ACME SSL /TLS Automaatio Apachen ja Nginxin avulla

ACME-protokollan käyttäminen SSL: n automatisoimiseksiTLS SSL.com-sertifikaatit Apache- ja Nginx-verkkopalvelimilla.

Aiheeseen liittyvää aineistoa

Haluatko jatkaa oppimista?

Tilaa SSL.comin uutiskirje, pysy ajan tasalla ja pysy turvassa.

Kopioi artikkelin linkki

Tämä ohje auttaa sinua määrittämään automaattisen varmenteen asennuksen ja uusimisen SSL.com: n avulla Apache- ja Nginx-laitteille ACME-protokollan ja Certbot-asiakasohjelman avulla.

Huomautus: Tarvitset SSH-yhteyden ja sudo web-palvelimen käyttöoikeudet näiden ohjeiden noudattamiseen.
Huomautus:
Voit käyttää monia muita ACME-asiakkaita, mukaan lukien Kubernetesin sert-managerSSL.comin ACME-palvelun avulla.
acme4j  asiakas voi nyt käyttää SSL.com ACME -palveluita tässä arkistossa: https://github.com/SSLcom/acme4j
Ohjeet muille kuin Certbot ACME -asiakkaille on ohjelmistotoimittajasi dokumentaatiossa.

Asenna Certbot ja hae ACME-tunnukset

  1. SSH verkkopalvelimeesi.
  2. Varmista, että version nykyinen versio on Certbot, yhdessä Apache- ja Nginx-laajennusten kanssa, asennetaan verkkopalvelimellesi:
    • Jos olet snapd asennettu, voit käyttää tätä komentoa asennukseen: 
      sudo snap install -klassinen certbot
    • If /snap/bin/ ei ole sinun PATH, sinun on myös lisättävä se tai suoritettava tällainen komento: 
      sudo ln -s / snap / bin / certbot / usr / bin / certbot
  3. Hae ACME-tunnuksesi SSL.com-tililtäsi:
    1. Kirjaudu SSL.com-tilillesi. Jos olet jo kirjautunut sisään, siirry koontinäyttöön. Tab.
      koontinäyttöön.
    2. Napauta api valtakirjat, sijaitsee alle kehittäjät ja integraatio.
      API-tunnistetietojen linkki
    3. Tarvitset sinun Tili / ACME-avain ja HMAC-avain pyytää varmenteita. Napsauta leikepöydän kuvaketta () kunkin näppäimen vieressä kopioidaksesi arvon leikepöydälle.
      Tili / ACME-avain ja HMAC-avain
Siirry alkuun

Apache-asennus ja -automaatio

Käytä tällaista komentoa asentaaksesi Apache. Korvaa KAIKKI CAPS -arvot todellisilla arvoillasi:

sudo certbot --apache --sähköposti SÄHKÖPOSTIOSOITE --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-Avain --palvelin https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME

Komennon hajottaminen:

  • sudo certbot toimii certbot komento pääkäyttäjän oikeuksilla.
  • --apache määrittelee asentamaan sertifikaatit käytettäväksi Apachen kanssa.
  • --email EMAIL-ADDRESS antaa rekisteröinnin sähköpostiosoitteen. Voit määrittää useita osoitteita pilkuilla erotettuna.
  • --agree-tos (valinnainen) hyväksyy ACME-tilaajasopimuksen. Voit jättää tämän pois, jos haluat sopia vuorovaikutteisesti.
  • --no-eff-email (valinnainen) osoittaa, että et halua jakaa sähköpostiosoitteesi EKTR: n kanssa. Jos jätät tämän pois, sinua pyydetään jakamaan sähköpostiosoitteesi.
  • --config-dir /etc/ssl-com (valinnainen) määrittää kokoonpanohakemiston.
  • --logs-dir /var/log/ssl-com (valinnainen) asettaa lokien hakemiston.
  • --eab-kid ACCOUNT-KEY määrittää tiliavain.
  • --eab-hmac-key HMAC-KEY määrittää HMAC-avaimesi.
  • --server https://acme.ssl.com/sslcom-dv-ecc määrittää SSL.com: n ACME-palvelimen.
  • -d DOMAIN.NAME määrittää verkkotunnuksen, jonka varmenne kattaa.
Huomautus: Certbot 2.0.0 tai uudempi luo oletuksena ECDSA:n uusia varmenteita varten. Yllä oleva komento on ECDSA-avainparille ja -sertifikaatille. Voit käyttää RSA-avaimia sen sijaan seuraavasti:

  • Muuta --server arvo komennossa https://acme.ssl.com/sslcom-dv-rsa
Huomautus: Voit käyttää -d DOMAIN.NAME vaihtoehto useita kertoja komennossa lisätäksesi verkkotunnuksia varmenteeseesi. Katso tietoja varmenteen tyypit ja laskutus nähdäksesi kuinka eri verkkotunnusyhdistelmät yhdistyvät SSL.com-sertifikaattityypit ja vastaava hinnoittelu.
Kun suoritat yllä mainitun certbot komento, ACME-tilitiedot tallennetaan tietokoneellesi kokoonpanohakemistoon (/etc/ssl-com yllä olevassa komennossa. Voit jättää certbotin tulevissa ajoissa --eab-hmac-key ja --eab-kid vaihtoehtoja, koska certbot jättää ne huomioimatta paikallisesti tallennettujen tilitietojen hyväksi.

