Questa guida ti guiderà attraverso la configurazione dell'installazione e del rinnovo automatici dei certificati con SSL.com per Apache e Nginx con il protocollo ACME e il client Certbot.
Nota: Avrai bisogno dell'accesso SSH e
sudo privilegi sul tuo server web per seguire queste istruzioni.Nota:
Puoi utilizzare molti altri client ACME, inclusi Gestore certificati Kubernetes, con il servizio ACME di SSL.com.
acme4j il client ora può utilizzare i servizi ACME di SSL.com su questo repository: https://github.com/SSLcom/acme4j
Fare riferimento alla documentazione del fornitore del software per istruzioni relative ad altri client ACME non Certbot.
Puoi utilizzare molti altri client ACME, inclusi Gestore certificati Kubernetes, con il servizio ACME di SSL.com.
acme4j il client ora può utilizzare i servizi ACME di SSL.com su questo repository: https://github.com/SSLcom/acme4j
Fare riferimento alla documentazione del fornitore del software per istruzioni relative ad altri client ACME non Certbot.
Installa Certbot e recupera le credenziali ACME
- SSH nel tuo server web.
- Assicurati che una versione corrente di Certbot, insieme ai plugin Apache e Nginx, sono installati sul tuo server web:
- Se ancora non avete partecipato snapd installato, puoi usare questo comando per l'installazione:
sudo snap install --certbot classico
- If
/snap/bin/non è nel tuoPATH, dovrai anche aggiungerlo o eseguire un comando come questo:sudo ln -s / snap / bin / certbot / usr / bin / certbot
- Se ancora non avete partecipato snapd installato, puoi usare questo comando per l'installazione:
- Recupera le tue credenziali ACME dal tuo account SSL.com:
- Accedi al tuo account SSL.com. Se hai già effettuato l'accesso, vai al Dashboard scheda.
- Clicchi credenziali API, che si trova sotto sviluppatori e integrazione.
- Avrai bisogno del tuo Account / chiave ACME e Chiave HMAC per richiedere certificati. Fare clic sull'icona degli appunti () accanto a ciascuna chiave per copiare il valore negli appunti.
- Accedi al tuo account SSL.com. Se hai già effettuato l'accesso, vai al Dashboard scheda.
Installazione e automazione di Apache
Usa un comando come questo per installare su Apache. Sostituisci i valori TUTTO MAIUSCOLO con i tuoi valori effettivi:
sudo certbot --apache --email INDIRIZZO-EMAIL --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
Abbattere il comando:
sudo certbotcorre ilcertbotcomando con privilegi di superutente.--apachespecifica di installare i certificati da utilizzare con Apache.--email EMAIL-ADDRESSfornisce un indirizzo email di registrazione. Puoi specificare più indirizzi, separati da virgole.--agree-tos(facoltativo) accetta il contratto di abbonamento ACME. Puoi ometterlo se vuoi essere d'accordo in modo interattivo.--no-eff-email(facoltativo) indica che non desideri condividere il tuo indirizzo e-mail con l'EFF. Se lo ometti, ti verrà chiesto di condividere il tuo indirizzo email.--config-dir /etc/ssl-com(opzionale) imposta la directory di configurazione.--logs-dir /var/log/ssl-com(opzionale) imposta la directory per i log.--eab-kid ACCOUNT-KEYspecifica la chiave dell'account.--eab-hmac-key HMAC-KEYspecifica la tua chiave HMAC.--server https://acme.ssl.com/sslcom-dv-eccspecifica il server ACME di SSL.com.-d DOMAIN.NAMEspecifica il nome di dominio che coprirà il certificato.
Nota: Per impostazione predefinita, Certbot 2.0.0 o versioni successive genera ECDSA per i nuovi certificati. Il comando precedente è per una coppia di chiavi ECDSA e un certificato. Per utilizzare invece le chiavi RSA:
- Cambiare il
--servervalore nel comando tohttps://acme.ssl.com/sslcom-dv-rsa.
