erneuern möchten, verwenden Sie diesen Befehl:

certbot erneuern --force-erneuern --cert-name DOMAIN.NAME

SSL.com bietet eine Vielzahl von SSL /TLS Serverzertifikate für HTTPS-Websites.

VERGLEICHEN SSL /TLS ZERTIFIKATE

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com