Αυτός ο οδηγός θα σας καθοδηγήσει στη ρύθμιση της αυτόματης εγκατάστασης πιστοποιητικών και της ανανέωσης με το SSL.com για Apache και Nginx με το πρωτόκολλο ACME και τον πελάτη Certbot.
sudo
προνόμια στον διακομιστή ιστού σας για να ακολουθήσετε αυτές τις οδηγίες.Μπορείτε να χρησιμοποιήσετε πολλούς άλλους πελάτες ACME, συμπεριλαμβανομένων Διαχειριστής πιστοποιητικών Kubernetes, με την υπηρεσία ACME της SSL.com.
acme4j Ο πελάτης μπορεί πλέον να χρησιμοποιεί τις υπηρεσίες ACME SSL.com σε αυτό το αποθετήριο: https://github.com/SSLcom/acme4j
Ανατρέξτε στην τεκμηρίωση του παρόχου λογισμικού σας για οδηγίες για άλλους πελάτες ACME που δεν είναι Certbot.
Εγκατάσταση Certbot και ανάκτηση διαπιστευτηρίων ACME
- SSH στον διακομιστή ιστού σας.
- Βεβαιωθείτε ότι μια τρέχουσα έκδοση του Certbot, μαζί με τα πρόσθετα Apache και Nginx, είναι εγκατεστημένα στον διακομιστή ιστού σας:
- Εάν έχετε εγκατεστημένο το snapd, μπορείτε να χρησιμοποιήσετε αυτήν την εντολή για εγκατάσταση:
sudo snap install - κλασικό πιστοποιητικό
- If
/snap/bin/
δεν είναι στο δικό σαςPATH
, θα χρειαστεί επίσης να το προσθέσετε ή να εκτελέσετε μια εντολή όπως αυτή:sudo ln -s / snap / bin / certbot / usr / bin / certbot
- Εάν έχετε εγκατεστημένο το snapd, μπορείτε να χρησιμοποιήσετε αυτήν την εντολή για εγκατάσταση:
- Ανακτήστε τα διαπιστευτήρια ACME από τον λογαριασμό σας SSL.com:
- Συνδεθείτε στον λογαριασμό σας SSL.com. Εάν είστε ήδη συνδεδεμένοι, μεταβείτε στο Ταμπλό αυτοκίνητου Tab.
- Πατήστε api διαπιστευτήρια, βρίσκεται κάτω από προγραμματιστές και ενοποίηση.
- Θα χρειαστείτε το δικό σας Κλειδί λογαριασμού / ACME και Κλειδί HMAC για να ζητήσετε πιστοποιητικά. Κάντε κλικ στο εικονίδιο με το πρόχειρο () δίπλα σε κάθε πλήκτρο για να αντιγράψετε την τιμή στο πρόχειρο.
- Συνδεθείτε στον λογαριασμό σας SSL.com. Εάν είστε ήδη συνδεδεμένοι, μεταβείτε στο Ταμπλό αυτοκίνητου Tab.
Εγκατάσταση και αυτοματισμός Apache
Χρησιμοποιήστε μια τέτοια εντολή για εγκατάσταση στο Apache. Αντικαταστήστε τις τιμές σε ΟΛΕΣ τις ΚΓΠ με τις πραγματικές σας τιμές:
sudo certbot --apache --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
Καταστροφή της εντολής:
sudo certbot
τρέχει τοcertbot
εντολή με δικαιώματα superuser.--apache
καθορίζει την εγκατάσταση πιστοποιητικών για χρήση με το Apache.--email EMAIL-ADDRESS
παρέχει μια διεύθυνση email εγγραφής. Μπορείτε να καθορίσετε πολλές διευθύνσεις, διαχωρισμένες με κόμματα.--agree-tos
(προαιρετικά) συμφωνεί με τη συμφωνία συνδρομητών ACME. Μπορείτε να το παραλείψετε εάν θέλετε να συμφωνήσετε διαδραστικά.--no-eff-email
(προαιρετικό) δηλώνει ότι δεν θέλετε να μοιραστείτε τη διεύθυνση email σας με το EFF. Εάν το παραλείψετε, θα σας ζητηθεί η επιλογή κοινοποίησης της διεύθυνσης email σας.--config-dir /etc/ssl-com
(προαιρετικά) ορίζει τον κατάλογο διαμόρφωσης.--logs-dir /var/log/ssl-com
(προαιρετικά) ορίζει τον κατάλογο για αρχεία καταγραφής.--eab-kid ACCOUNT-KEY
καθορίζει το κλειδί του λογαριασμού σας.--eab-hmac-key HMAC-KEY
καθορίζει το κλειδί HMAC σας.--server https://acme.ssl.com/sslcom-dv-ecc
καθορίζει τον διακομιστή ACME του SSL.com.-d DOMAIN.NAME
καθορίζει το όνομα τομέα που θα καλύπτει το πιστοποιητικό.
- Αλλαξε το
--server
τιμή στην εντολή προςhttps://acme.ssl.com/sslcom-dv-rsa
.
