ACME SSL /TLS Otomatisasi dengan Apache dan Nginx

Panduan ini akan memandu Anda menyiapkan penginstalan dan pembaruan sertifikat otomatis dengan SSL.com untuk Apache dan Nginx dengan protokol ACME dan klien Certbot.

Catatan: Anda akan membutuhkan akses SSH dan sudo hak istimewa di server web Anda untuk mengikuti petunjuk ini.
Catatan:
Anda dapat menggunakan banyak klien ACME lainnya, termasuk Manajer sertifikat Kubernetes, dengan layanan ACME SSL.com.
acme4j  klien sekarang dapat menggunakan layanan ACME SSL.com di repositori ini: https://github.com/SSLcom/acme4j
Silakan merujuk ke dokumentasi penyedia perangkat lunak Anda untuk petunjuk bagi klien ACME non-Certbot lainnya.

Instal Certbot dan Ambil Kredensial ACME

  1. SSH ke server web Anda.
  2. Pastikan bahwa versi terbaru Certbot, bersama dengan plugin Apache dan Nginx, diinstal di server web Anda:
    • Jika Anda memiliki snapd terpasang, Anda dapat menggunakan perintah ini untuk penginstalan: 
      sudo snap install - certbot klasik
    • If /snap/bin/ tidak ada di dalam PATH, Anda juga perlu menambahkannya atau menjalankan perintah seperti ini: 
      sudo ln -s / snap / bin / certbot / usr / bin / certbot
  3. Ambil kredensial ACME Anda dari akun SSL.com Anda:
    1. Masuk ke akun SSL.com Anda. Jika Anda sudah masuk, buka Menu Utama Tab.
      Menu Utama
    2. Klik kredensial api, terletak di bawah pengembang dan integrasi.
      Tautan kredensial API
    3. Anda akan membutuhkan Anda Akun / Kunci ACME dan Kunci HMAC untuk meminta sertifikat. Klik ikon clipboard () di samping setiap kunci untuk menyalin nilai ke clipboard.
      Kunci Akun / ACME dan Kunci HMAC
Pergi ke atas

Instalasi dan Otomatisasi Apache

Gunakan perintah seperti ini untuk menginstal di Apache. Ganti nilai dalam HURUF BESAR SEMUA dengan nilai Anda yang sebenarnya:

sudo certbot --apache --email ALAMAT EMAIL --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME

Memecah perintah:

  • sudo certbot menjalankan certbot perintah dengan hak superuser.
  • --apache menentukan untuk menginstal sertifikat untuk digunakan dengan Apache.
  • --email EMAIL-ADDRESS memberikan alamat email pendaftaran. Anda dapat menentukan beberapa alamat, dipisahkan dengan koma.
  • --agree-tos (opsional) menyetujui perjanjian pelanggan ACME. Anda dapat menghilangkan ini jika Anda ingin menyetujui secara interaktif.
  • --no-eff-email (opsional) menunjukkan bahwa Anda tidak ingin membagi alamat email Anda dengan EFF. Jika Anda mengabaikan ini, Anda akan diminta dengan opsi untuk membagikan alamat email Anda.
  • --config-dir /etc/ssl-com (opsional) menyetel direktori konfigurasi.
  • --logs-dir /var/log/ssl-com (opsional) menyetel direktori untuk log.
  • --eab-kid ACCOUNT-KEY menentukan kunci akun Anda.
  • --eab-hmac-key HMAC-KEY menentukan kunci HMAC Anda.
  • --server https://acme.ssl.com/sslcom-dv-ecc menentukan server ACME SSL.com.
  • -d DOMAIN.NAME menentukan nama domain yang akan dicakup oleh sertifikat.
Catatan: Certbot 2.0.0 atau lebih baru default untuk menghasilkan ECDSA untuk sertifikat baru. Perintah di atas adalah untuk keypair dan sertifikat ECDSA. Untuk menggunakan kunci RSA sebagai gantinya:

  • Mengubah --server nilai dalam perintah untuk https://acme.ssl.com/sslcom-dv-rsa
Catatan: Anda dapat menggunakan -d DOMAIN.NAME opsi beberapa kali dalam perintah Anda untuk menambahkan nama domain ke sertifikat Anda. Silakan lihat informasi kami di jenis sertifikat dan penagihan untuk melihat bagaimana kombinasi yang berbeda dari nama domain dipetakan Jenis sertifikat SSL.com dan harga yang sesuai.
Saat pertama kali menjalankan yang di atas certbot perintah, info akun ACME akan disimpan di komputer Anda di direktori konfigurasi (/etc/ssl-com dalam perintah yang ditunjukkan di atas. Pada menjalankan certbot di masa mendatang, Anda dapat menghilangkan --eab-hmac-key dan --eab-kid opsi karena certbot akan mengabaikannya demi info akun yang disimpan secara lokal.

