ACME SSL /TLS ApacheとNginxによる自動化

このハウツーでは、ACMEプロトコルとCertbotクライアントを使用してApacheとNginxのSSL.comで自動証明書のインストールと更新を設定する方法について説明します。

Certbotをインストールし、ACME資格情報を取得します

1. WebサーバーにSSHで接続します。
2. の現在のバージョンを確認してください Certbot、ApacheおよびNginxプラグインとともに、Webサーバーにインストールされます。
   • あなたが持っている場合 スナップインストール、次のコマンドを使用してインストールできます。

     sudo snap install --classic certbot

   • If /snap/bin/ あなたの中にはありません PATH、追加するか、次のようなコマンドを実行する必要もあります。

     sudo ln -s / snap / bin / certbot / usr / bin / certbot

3. SSL.comアカウントからACME資格情報を取得します。
   1. SSL.comアカウントにログインします。 すでにログインしている場合は、 ダッシュボード タブには何も表示されないことに注意してください。
      
   2. クリック API資格情報、下にあります 開発者と統合.
      
   3. あなたはあなたが必要になります アカウント/ ACMEキー & HMACキー 証明書を要求します。 クリップボードアイコンをクリックします（）各キーの横にある値をクリップボードにコピーします。
      

Apacheのインストールと自動化

このようなコマンドを使用して、Apacheにインストールします。 すべて大文字の値を実際の値に置き換えます。

sudo certbot --apache --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME

コマンドの内訳：

• sudo certbot 実行します certbot スーパーユーザー権限を持つコマンド。
• --apache Apacheで使用する証明書をインストールすることを指定します。
• --email EMAIL-ADDRESS 登録メールアドレスを提供します。 複数のアドレスをコンマで区切って指定できます。
• --agree-tos （オプション）ACMEサブスクライバー契約に同意します。 インタラクティブに同意したい場合は、これを省略できます。
• --no-eff-email （オプション）は、EメールアドレスをEFFと共有したくないことを示します。 これを省略すると、メールアドレスを共有するオプションが表示されます。
• --config-dir /etc/ssl-com （オプション）構成ディレクトリを設定します。
• --logs-dir /var/log/ssl-com （オプション）ログのディレクトリを設定します。
• --eab-kid ACCOUNT-KEY アカウントキーを指定します。
• --eab-hmac-key HMAC-KEY HMACキーを指定します。
• --server https://acme.ssl.com/sslcom-dv-ecc SSL.comのACMEサーバーを指定します。
• -d DOMAIN.NAME 証明書がカバーするドメイン名を指定します。

コマンドを実行すると、次のような出力が表示されます。

デバッグログを/var/log/ssl-com/letsencrypt.logに保存します選択したプラグイン：オーセンティケーターapache、インストーラーapache新しい証明書の取得次のチャレンジを実行します：DOMAIN.NAMEのhttp-01チャレンジ検証を待っています...チャレンジをクリーンアップします/etc/apache2/sites-available/DOMAIN-le-ssl.confにSSLvhostを作成しました。VirtualHostへの証明書の展開/etc/apache2/sites-available/DOMAIN-le-ssl.conf使用可能なサイトの有効化：/ etc / apache2 sites-available / DOMAIN-le-ssl.conf / etc / apache2 / sites-enabled / DOMAIN.NAME.confのvhostを/etc/apache2/sites-available/DOMAIN-le-ssl.confのsslvhostにリダイレクトします--- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - おめでとう！ これで、https：//DOMAIN.NAMEが正常に有効になりました。 -

Certbotは、このようなcrontabファイルも作成し、30日以内に有効期限が切れるcertbotがインストールした証明書を非インタラクティブに自動更新します。

$ cat /etc/cron.d/certbot＃/etc/cron.d/certbot：certbotパッケージのcrontabエントリ＃＃アップストリームでは、30日に0回更新を試みることをお勧めします＃＃最終的に、これは証明書を検証する機会になります＃持っていません '取り消された場合など。更新は、有効期限が12日以内の場合にのみ発生します。 ＃ ＃ 重要な注意点！ ＃initシステムとしてsystemdを実行している場合、このcronジョブは実行されません。 systemdを実行している場合、＃cronjob.timer関数がこのcronjobよりも優先されます。 ＃詳細については、systemd.timerのマンページを参照するか、systemctl show＃certbot.timerを使用してください。 SHELL = / bin / sh PATH = / usr / local / sbin：/ usr / local / bin：/ sbin：/ bin：/ usr / sbin：/ usr / bin 43200 * / XNUMX * * * root test -x / usr / bin / certbot -a \！ -d / run / systemd / system && perl -e'sleep int（rand（XNUMX）） '&& certbot -q renew

Nginxのインストールと自動化

Nginxの場合は、単に --nginx for --apache 上記のコマンドで：

sudo certbot --nginx --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME

手動で更新を強制する

有効期限が切れる前に証明書を手動で更新する場合は、次のコマンドを使用します。

certbot 更新 --force-renewal --cert-name DOMAIN.NAME