ACME SSL /TLS Automatizálás az Apache és az Nginx segítségével

Ez a útmutató végigvezeti Önt az automatizált tanúsítvány telepítés és megújítás beállításán az SSL.com segítségével az Apache és az Nginx számára az ACME protokollal és a Certbot klienssel.

Jegyzet: Szüksége lesz SSH hozzáférésre és sudo jogosultságokat a webszerveren, hogy kövesse ezeket az utasításokat.
Jegyzet:
Használhat sok más ACME-klienst, beleértve Kubernetes tanúsítványkezelő, az SSL.com ACME szolgáltatásával.
acme4j  az ügyfél most már használhatja az SSL.com ACME szolgáltatásokat ezen a tárolón: https://github.com/SSLcom/acme4j
A többi nem Certbot ACME kliensre vonatkozó utasításokért olvassa el a szoftverszolgáltató dokumentációját.

Telepítse a Certbot szoftvert, és szerezze be az ACME hitelesítő adatokat

  1. SSH a webszerverre.
  2. Győződjön meg arról, hogy a certbotaz Apache és az Nginx beépülő modulokkal együtt telepítve van a webkiszolgálóra:
    • Ha van snapd telepítve, ezt a parancsot használhatja a telepítéshez: 
      sudo snap install -klasszikus certbot
    • If /snap/bin/ nincs a tiédben PATH, akkor hozzá kell adnia vagy futtatnia kell egy ilyen parancsot: 
      sudo ln -s / snap / bin / certbot / usr / bin / certbot
  3. Szerezze be ACME hitelesítő adatait az SSL.com fiókjából:
    1. Jelentkezzen be SSL.com fiókjába. Ha már be van jelentkezve, lépjen a Műszerfal Tab.
      Műszerfal
    2. Kattints api hitelesítő adatokalatt található fejlesztők és az integráció.
      API hitelesítő adatok linkje
    3. Szükséged lesz a Számla / ACME kulcs és a HMAC kulcs igazolásokat kérni. Kattintson a vágólap ikonjára () az egyes kulcsok mellett az érték vágólapra másolásához.
      Számla / ACME kulcs és HMAC kulcs
Ugrás az oldal tetejére

Apache telepítés és automatizálás

Használjon egy ilyen parancsot az Apache telepítéséhez. Az ALL CAPS értékeit cserélje le a tényleges értékekre:

sudo certbot --apache --e-mail E-MAIL-CÍM --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --szerver https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME

A parancs lebontása:

  • sudo certbot fut a certbot parancs superuser jogosultságokkal.
  • --apache megadja az Apache-hoz használható tanúsítványok telepítését.
  • --email EMAIL-ADDRESS megadja a regisztrációs e-mail címet. Megadhat több címet vesszővel elválasztva.
  • --agree-tos (opcionális) elfogadja az ACME előfizetői megállapodást. Ezt kihagyhatja, ha interaktív módon szeretne megállapodni.
  • --no-eff-email (opcionális) azt jelzi, hogy nem szeretné megosztani e-mail címét az EHA-val. Ha ezt elmulasztja, a rendszer megkéri, hogy ossza meg e-mail címét.
  • --config-dir /etc/ssl-com (opcionális) beállítja a konfigurációs könyvtárat.
  • --logs-dir /var/log/ssl-com (opcionális) a naplók könyvtárát állítja be.
  • --eab-kid ACCOUNT-KEY adja meg a fiók kulcsát.
  • --eab-hmac-key HMAC-KEY megadja a HMAC kulcsát.
  • --server https://acme.ssl.com/sslcom-dv-ecc meghatározza az SSL.com ACME szerverét.
  • -d DOMAIN.NAME meghatározza azt a domain nevet, amelyre a tanúsítvány kiterjed.
Jegyzet: A Certbot 2.0.0 vagy újabb verziója alapértelmezés szerint ECDSA-t generál az új tanúsítványokhoz. A fenti parancs ECDSA kulcspárra és tanúsítványra vonatkozik. Az RSA kulcsok helyett:

  • Változtasd meg a --server érték a parancsban https://acme.ssl.com/sslcom-dv-rsa
Jegyzet: Használhatja a -d DOMAIN.NAME lehetőség a parancs többszörösével domainnevek hozzáadásához a tanúsítványhoz. Kérjük, tekintse meg a következő információkat: tanúsítványtípusok és számlázás megnézni, hogy a domainnevek különböző kombinációi hogyan mutatnak be SSL.com tanúsítványtípusok és a hozzájuk tartozó árképzés.
Amikor először futtatja a fentieket certbot parancsot, az ACME fiókadatokat a számítógép a konfigurációs könyvtárban tárolja (/etc/ssl-com a fent látható parancsban. A certbot jövőbeli futtatásakor elhagyhatja a --eab-hmac-key és a --eab-kid opciókat, mert a certbot figyelmen kívül hagyja őket a helyben tárolt fiókadatok javára.