Jika Anda perlu mengaitkan pesanan sertifikat ACME Anda untuk komputer dengan akun SSL.com yang berbeda, Anda harus menghapus informasi akun ini dari komputer Anda dengan perintah sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (atau, jika Anda menghilangkan pilihan --config-dir pilihan, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

Anda akan melihat keluaran seperti ini setelah Anda menjalankan perintah:

Menyimpan log debug ke /var/log/ssl-com/letsencrypt.log Plugin dipilih: Authenticator apache, Installer apache Memperoleh sertifikat baru Melakukan tantangan berikut: Tantangan http-01 untuk DOMAIN.NAME Menunggu verifikasi ... Membersihkan tantangan Membuat vhost SSL di /etc/apache2/sites-available/DOMAIN-le-ssl.conf Menerapkan Sertifikat ke VirtualHost /etc/apache2/sites-available/DOMAIN-le-ssl.conf Mengaktifkan situs yang tersedia: / etc / apache2 / sites-available / DOMAIN-le-ssl.conf Mengalihkan vhost di /etc/apache2/sites-enabled/DOMAIN.NAME.conf ke ssl vhost di /etc/apache2/sites-available/DOMAIN-le-ssl.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Selamat! Anda telah berhasil mengaktifkan https://DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Certbot juga akan membuat file crontab seperti ini untuk pembaruan non-interaktif otomatis dari sertifikat yang dipasang certbot yang kedaluwarsa dalam 30 hari:

$ cat /etc/cron.d/certbot # /etc/cron.d/certbot: entri crontab untuk paket certbot # # Upstream merekomendasikan untuk mencoba memperbarui dua kali sehari # # Akhirnya, ini akan menjadi kesempatan untuk memvalidasi sertifikat # haven ' t dicabut, dll. Perpanjangan hanya akan terjadi jika kedaluwarsa # dalam waktu 30 hari. # # Catatan penting! Cronjob ini TIDAK akan dijalankan jika Anda # menjalankan systemd sebagai sistem init Anda. Jika Anda menjalankan systemd, # fungsi cronjob.timer lebih diutamakan daripada cronjob ini. Untuk # lebih detail, lihat halaman manual systemd.timer, atau gunakan systemctl show # certbot.timer. SHELL = / bin / sh PATH = / usr / local / sbin: / usr / local / bin: / sbin: / bin: / usr / sbin: / usr / bin 0 * / 12 * * * root test -x / usr / bin / certbot -a \! -d / run / systemd / system && perl -e 'sleep int (rand (43200))' && certbot -q memperbaharui
Catatan: Semua SSL /TLS sertifikat yang diterbitkan melalui ACME oleh SSL.com memiliki masa pakai satu tahun.
Pergi ke atas

Instalasi dan Otomasi Nginx

Untuk Nginx, cukup gantikan --nginx untuk --apache pada perintah yang ditunjukkan di atas:

sudo certbot --nginx --email ALAMAT EMAIL --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
Catatan: Certbot 2.0.0 atau lebih baru default untuk menghasilkan ECDSA untuk sertifikat baru. Perintah di atas adalah untuk keypair dan sertifikat ECDSA. Untuk menggunakan kunci RSA sebagai gantinya:

  • Mengubah --server nilai dalam perintah untuk https://acme.ssl.com/sslcom-dv-rsa
Pergi ke atas

Paksa Pembaruan Secara Manual

Jika Anda ingin memperbarui sertifikat secara manual sebelum kedaluwarsa, gunakan perintah ini:

certbot memperbarui --force-renewal --cert-name DOMAIN.NAME

SSL.com menyediakan berbagai macam SSL /TLS sertifikat server untuk situs web HTTPS.

BANDINGKAN SSL /TLS SERTIFIKAT

Tim Dukungan SSL.com

Penulis - Administrator Konten
Semua Tulisan

Terkait Bagaimana Tos

Lihat Semua Bagaimana Tos
Facebook Linkedin Twitter Youtube Github

Berlangganan Newsletter SSL.com

Apa itu SSL /TLS?

Putar Video

Berlangganan Buletin SSL.com

Jangan lewatkan artikel baru dan pembaruan dari SSL.com

Tetap Terinformasi dan Aman

SSL.com adalah pemimpin global dalam keamanan siber, PKI dan sertifikat digital. Daftar untuk menerima berita industri terkini, tips, dan pengumuman produk dari SSL.com.

Kami sangat menantikan tanggapan Anda

Ikuti survei kami dan beri tahu kami pendapat Anda tentang pembelian terakhir Anda.

Ikuti Survei