Ez a útmutató végigvezeti Önt az automatizált tanúsítvány telepítés és megújítás beállításán az SSL.com segítségével az Apache és az Nginx számára az ACME protokollal és a Certbot klienssel.
sudo
jogosultságokat a webszerveren, hogy kövesse ezeket az utasításokat.Használhat sok más ACME-klienst, beleértve Kubernetes tanúsítványkezelő, az SSL.com ACME szolgáltatásával.
acme4j az ügyfél most már használhatja az SSL.com ACME szolgáltatásokat ezen a tárolón: https://github.com/SSLcom/acme4j
A többi nem Certbot ACME kliensre vonatkozó utasításokért olvassa el a szoftverszolgáltató dokumentációját.
Telepítse a Certbot szoftvert, és szerezze be az ACME hitelesítő adatokat
- SSH a webszerverre.
- Győződjön meg arról, hogy a certbotaz Apache és az Nginx beépülő modulokkal együtt telepítve van a webkiszolgálóra:
- Ha van snapd telepítve, ezt a parancsot használhatja a telepítéshez:
sudo snap install -klasszikus certbot
- If
/snap/bin/
nincs a tiédbenPATH
, akkor hozzá kell adnia vagy futtatnia kell egy ilyen parancsot:sudo ln -s / snap / bin / certbot / usr / bin / certbot
- Ha van snapd telepítve, ezt a parancsot használhatja a telepítéshez:
- Szerezze be ACME hitelesítő adatait az SSL.com fiókjából:
- Jelentkezzen be SSL.com fiókjába. Ha már be van jelentkezve, lépjen a Műszerfal Tab.
- Kattints api hitelesítő adatokalatt található fejlesztők és az integráció.
- Szükséged lesz a Számla / ACME kulcs és a HMAC kulcs igazolásokat kérni. Kattintson a vágólap ikonjára () az egyes kulcsok mellett az érték vágólapra másolásához.
- Jelentkezzen be SSL.com fiókjába. Ha már be van jelentkezve, lépjen a Műszerfal Tab.
Apache telepítés és automatizálás
Használjon egy ilyen parancsot az Apache telepítéséhez. Az ALL CAPS értékeit cserélje le a tényleges értékekre:
sudo certbot --apache --e-mail E-MAIL-CÍM --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --szerver https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
A parancs lebontása:
sudo certbot
fut acertbot
parancs superuser jogosultságokkal.--apache
megadja az Apache-hoz használható tanúsítványok telepítését.--email EMAIL-ADDRESS
megadja a regisztrációs e-mail címet. Megadhat több címet vesszővel elválasztva.--agree-tos
(opcionális) elfogadja az ACME előfizetői megállapodást. Ezt kihagyhatja, ha interaktív módon szeretne megállapodni.--no-eff-email
(opcionális) azt jelzi, hogy nem szeretné megosztani e-mail címét az EHA-val. Ha ezt elmulasztja, a rendszer megkéri, hogy ossza meg e-mail címét.--config-dir /etc/ssl-com
(opcionális) beállítja a konfigurációs könyvtárat.--logs-dir /var/log/ssl-com
(opcionális) a naplók könyvtárát állítja be.--eab-kid ACCOUNT-KEY
adja meg a fiók kulcsát.--eab-hmac-key HMAC-KEY
megadja a HMAC kulcsát.--server https://acme.ssl.com/sslcom-dv-ecc
meghatározza az SSL.com ACME szerverét.-d DOMAIN.NAME
meghatározza azt a domain nevet, amelyre a tanúsítvány kiterjed.
- Változtasd meg a
--server
érték a parancsbanhttps://acme.ssl.com/sslcom-dv-rsa
.
