ACME SSL /TLS Αυτοματοποίηση με Apache και Nginx

Πώς να χρησιμοποιήσετε το πρωτόκολλο ACME για αυτοματοποίηση SSL /TLS πιστοποιητικά από το SSL.com στους διακομιστές ιστού Apache και Nginx.

Αυτός ο οδηγός θα σας καθοδηγήσει στη ρύθμιση της αυτόματης εγκατάστασης πιστοποιητικών και της ανανέωσης με το SSL.com για Apache και Nginx με το πρωτόκολλο ACME και τον πελάτη Certbot.

Σημείωση: Θα χρειαστείτε πρόσβαση SSH και sudo προνόμια στον διακομιστή ιστού σας για να ακολουθήσετε αυτές τις οδηγίες.
Σημείωση:
Μπορείτε να χρησιμοποιήσετε πολλούς άλλους πελάτες ACME, συμπεριλαμβανομένων Διαχειριστής πιστοποιητικών Kubernetes, με την υπηρεσία ACME της SSL.com.
acme4j  Ο πελάτης μπορεί πλέον να χρησιμοποιεί τις υπηρεσίες ACME SSL.com σε αυτό το αποθετήριο: https://github.com/SSLcom/acme4j
Ανατρέξτε στην τεκμηρίωση του παρόχου λογισμικού σας για οδηγίες για άλλους πελάτες ACME που δεν είναι Certbot.

Εγκατάσταση Certbot και ανάκτηση διαπιστευτηρίων ACME

  1. SSH στον διακομιστή ιστού σας.
  2. Βεβαιωθείτε ότι μια τρέχουσα έκδοση του Certbot, μαζί με τα πρόσθετα Apache και Nginx, είναι εγκατεστημένα στον διακομιστή ιστού σας:
    • Εάν έχετε εγκατεστημένο το snapd, μπορείτε να χρησιμοποιήσετε αυτήν την εντολή για εγκατάσταση:
      sudo snap install - κλασικό πιστοποιητικό
    • If /snap/bin/ δεν είναι στο δικό σας PATH, θα χρειαστεί επίσης να το προσθέσετε ή να εκτελέσετε μια εντολή όπως αυτή:
      sudo ln -s / snap / bin / certbot / usr / bin / certbot
  3. Ανακτήστε τα διαπιστευτήρια ACME από τον λογαριασμό σας SSL.com:
    1. Συνδεθείτε στον λογαριασμό σας SSL.com. Εάν είστε ήδη συνδεδεμένοι, μεταβείτε στο Ταμπλό αυτοκίνητου Tab.
      Ταμπλό αυτοκίνητου
    2. Πατήστε api διαπιστευτήρια, βρίσκεται κάτω από προγραμματιστές και ενοποίηση.
      Σύνδεσμος διαπιστευτηρίων API
    3. Θα χρειαστείτε το δικό σας Κλειδί λογαριασμού / ACME και Κλειδί HMAC για να ζητήσετε πιστοποιητικά. Κάντε κλικ στο εικονίδιο με το πρόχειρο () δίπλα σε κάθε πλήκτρο για να αντιγράψετε την τιμή στο πρόχειρο.
      Κλειδί λογαριασμού / ACME και κλειδί HMAC

Εγκατάσταση και αυτοματισμός Apache

Χρησιμοποιήστε μια τέτοια εντολή για εγκατάσταση στο Apache. Αντικαταστήστε τις τιμές σε ΟΛΕΣ τις ΚΓΠ με τις πραγματικές σας τιμές:

sudo certbot --apache --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME

Καταστροφή της εντολής:

