ACME SSL /TLS Αυτοματοποίηση με Apache και Nginx

Αυτός ο οδηγός θα σας καθοδηγήσει στη ρύθμιση της αυτόματης εγκατάστασης πιστοποιητικών και της ανανέωσης με το SSL.com για Apache και Nginx με το πρωτόκολλο ACME και τον πελάτη Certbot.

Εγκατάσταση Certbot και ανάκτηση διαπιστευτηρίων ACME

1. SSH στον διακομιστή ιστού σας.
2. Βεβαιωθείτε ότι μια τρέχουσα έκδοση του Certbot, μαζί με τα πρόσθετα Apache και Nginx, είναι εγκατεστημένα στον διακομιστή ιστού σας:
   • Εάν έχετε εγκατεστημένο το snapd, μπορείτε να χρησιμοποιήσετε αυτήν την εντολή για εγκατάσταση:

     sudo snap install - κλασικό πιστοποιητικό

   • If /snap/bin/ δεν είναι στο δικό σας PATH, θα χρειαστεί επίσης να το προσθέσετε ή να εκτελέσετε μια εντολή όπως αυτή:

     sudo ln -s / snap / bin / certbot / usr / bin / certbot

3. Ανακτήστε τα διαπιστευτήρια ACME από τον λογαριασμό σας SSL.com:
   1. Συνδεθείτε στον λογαριασμό σας SSL.com. Εάν είστε ήδη συνδεδεμένοι, μεταβείτε στο Πίνακας διαχείρισης Tab.
      
   2. Πατήστε api διαπιστευτήρια, βρίσκεται κάτω από προγραμματιστές και ενοποίηση.
      
   3. Θα χρειαστείτε το δικό σας Κλειδί λογαριασμού / ACME και Κλειδί HMAC για να ζητήσετε πιστοποιητικά. Κάντε κλικ στο εικονίδιο με το πρόχειρο () δίπλα σε κάθε πλήκτρο για να αντιγράψετε την τιμή στο πρόχειρο.
      

Εγκατάσταση και αυτοματισμός Apache

Χρησιμοποιήστε μια τέτοια εντολή για εγκατάσταση στο Apache. Αντικαταστήστε τις τιμές σε ΟΛΕΣ τις ΚΓΠ με τις πραγματικές σας τιμές:

sudo certbot --apache --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME

Καταστροφή της εντολής:

• sudo certbot τρέχει το certbot εντολή με δικαιώματα superuser.
• --apache καθορίζει την εγκατάσταση πιστοποιητικών για χρήση με το Apache.
• --email EMAIL-ADDRESS παρέχει μια διεύθυνση email εγγραφής. Μπορείτε να καθορίσετε πολλές διευθύνσεις, διαχωρισμένες με κόμματα.
• --agree-tos (προαιρετικά) συμφωνεί με τη συμφωνία συνδρομητών ACME. Μπορείτε να το παραλείψετε εάν θέλετε να συμφωνήσετε διαδραστικά.
• --no-eff-email (προαιρετικό) δηλώνει ότι δεν θέλετε να μοιραστείτε τη διεύθυνση email σας με το EFF. Εάν το παραλείψετε, θα σας ζητηθεί η επιλογή κοινοποίησης της διεύθυνσης email σας.
• --config-dir /etc/ssl-com (προαιρετικά) ορίζει τον κατάλογο διαμόρφωσης.
• --logs-dir /var/log/ssl-com (προαιρετικά) ορίζει τον κατάλογο για αρχεία καταγραφής.
• --eab-kid ACCOUNT-KEY καθορίζει το κλειδί του λογαριασμού σας.
• --eab-hmac-key HMAC-KEY καθορίζει το κλειδί HMAC σας.
• --server https://acme.ssl.com/sslcom-dv-ecc καθορίζει τον διακομιστή ACME του SSL.com.
• -d DOMAIN.NAME καθορίζει το όνομα τομέα που θα καλύπτει το πιστοποιητικό.

Θα πρέπει να δείτε την έξοδο έτσι μετά την εκτέλεση της εντολής:

Αποθήκευση αρχείου καταγραφής εντοπισμού σφαλμάτων στο /var/log/ssl-com/letsencrypt.log Επιλεγμένα πρόσθετα: Authenticator apache, Installer apache Λήψη νέου πιστοποιητικού Εκτέλεση των ακόλουθων προκλήσεων: Πρόκληση http-01 για τον τομέα DOMAIN.NAME Αναμονή για επαλήθευση ... Δημιουργήθηκε ένα SSL vhost στο /etc/apache2/sites-available/DOMAIN-le-ssl.conf Ανάπτυξη πιστοποιητικού στο VirtualHost /etc/apache2/sites-available/DOMAIN-le-ssl.conf Ενεργοποίηση του διαθέσιμου ιστότοπου: / etc / apache2 / sites-available / DOMAIN-le-ssl.conf Ανακατεύθυνση vhost στο /etc/apache2/sites-enabled/DOMAIN.NAME.conf σε ssl vhost στο /etc/apache2/sites-available/DOMAIN-le-ssl.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Συγχαρητήρια! Έχετε ενεργοποιήσει με επιτυχία https://DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Το Certbot θα δημιουργήσει επίσης ένα αρχείο crontab όπως αυτό για αυτοματοποιημένη μη διαδραστική ανανέωση οποιουδήποτε πιστοποιητικού εγκατεστημένου πιστοποιητικού που λήγει εντός 30 ημερών:

$ cat /etc/cron.d/certbot # /etc/cron.d/certbot: καταχωρήσεις crontab για το πακέτο certbot # # Το Upstream συνιστά προσπάθεια ανανέωσης δύο φορές την ημέρα # # Τελικά, αυτή θα είναι μια ευκαιρία για την επικύρωση πιστοποιητικών # haven ' έχει ανακληθεί κ.λπ. Η ανανέωση θα πραγματοποιηθεί μόνο εάν η λήξη # είναι εντός 30 ημερών. # # Σημαντική σημείωση! Αυτό το cronjob ΔΕΝ θα εκτελεστεί εάν χρησιμοποιείτε # systemd ως το σύστημα init. Εάν εκτελείτε systemd, # η συνάρτηση cronjob.timer υπερισχύει αυτού του cronjob. Για # περισσότερες λεπτομέρειες, ανατρέξτε στη σελίδα systemd.timer ή χρησιμοποιήστε το systemctl show # certbot.timer. SHELL = / bin / sh PATH = / usr / local / sbin: / usr / local / bin: / sbin: / bin: / usr / sbin: / usr / bin 0 * / 12 * * * root test -x / usr / bin / certbot -α \! -d / run / systemd / system && perl -e 'sleep int (rand (43200))' && certbot -q ανανέωση

Εγκατάσταση και αυτοματισμός Nginx

Για το Nginx, απλώς αντικαταστήστε το --nginx for --apache στην παραπάνω εντολή:

sudo certbot --nginx --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME

Αναγκαστική ανανέωση με μη αυτόματο τρόπο

Εάν θέλετε να ανανεώσετε με μη αυτόματο τρόπο ένα πιστοποιητικό πριν από τη λήξη της ισχύος, χρησιμοποιήστε αυτήν την εντολή:

certbot ανανέωση-δύναμη-ανανέωση-concert-name DOMAIN.NAME