Ha társítania kell a számítógép ACME tanúsítvány megrendelését egy másik SSL.com fiókkal, akkor a paranccsal el kell távolítania ezeket a fiókadatokat a számítógépéről sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (vagy ha kihagyta az opcionális opciót --config-dir választási lehetőség, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

A parancs futtatása után az ilyen kimenetet kell látnia:

Hibakeresési napló mentése a /var/log/ssl-com/letsencrypt.log könyvtárba Kiválasztott bővítmények: Authenticator apache, Installer apache Új tanúsítvány beszerzése A következő kihívások végrehajtása: A DOMAIN.NAME http-01 kihívása ellenőrzésre vár ... Kihívások tisztítása SSL vhostot hozott létre a /etc/apache2/sites-available/DOMAIN-le-ssl.conf fájlban. Tanúsítvány telepítése a VirtualHost-hoz /etc/apache2/sites-available/DOMAIN-le-ssl.conf A rendelkezésre álló webhely engedélyezése: / etc / apache2 / sites-available / DOMAIN-le-ssl.conf A vhost átirányítása az /etc/apache2/sites-enabled/DOMAIN.NAME.conf fájlba ssl vhost fájlba az /etc/apache2/sites-available/DOMAIN-le-ssl.conf fájlban - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Gratulálunk! Sikeresen engedélyezte a https://DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

A Certbot egy ilyen crontab fájlt is létrehoz egy 30 napon belül lejáró certbot által telepített tanúsítvány automatikus, nem interaktív megújításához:

$ cat /etc/cron.d/certbot # /etc/cron.d/certbot: crontab bejegyzések a certbot csomaghoz # # Az Upstream naponta kétszer megkísérli a megújítás megkísérlését # # Végül ez alkalmat nyújt a # haven 'igazolások érvényesítésére t visszavonták, stb. A megújítás csak akkor következik be, ha a lejárati idő 30 napon belül van. # # Fontos jegyzet! Ez a cronjob NEM fog végrehajtódni, ha # a systemd rendszert futtatja az init rendszerként. Ha a systemd rendszert futtatja, # a cronjob.timer függvény elsőbbséget élvez ezzel a cronjobval szemben. # További részletekért tekintse meg a systemd.timer oldalt, vagy használja a systemctl show # certbot.timer fájlt. SHELL = / bin / sh PATH = / usr / local / sbin: / usr / local / bin: / sbin: / bin: / usr / sbin: / usr / bin 0 * / 12 * * * root teszt -x / usr / bin / certbot -a \! -d / run / systemd / system && perl -e 'sleep int (rand (43200))' && certbot -q megújítás
Jegyzet: Minden SSL /TLS Az SSLM ACME-n keresztül kiállított tanúsítványainak egyéves élettartama van.
Ugrás az oldal tetejére

Nginx telepítés és automatizálás

A Nginx esetében egyszerűen cserélje ki --nginx mert --apache a fenti parancsban:

sudo certbot --nginx --email E-MAIL-CÍM --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --szerver https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
Jegyzet: A Certbot 2.0.0 vagy újabb verziója alapértelmezés szerint ECDSA-t generál az új tanúsítványokhoz. A fenti parancs ECDSA kulcspárra és tanúsítványra vonatkozik. Az RSA kulcsok helyett:

  • Változtasd meg a --server érték a parancsban https://acme.ssl.com/sslcom-dv-rsa
Ugrás az oldal tetejére

A megújítás kényszerítése manuálisan

Ha manuálisan szeretné megújítani a tanúsítványt a lejárat küszöbén, akkor használja ezt a parancsot:

certbot megújítása - erő-megújítás - cert-név DOMAIN.NAME

Az SSL.com széles skáláját kínálja SSL /TLS szerver tanúsítványok HTTPS webhelyekhez.

Hasonlítsa össze az SSL-t /TLS BIZONYÍTVÁNYOK

SSL.com támogatási csapat

Szerző - Tartalom Rendszergazda
Minden hozzászólás

Kapcsolódó Hogyan Tos

Az összes megtekintése Hogyan Tos
Facebook Linkedin Twitter Youtube GitHub

Feliratkozás az SSL.com hírlevelére

Mi az SSL /TLS?

Videó lejátszása

Feliratkozás az SSL.com hírlevelére

Ne hagyja ki az SSL.com új cikkeit és frissítéseit

Legyen tájékozott és biztonságos

SSL.com világelső a kiberbiztonság területén, PKI és digitális tanúsítványok. Iratkozzon fel, hogy megkapja a legújabb iparági híreket, tippeket és termékbejelentéseket SSL.com.

Örülnénk a visszajelzésének

Töltse ki felmérésünket, és ossza meg velünk véleményét legutóbbi vásárlásával kapcsolatban.

Kérdőívet kitölteni