Nota: È possibile utilizzare il
-d DOMAIN.NAME opzione più volte nel comando per aggiungere nomi di dominio al certificato. Si prega di consultare le nostre informazioni su tipi di certificato e fatturazione per vedere come mappano le diverse combinazioni di nomi di dominio Tipi di certificato SSL.com e il prezzo corrispondente.Quando esegui per la prima volta quanto sopra
certbot comando, le informazioni sull'account ACME verranno memorizzate sul tuo computer nella directory di configurazione (/etc/ssl-com nel comando mostrato sopra. Nelle future esecuzioni di certbot, puoi omettere il --eab-hmac-key e --eab-kid opzioni perché certbot le ignorerà a favore delle informazioni sull'account memorizzate localmente.
Se devi associare i tuoi ordini di certificati ACME per il computer con un account SSL.com diverso, dovresti rimuovere queste informazioni sull'account dal tuo computer con il comando sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (o, se hai omesso l'opzionale --config-dir opzione, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).
Dovresti vedere un output come questo dopo aver eseguito il comando:
Salvataggio del registro di debug in /var/log/ssl-com/letsencrypt.log Plugin selezionati: Autenticatore apache, Programma di installazione apache Ottenimento di un nuovo certificato Esecuzione delle seguenti sfide: sfida http-01 per DOMAIN.NAME In attesa di verifica ... Eliminazione delle sfide Creato un vhost SSL in /etc/apache2/sites-available/DOMAIN-le-ssl.conf Distribuzione del certificato a VirtualHost /etc/apache2/sites-available/DOMAIN-le-ssl.conf Abilitazione del sito disponibile: / etc / apache2 / sites-available / DOMAIN-le-ssl.conf Reindirizzamento di vhost in /etc/apache2/sites-enabled/DOMAIN.NAME.conf a ssl vhost in /etc/apache2/sites-available/DOMAIN-le-ssl.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Congratulazioni! Hai abilitato con successo https://DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Certbot creerà anche un file crontab come questo per il rinnovo automatico non interattivo di qualsiasi certificato installato da certbot che scada entro 30 giorni:
$ cat /etc/cron.d/certbot # /etc/cron.d/certbot: voci crontab per il pacchetto certbot # # Upstream consiglia di tentare il rinnovo due volte al giorno # # Alla fine, questa sarà un'opportunità per convalidare i certificati # haven ' t è stato revocato, ecc. Il rinnovo avverrà solo se la scadenza # è entro 30 giorni. # # Nota importante! Questo cronjob NON verrà eseguito se # stai eseguendo systemd come sistema di inizializzazione. Se stai usando systemd, # la funzione cronjob.timer ha la precedenza su questo cronjob. Per # ulteriori dettagli, vedere la manpage systemd.timer, o utilizzare systemctl show # certbot.timer. SHELL = / bin / sh PATH = / usr / local / sbin: / usr / local / bin: / sbin: / bin: / usr / sbin: / usr / bin 0 * / 12 * * * root test -x / usr / bin / certbot -a \! -d / run / systemd / system && perl -e 'sleep int (rand (43200))' && certbot -q rinnova
Nota: Tutti SSL /TLS i certificati emessi tramite ACME da SSL.com hanno una durata di un anno.
Installazione e automazione di Nginx
Per Nginx, sostituisci semplicemente --nginx per --apache nel comando mostrato sopra:
sudo certbot --nginx --email INDIRIZZO-EMAIL --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
Nota: Per impostazione predefinita, Certbot 2.0.0 o versioni successive genera ECDSA per i nuovi certificati. Il comando precedente è per una coppia di chiavi ECDSA e un certificato. Per utilizzare invece le chiavi RSA:
- Cambiare il
--servervalore nel comando tohttps://acme.ssl.com/sslcom-dv-rsa.
Forza rinnovo manualmente
Se desideri rinnovare manualmente un certificato prima che la scadenza sia imminente, utilizza questo comando:
certbot rinnova --force-renewal --cert-name DOMAIN.NAME
SSL.com fornisce un'ampia varietà di file SSL /TLS certificati del server per i siti Web HTTPS.