  • sudo certbot τρέχει το certbot εντολή με δικαιώματα superuser.
  • --apache καθορίζει την εγκατάσταση πιστοποιητικών για χρήση με το Apache.
  • --email EMAIL-ADDRESS παρέχει μια διεύθυνση email εγγραφής. Μπορείτε να καθορίσετε πολλές διευθύνσεις, διαχωρισμένες με κόμματα.
  • --agree-tos (προαιρετικά) συμφωνεί με τη συμφωνία συνδρομητών ACME. Μπορείτε να το παραλείψετε εάν θέλετε να συμφωνήσετε διαδραστικά.
  • --no-eff-email (προαιρετικό) δηλώνει ότι δεν θέλετε να μοιραστείτε τη διεύθυνση email σας με το EFF. Εάν το παραλείψετε, θα σας ζητηθεί η επιλογή κοινοποίησης της διεύθυνσης email σας.
  • --config-dir /etc/ssl-com (προαιρετικά) ορίζει τον κατάλογο διαμόρφωσης.
  • --logs-dir /var/log/ssl-com (προαιρετικά) ορίζει τον κατάλογο για αρχεία καταγραφής.
  • --eab-kid ACCOUNT-KEY καθορίζει το κλειδί του λογαριασμού σας.
  • --eab-hmac-key HMAC-KEY καθορίζει το κλειδί HMAC σας.
  • --server https://acme.ssl.com/sslcom-dv-ecc καθορίζει τον διακομιστή ACME του SSL.com.
  • -d DOMAIN.NAME καθορίζει το όνομα τομέα που θα καλύπτει το πιστοποιητικό.
Σημείωση: Το Certbot 2.0.0 ή νεότερο είναι προεπιλεγμένο για τη δημιουργία ECDSA για νέα πιστοποιητικά. Η παραπάνω εντολή αφορά ένα ζεύγος κλειδιών και πιστοποιητικό ECDSA. Για να χρησιμοποιήσετε τα κλειδιά RSA:

  • Αλλαξε το --server τιμή στην εντολή προς https://acme.ssl.com/sslcom-dv-rsa
Σημείωση: Μπορείτε να χρησιμοποιήσετε το -d DOMAIN.NAME επιλογή πολλές φορές στην εντολή σας για να προσθέσετε ονόματα τομέα στο πιστοποιητικό σας. Παρακαλούμε δείτε τις πληροφορίες μας στο τύποι πιστοποιητικών και χρέωση για να δείτε με ποιον τρόπο αντιστοιχούν διαφορετικοί συνδυασμοί ονομάτων τομέα Τύποι πιστοποιητικών SSL.com και τις αντίστοιχες τιμές τους.
Όταν εκτελείτε για πρώτη φορά τα παραπάνω certbot εντολή, οι πληροφορίες λογαριασμού ACME θα αποθηκευτούν στον υπολογιστή σας στον κατάλογο διαμόρφωσης (/etc/ssl-com στην εντολή που φαίνεται παραπάνω. Σε μελλοντικές εκδόσεις πιστοποιητικού, μπορείτε να παραλείψετε το --eab-hmac-key και --eab-kid επιλογές, επειδή το certbot θα τις αγνοήσει υπέρ των τοπικά αποθηκευμένων πληροφοριών λογαριασμού.

Εάν πρέπει να συσχετίσετε τις παραγγελίες πιστοποιητικών ACME για τον υπολογιστή με διαφορετικό λογαριασμό SSL.com, θα πρέπει να καταργήσετε αυτές τις πληροφορίες λογαριασμού από τον υπολογιστή σας με την εντολή sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (ή, εάν παραλείψατε το προαιρετικό --config-dir επιλογή, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

Θα πρέπει να δείτε την έξοδο έτσι μετά την εκτέλεση της εντολής:

Αποθήκευση αρχείου καταγραφής εντοπισμού σφαλμάτων στο /var/log/ssl-com/letsencrypt.log Επιλεγμένα πρόσθετα: Authenticator apache, Installer apache Λήψη νέου πιστοποιητικού Εκτέλεση των ακόλουθων προκλήσεων: Πρόκληση http-01 για τον τομέα DOMAIN.NAME Αναμονή για επαλήθευση ... Δημιουργήθηκε ένα SSL vhost στο /etc/apache2/sites-available/DOMAIN-le-ssl.conf Ανάπτυξη πιστοποιητικού στο VirtualHost /etc/apache2/sites-available/DOMAIN-le-ssl.conf Ενεργοποίηση του διαθέσιμου ιστότοπου: / etc / apache2 / sites-available / DOMAIN-le-ssl.conf Ανακατεύθυνση vhost στο /etc/apache2/sites-enabled/DOMAIN.NAME.conf σε ssl vhost στο /etc/apache2/sites-available/DOMAIN-le-ssl.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Συγχαρητήρια! Έχετε ενεργοποιήσει με επιτυχία https://DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Το Certbot θα δημιουργήσει επίσης ένα αρχείο crontab όπως αυτό για αυτοματοποιημένη μη διαδραστική ανανέωση οποιουδήποτε πιστοποιητικού εγκατεστημένου πιστοποιητικού που λήγει εντός 30 ημερών:

$ cat /etc/cron.d/certbot # /etc/cron.d/certbot: καταχωρήσεις crontab για το πακέτο certbot # # Το Upstream συνιστά προσπάθεια ανανέωσης δύο φορές την ημέρα # # Τελικά, αυτή θα είναι μια ευκαιρία για την επικύρωση πιστοποιητικών # haven ' έχει ανακληθεί κ.λπ. Η ανανέωση θα πραγματοποιηθεί μόνο εάν η λήξη # είναι εντός 30 ημερών. # # Σημαντική σημείωση! Αυτό το cronjob ΔΕΝ θα εκτελεστεί εάν χρησιμοποιείτε # systemd ως το σύστημα init. Εάν εκτελείτε systemd, # η συνάρτηση cronjob.timer υπερισχύει αυτού του cronjob. Για # περισσότερες λεπτομέρειες, ανατρέξτε στη σελίδα systemd.timer ή χρησιμοποιήστε το systemctl show # certbot.timer. SHELL = / bin / sh PATH = / usr / local / sbin: / usr / local / bin: / sbin: / bin: / usr / sbin: / usr / bin 0 * / 12 * * * root test -x / usr / bin / certbot -α \! -d / run / systemd / system && perl -e 'sleep int (rand (43200))' && certbot -q ανανέωση
Σημείωση: Όλα τα SSL /TLS Τα πιστοποιητικά που εκδίδονται μέσω ACME από την SSL.com έχουν διάρκεια ζωής ενός έτους.

Εγκατάσταση και αυτοματισμός Nginx

Για το Nginx, απλώς αντικαταστήστε το --nginx για --apache στην παραπάνω εντολή:

sudo certbot --nginx --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
Σημείωση: Το Certbot 2.0.0 ή νεότερο είναι προεπιλεγμένο για τη δημιουργία ECDSA για νέα πιστοποιητικά. Η παραπάνω εντολή αφορά ένα ζεύγος κλειδιών και πιστοποιητικό ECDSA. Για να χρησιμοποιήσετε τα κλειδιά RSA:

  • Αλλαξε το --server τιμή στην εντολή προς https://acme.ssl.com/sslcom-dv-rsa

Αναγκαστική ανανέωση με μη αυτόματο τρόπο

Εάν θέλετε να ανανεώσετε με μη αυτόματο τρόπο ένα πιστοποιητικό πριν από τη λήξη της ισχύος, χρησιμοποιήστε αυτήν την εντολή:

certbot ανανέωση-δύναμη-ανανέωση-concert-name DOMAIN.NAME

Το SSL.com παρέχει μια μεγάλη ποικιλία SSL /TLS πιστοποιητικά διακομιστή για ιστότοπους HTTPS.

ΣΥΓΚΡΙΣΗ SSL /TLS ΠΙΣΤΟΠΟΙΗΤΙΚΑ

Μείνετε ενημερωμένοι και ασφαλείς

SSL.com είναι παγκόσμιος ηγέτης στον τομέα της κυβερνοασφάλειας, PKI και ψηφιακά πιστοποιητικά. Εγγραφείτε για να λαμβάνετε τα πιο πρόσφατα νέα του κλάδου, συμβουλές και ανακοινώσεις προϊόντων από SSL.com.

Θα θέλαμε τα σχόλιά σας

Συμμετάσχετε στην έρευνά μας και πείτε μας τις σκέψεις σας για την πρόσφατη αγορά σας.