Jos sinun on liitettävä tietokoneen ACME-varmenteen tilaukset toiseen SSL.com-tiliin, poista nämä tilitiedot tietokoneeltasi komennolla sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (tai jos jätit valinnaisen --config-dir vaihtoehto, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

Sinun pitäisi nähdä tällainen lähtö, kun olet suorittanut komennon:

Virheenkorjauslokin tallentaminen tiedostoon /var/log/ssl-com/letsencrypt.log Valitut laajennukset: Authenticator-apache, Installer-apache Uuden varmenteen hankkiminen Suoritetaan seuraavat haasteet: DOMAIN.NAME: http-01 -haaste odottaa vahvistusta ... Siivotaan haasteita Luotu SSL-isäntäpalvelin osoitteessa /etc/apache2/sites-available/DOMAIN-le-ssl.conf Varmenteen käyttöönotto VirtualHostiin /etc/apache2/sites-available/DOMAIN-le-ssl.conf Käytettävissä olevan sivuston ottaminen käyttöön: / etc / apache2 / sites-available / DOMAIN-le-ssl.conf Ohjaamalla vhost hakemistoon /etc/apache2/sites-enabled/DOMAIN.NAME.conf ssl vhost-tiedostoon /etc/apache2/sites-available/DOMAIN-le-ssl.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Onnittelut! Olet ottanut https://DOMAIN.NAME käyttöön - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Certbot luo myös tämän tyyppisen crontab-tiedoston 30 päivän kuluessa vanhentuvan certbot-asennetun varmenteen automaattista ei-interaktiivista uusimista varten:

$ cat /etc/cron.d/certbot # /etc/cron.d/certbot: crertab-merkinnät certbot-paketille # # Upstream suosittelee uusimisyritystä kahdesti päivässä # # Lopulta tämä on mahdollisuus vahvistaa varmenteet # haven ' t peruutettu jne. Uusiminen tapahtuu vain, jos viimeinen voimassaolonumero on 30 päivän sisällä. # # Tärkeä muistiinpano! Tätä cronjobia EI suoriteta, jos sinulla on # käynnissä systemd init-järjestelmänäsi. Jos sinulla on systemd, # cronjob.timer-toiminto on etusijalla tämän cronjobin kanssa. Jos haluat lisätietoja #, katso systemd.timer-sivua tai käytä systemctl show # certbot.timer -ohjelmaa. SHELL = / bin / sh PATH = / usr / local / sbin: / usr / local / bin: / sbin: / bin: / usr / sbin: / usr / bin 0 * / 12 * * * juuritesti -x / usr / bin / certbot -a \! -d / run / systemd / system && perl -e 'sleep int (rand (43200))' && certbot -q uusinta
Huomautus: Kaikki SSL /TLS SSLM: n ACME: n kautta myöntämillä varmenteilla on yhden vuoden käyttöikä.
Siirry alkuun

Nginxin asennus ja automaatio

Nginx, yksinkertaisesti korvaa --nginx varten --apache yllä esitetyssä komennossa:

sudo certbot --nginx --sähköposti SÄHKÖPOSTIOSOITE --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-Avain --palvelin https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
Huomautus: Certbot 2.0.0 tai uudempi luo oletuksena ECDSA:n uusia varmenteita varten. Yllä oleva komento on ECDSA-avainparille ja -sertifikaatille. Voit käyttää RSA-avaimia sen sijaan seuraavasti:

  • Muuta --server arvo komennossa https://acme.ssl.com/sslcom-dv-rsa
Siirry alkuun

Pakota uusiminen manuaalisesti

Jos haluat uudistaa varmenteen manuaalisesti ennen kuin vanhentuminen on välitön, käytä tätä komentoa:

certbot Uusinta - Force-Renewal - Cert-nimi DOMAIN.NAME

SSL.com tarjoaa laajan valikoiman SSL /TLS palvelinvarmenteet HTTPS-verkkosivustoille.

VERTAA SSL: ää /TLS TODISTUKSET

Pysy ajan tasalla ja turvassa

SSL.com on maailman johtava kyberturvallisuuden johtaja, PKI ja digitaaliset sertifikaatit. Rekisteröidy saadaksesi viimeisimmät alan uutiset, vinkit ja tuoteilmoitukset SSL.com.

Otamme mielellämme palautetta vastaan

Vastaa kyselyymme ja kerro meille mielipiteesi viimeaikaisesta ostoksestasi.

Ota kysely