-d DOMAIN.NAME
επιλογή πολλές φορές στην εντολή σας για να προσθέσετε ονόματα τομέα στο πιστοποιητικό σας. Παρακαλούμε δείτε τις πληροφορίες μας στο τύποι πιστοποιητικών και χρέωση για να δείτε με ποιον τρόπο αντιστοιχούν διαφορετικοί συνδυασμοί ονομάτων τομέα Τύποι πιστοποιητικών SSL.com και τις αντίστοιχες τιμές τους.certbot
εντολή, οι πληροφορίες λογαριασμού ACME θα αποθηκευτούν στον υπολογιστή σας στον κατάλογο διαμόρφωσης (/etc/ssl-com
στην εντολή που φαίνεται παραπάνω. Σε μελλοντικές εκδόσεις πιστοποιητικού, μπορείτε να παραλείψετε το --eab-hmac-key
και --eab-kid
επιλογές, επειδή το certbot θα τις αγνοήσει υπέρ των τοπικά αποθηκευμένων πληροφοριών λογαριασμού.
Εάν πρέπει να συσχετίσετε τις παραγγελίες πιστοποιητικών ACME για τον υπολογιστή με διαφορετικό λογαριασμό SSL.com, θα πρέπει να καταργήσετε αυτές τις πληροφορίες λογαριασμού από τον υπολογιστή σας με την εντολή sudo rm -r /etc/ssl-com/accounts/acme.ssl.com
(ή, εάν παραλείψατε το προαιρετικό --config-dir
επιλογή, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com
).
Θα πρέπει να δείτε την έξοδο έτσι μετά την εκτέλεση της εντολής:
Αποθήκευση αρχείου καταγραφής εντοπισμού σφαλμάτων στο /var/log/ssl-com/letsencrypt.log Επιλεγμένα πρόσθετα: Authenticator apache, Installer apache Λήψη νέου πιστοποιητικού Εκτέλεση των ακόλουθων προκλήσεων: Πρόκληση http-01 για τον τομέα DOMAIN.NAME Αναμονή για επαλήθευση ... Δημιουργήθηκε ένα SSL vhost στο /etc/apache2/sites-available/DOMAIN-le-ssl.conf Ανάπτυξη πιστοποιητικού στο VirtualHost /etc/apache2/sites-available/DOMAIN-le-ssl.conf Ενεργοποίηση του διαθέσιμου ιστότοπου: / etc / apache2 / sites-available / DOMAIN-le-ssl.conf Ανακατεύθυνση vhost στο /etc/apache2/sites-enabled/DOMAIN.NAME.conf σε ssl vhost στο /etc/apache2/sites-available/DOMAIN-le-ssl.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Συγχαρητήρια! Έχετε ενεργοποιήσει με επιτυχία https://DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Το Certbot θα δημιουργήσει επίσης ένα αρχείο crontab όπως αυτό για αυτοματοποιημένη μη διαδραστική ανανέωση οποιουδήποτε πιστοποιητικού εγκατεστημένου πιστοποιητικού που λήγει εντός 30 ημερών:
$ cat /etc/cron.d/certbot # /etc/cron.d/certbot: καταχωρήσεις crontab για το πακέτο certbot # # Το Upstream συνιστά προσπάθεια ανανέωσης δύο φορές την ημέρα # # Τελικά, αυτή θα είναι μια ευκαιρία για την επικύρωση πιστοποιητικών # haven ' έχει ανακληθεί κ.λπ. Η ανανέωση θα πραγματοποιηθεί μόνο εάν η λήξη # είναι εντός 30 ημερών. # # Σημαντική σημείωση! Αυτό το cronjob ΔΕΝ θα εκτελεστεί εάν χρησιμοποιείτε # systemd ως το σύστημα init. Εάν εκτελείτε systemd, # η συνάρτηση cronjob.timer υπερισχύει αυτού του cronjob. Για # περισσότερες λεπτομέρειες, ανατρέξτε στη σελίδα systemd.timer ή χρησιμοποιήστε το systemctl show # certbot.timer. SHELL = / bin / sh PATH = / usr / local / sbin: / usr / local / bin: / sbin: / bin: / usr / sbin: / usr / bin 0 * / 12 * * * root test -x / usr / bin / certbot -α \! -d / run / systemd / system && perl -e 'sleep int (rand (43200))' && certbot -q ανανέωση
Εγκατάσταση και αυτοματισμός Nginx
Για το Nginx, απλώς αντικαταστήστε το --nginx
για --apache
στην παραπάνω εντολή:
sudo certbot --nginx --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
- Αλλαξε το
--server
τιμή στην εντολή προςhttps://acme.ssl.com/sslcom-dv-rsa
.
Αναγκαστική ανανέωση με μη αυτόματο τρόπο
Εάν θέλετε να ανανεώσετε με μη αυτόματο τρόπο ένα πιστοποιητικό πριν από τη λήξη της ισχύος, χρησιμοποιήστε αυτήν την εντολή:
certbot ανανέωση-δύναμη-ανανέωση-concert-name DOMAIN.NAME
Το SSL.com παρέχει μια μεγάλη ποικιλία SSL /TLS πιστοποιητικά διακομιστή για ιστότοπους HTTPS.