이 방법은 ACME 프로토콜 및 Certbot 클라이언트를 사용하는 Apache 및 Nginx 용 SSL.com으로 자동 인증서 설치 및 갱신을 설정하는 방법을 안내합니다.
참고 : SSH 액세스가 필요하며
sudo
이 지침을 따르려면 웹 서버에 대한 권한.참고 :
다음을 포함하여 다른 많은 ACME 클라이언트를 사용할 수 있습니다. Kubernetes 인증서 관리자, SSL.com의 ACME 서비스를 이용하세요.
acme4j 이제 클라이언트는 이 저장소에서 SSL.com ACME 서비스를 사용할 수 있습니다. https://github.com/SSLcom/acme4j
Certbot이 아닌 ACME 클라이언트에 대한 지침은 소프트웨어 제공업체의 설명서를 참조하세요.
다음을 포함하여 다른 많은 ACME 클라이언트를 사용할 수 있습니다. Kubernetes 인증서 관리자, SSL.com의 ACME 서비스를 이용하세요.
acme4j 이제 클라이언트는 이 저장소에서 SSL.com ACME 서비스를 사용할 수 있습니다. https://github.com/SSLcom/acme4j
Certbot이 아닌 ACME 클라이언트에 대한 지침은 소프트웨어 제공업체의 설명서를 참조하세요.
Certbot 설치 및 ACME 자격 증명 검색
- 웹 서버에 SSH를 사용합니다.
- 최신 버전의 Certbot는 Apache 및 Nginx 플러그인과 함께 웹 서버에 설치됩니다.
- 당신이 있으면 스냅 설치, 다음 명령을 사용하여 설치할 수 있습니다.
sudo 스냅 설치-클래식 certbot
- If
/snap/bin/
당신의PATH
, 추가하거나 다음과 같은 명령을 실행해야합니다.sudo ln -s / snap / bin / certbot / usr / bin / certbot
- 당신이 있으면 스냅 설치, 다음 명령을 사용하여 설치할 수 있습니다.
- SSL.com 계정에서 ACME 자격 증명을 검색합니다.
Apache 설치 및 자동화
Apache에 설치하려면 이와 같은 명령을 사용하십시오. 모두 대문자로 된 값을 실제 값으로 바꿉니다.
sudo certbot --apache --email 이메일 주소 --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
명령 분석 :
sudo certbot
~을 실행하다certbot
수퍼 유저 권한이있는 명령.--apache
Apache에서 사용할 인증서를 설치하도록 지정합니다.--email EMAIL-ADDRESS
등록 이메일 주소를 제공합니다. 쉼표로 구분하여 여러 주소를 지정할 수 있습니다.--agree-tos
(선택 사항) ACME 가입자 계약에 동의합니다. 대화식으로 동의하려면 이것을 생략 할 수 있습니다.--no-eff-email
(선택 사항)은 EFF와 이메일 주소를 공유하지 않기를 원함을 나타냅니다. 이것을 생략하면 이메일 주소를 공유 할 것인지 묻는 메시지가 표시됩니다.--config-dir /etc/ssl-com
(선택 사항) 구성 디렉토리를 설정합니다.--logs-dir /var/log/ssl-com
(선택 사항) 로그 용 디렉토리를 설정합니다.--eab-kid ACCOUNT-KEY
계정 키를 지정합니다.--eab-hmac-key HMAC-KEY
HMAC 키를 지정합니다.--server https://acme.ssl.com/sslcom-dv-ecc
SSL.com의 ACME 서버를 지정합니다.-d DOMAIN.NAME
인증서가 다룰 도메인 이름을 지정합니다.
참고 : Certbot 2.0.0 이상은 기본적으로 새 인증서에 대해 ECDSA를 생성합니다. 위의 명령은 ECDSA 키 쌍 및 인증서용입니다. 대신 RSA 키를 사용하려면:
- 변경
--server
명령의 값https://acme.ssl.com/sslcom-dv-rsa
.