-d DOMAIN.NAME
lehetőség a parancs többszörösével domainnevek hozzáadásához a tanúsítványhoz. Kérjük, tekintse meg a következő információkat: tanúsítványtípusok és számlázás megnézni, hogy a domainnevek különböző kombinációi hogyan mutatnak be SSL.com tanúsítványtípusok és a hozzájuk tartozó árképzés.certbot
parancsot, az ACME fiókadatokat a számítógép a konfigurációs könyvtárban tárolja (/etc/ssl-com
a fent látható parancsban. A certbot jövőbeli futtatásakor elhagyhatja a --eab-hmac-key
és a --eab-kid
opciókat, mert a certbot figyelmen kívül hagyja őket a helyben tárolt fiókadatok javára.
Ha társítania kell a számítógép ACME tanúsítvány megrendelését egy másik SSL.com fiókkal, akkor a paranccsal el kell távolítania ezeket a fiókadatokat a számítógépéről sudo rm -r /etc/ssl-com/accounts/acme.ssl.com
(vagy ha kihagyta az opcionális opciót --config-dir
választási lehetőség, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com
).
A parancs futtatása után az ilyen kimenetet kell látnia:
Hibakeresési napló mentése a /var/log/ssl-com/letsencrypt.log könyvtárba Kiválasztott bővítmények: Authenticator apache, Installer apache Új tanúsítvány beszerzése A következő kihívások végrehajtása: A DOMAIN.NAME http-01 kihívása ellenőrzésre vár ... Kihívások tisztítása SSL vhostot hozott létre a /etc/apache2/sites-available/DOMAIN-le-ssl.conf fájlban. Tanúsítvány telepítése a VirtualHost-hoz /etc/apache2/sites-available/DOMAIN-le-ssl.conf A rendelkezésre álló webhely engedélyezése: / etc / apache2 / sites-available / DOMAIN-le-ssl.conf A vhost átirányítása az /etc/apache2/sites-enabled/DOMAIN.NAME.conf fájlba ssl vhost fájlba az /etc/apache2/sites-available/DOMAIN-le-ssl.conf fájlban - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Gratulálunk! Sikeresen engedélyezte a https://DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
A Certbot egy ilyen crontab fájlt is létrehoz egy 30 napon belül lejáró certbot által telepített tanúsítvány automatikus, nem interaktív megújításához:
$ cat /etc/cron.d/certbot # /etc/cron.d/certbot: crontab bejegyzések a certbot csomaghoz # # Az Upstream naponta kétszer megkísérli a megújítás megkísérlését # # Végül ez alkalmat nyújt a # haven 'igazolások érvényesítésére t visszavonták, stb. A megújítás csak akkor következik be, ha a lejárati idő 30 napon belül van. # # Fontos jegyzet! Ez a cronjob NEM fog végrehajtódni, ha # a systemd rendszert futtatja az init rendszerként. Ha a systemd rendszert futtatja, # a cronjob.timer függvény elsőbbséget élvez ezzel a cronjobval szemben. # További részletekért tekintse meg a systemd.timer oldalt, vagy használja a systemctl show # certbot.timer fájlt. SHELL = / bin / sh PATH = / usr / local / sbin: / usr / local / bin: / sbin: / bin: / usr / sbin: / usr / bin 0 * / 12 * * * root teszt -x / usr / bin / certbot -a \! -d / run / systemd / system && perl -e 'sleep int (rand (43200))' && certbot -q megújítás
Nginx telepítés és automatizálás
A Nginx esetében egyszerűen cserélje ki --nginx
mert --apache
a fenti parancsban:
sudo certbot --nginx --email E-MAIL-CÍM --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --szerver https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
- Változtasd meg a
--server
érték a parancsbanhttps://acme.ssl.com/sslcom-dv-rsa
.
A megújítás kényszerítése manuálisan
Ha manuálisan szeretné megújítani a tanúsítványt a lejárat küszöbén, akkor használja ezt a parancsot:
certbot megújítása - erő-megújítás - cert-név DOMAIN.NAME
Az SSL.com széles skáláját kínálja SSL /TLS szerver tanúsítványok HTTPS webhelyekhez.