참고 : 당신은을 사용할 수 있습니다
-d DOMAIN.NAME
명령에서 여러 번 옵션을 사용하여 인증서에 도메인 이름을 추가하십시오. 우리의 정보를 참조하십시오 인증서 유형 및 청구 도메인 이름의 다양한 조합이 어떻게 매핑되는지 SSL.com 인증서 유형 및 해당 가격.위를 처음 실행할 때
certbot
명령을 실행하면 ACME 계정 정보가 컴퓨터의 구성 디렉토리 (/etc/ssl-com
위에 표시된 명령에서. 향후 certbot 실행시 --eab-hmac-key
및 --eab-kid
certbot이 로컬에 저장된 계정 정보를 위해 무시하기 때문입니다.
컴퓨터에 대한 ACME 인증서 주문을 다른 SSL.com 계정과 연결해야하는 경우 다음 명령을 사용하여 컴퓨터에서이 계정 정보를 제거해야합니다. sudo rm -r /etc/ssl-com/accounts/acme.ssl.com
(또는 선택 사항을 생략 한 경우 --config-dir
선택권, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com
).
명령을 실행 한 후 다음과 같은 출력이 표시되어야합니다.
/var/log/ssl-com/letsencrypt.log에 디버그 로그 저장 선택한 플러그인 : Authenticator apache, Installer apache 새 인증서 얻기 다음 문제 수행 : DOMAIN.NAME에 대한 http-01 문제 확인 대기 중 ... 문제 정리 /etc/apache2/sites-available/DOMAIN-le-ssl.conf에 SSL 가상 호스트를 생성했습니다. VirtualHost에 인증서 배포 /etc/apache2/sites-available/DOMAIN-le-ssl.conf 사용 가능한 사이트 활성화 : / etc / apache2 / sites-available / DOMAIN-le-ssl.conf /etc/apache2/sites-enabled/DOMAIN.NAME.conf의 가상 호스트를 /etc/apache2/sites-available/DOMAIN-le-ssl.conf의 ssl 가상 호스트로 리디렉션-- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 축하합니다! https://DOMAIN.NAME을 성공적으로 활성화했습니다.------------------------------------- -
Certbot은 30 일 이내에 만료되는 certbot 설치 인증서의 자동 비대화 형 갱신을 위해 다음과 같은 crontab 파일도 생성합니다.
$ cat /etc/cron.d/certbot # /etc/cron.d/certbot : certbot 패키지에 대한 crontab 항목 # # 업스트림은 하루에 두 번 갱신을 시도하도록 권장합니다. # # 결국 이것은 인증서를 검증 할 수있는 기회가 될 것입니다. # haven ' 만료일이 30 일 이내 인 경우에만 갱신됩니다. # # 중요 사항! 이 cronjob은 # systemd를 init 시스템으로 실행하는 경우 실행되지 않습니다. systemd를 실행중인 경우 # cronjob.timer 함수가이 cronjob보다 우선합니다. 자세한 # 자세한 내용은 systemd.timer 맨 페이지를 참조하거나 systemctl show # certbot.timer를 사용하십시오. SHELL = / bin / sh PATH = / usr / local / sbin : / usr / local / bin : / sbin : / bin : / usr / sbin : / usr / bin 0 * / 12 * * * 루트 테스트 -x / usr / bin / certbot -a \! -d / run / systemd / system && perl -e 'sleep int (rand (43200))'&& certbot -q 갱신
참고 : 모든 SSL /TLS SSL.com에서 ACME를 통해 발급 한 인증서의 수명은 XNUMX 년입니다.
Nginx 설치 및 자동화
Nginx의 경우 간단히 --nginx
for
--apache
위에 표시된 명령에서 :
sudo certbot --nginx --이메일 이메일 주소 --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
참고 : Certbot 2.0.0 이상은 기본적으로 새 인증서에 대해 ECDSA를 생성합니다. 위의 명령은 ECDSA 키 쌍 및 인증서용입니다. 대신 RSA 키를 사용하려면:
- 변경
--server
명령의 값https://acme.ssl.com/sslcom-dv-rsa
.
수동으로 갱신 강제
만료가 임박하기 전에 인증서를 수동으로 갱신하려면 다음 명령을 사용하십시오.
certbot 갱신 --force-renewal --cert-name DOMAIN.NAME
SSL.com은 다양한 SSL /TLS 서버 인증서 HTTPS 웹 사이트 용.