ACME SSL /TLS Apache 및 Nginx를 사용한 자동화

ACME 프로토콜을 사용하여 SSL /을 자동화하는 방법TLS Apache 및 Nginx 웹 서버에서 SSL.com의 인증서.

관련 콘텐츠

계속 배우고 싶으세요?

ssl.com의 뉴스 레터를 구독하고 정보를 유지하고 안전하게 보관하십시오.

이 방법은 ACME 프로토콜 및 Certbot 클라이언트를 사용하는 Apache 및 Nginx 용 SSL.com으로 자동 인증서 설치 및 갱신을 설정하는 방법을 안내합니다.

참고 : SSH 액세스가 필요하며 sudo 이 지침을 따르려면 웹 서버에 대한 권한.
참고 :
다음을 포함하여 다른 많은 ACME 클라이언트를 사용할 수 있습니다. Kubernetes 인증서 관리자, SSL.com의 ACME 서비스를 이용하세요.
acme4j  이제 클라이언트는 이 저장소에서 SSL.com ACME 서비스를 사용할 수 있습니다. https://github.com/SSLcom/acme4j
Certbot이 아닌 ACME 클라이언트에 대한 지침은 소프트웨어 제공업체의 설명서를 참조하세요.

Certbot 설치 및 ACME 자격 증명 검색

  1. 웹 서버에 SSH를 사용합니다.
  2. 최신 버전의 Certbot는 Apache 및 Nginx 플러그인과 함께 웹 서버에 설치됩니다.
    • 당신이 있으면 스냅 설치, 다음 명령을 사용하여 설치할 수 있습니다.
      sudo 스냅 설치-클래식 certbot
    • If /snap/bin/ 당신의 PATH, 추가하거나 다음과 같은 명령을 실행해야합니다.
      sudo ln -s / snap / bin / certbot / usr / bin / certbot
  3. SSL.com 계정에서 ACME 자격 증명을 검색합니다.
    1. SSL.com 계정에 로그인하십시오. 이미 로그인되어있는 경우 대시보드 탭.
      대시보드
    2. API 자격 증명, 아래에 위치 개발자 및 통합.
      API 자격 증명 링크
    3. 당신은 당신의 계정 / ACME 키HMAC 키 인증서를 요청합니다. 클립 보드 아이콘 ()를 클릭하여 값을 클립 보드에 복사합니다.
      계정 / ACME 키 및 HMAC 키

Apache 설치 및 자동화

Apache에 설치하려면 이와 같은 명령을 사용하십시오. 모두 대문자로 된 값을 실제 값으로 바꿉니다.

sudo certbot --apache --email 이메일 주소 --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME

명령 분석 :

  • sudo certbot ~을 실행하다 certbot 수퍼 유저 권한이있는 명령.
  • --apache Apache에서 사용할 인증서를 설치하도록 지정합니다.
  • --email EMAIL-ADDRESS 등록 이메일 주소를 제공합니다. 쉼표로 구분하여 여러 주소를 지정할 수 있습니다.
  • --agree-tos (선택 사항) ACME 가입자 계약에 동의합니다. 대화식으로 동의하려면 이것을 생략 할 수 있습니다.
  • --no-eff-email (선택 사항)은 EFF와 이메일 주소를 공유하지 않기를 원함을 나타냅니다. 이것을 생략하면 이메일 주소를 공유 할 것인지 묻는 메시지가 표시됩니다.
  • --config-dir /etc/ssl-com (선택 사항) 구성 디렉토리를 설정합니다.
  • --logs-dir /var/log/ssl-com (선택 사항) 로그 용 디렉토리를 설정합니다.
  • --eab-kid ACCOUNT-KEY 계정 키를 지정합니다.
  • --eab-hmac-key HMAC-KEY HMAC 키를 지정합니다.
  • --server https://acme.ssl.com/sslcom-dv-ecc SSL.com의 ACME 서버를 지정합니다.
  • -d DOMAIN.NAME 인증서가 다룰 도메인 이름을 지정합니다.
참고 : Certbot 2.0.0 이상은 기본적으로 새 인증서에 대해 ECDSA를 생성합니다. 위의 명령은 ECDSA 키 쌍 및 인증서용입니다. 대신 RSA 키를 사용하려면:

  • 변경 --server 명령의 값 https://acme.ssl.com/sslcom-dv-rsa
참고 : 당신은을 사용할 수 있습니다 -d DOMAIN.NAME 명령에서 여러 번 옵션을 사용하여 인증서에 도메인 이름을 추가하십시오. 우리의 정보를 참조하십시오 인증서 유형 및 청구 도메인 이름의 다양한 조합이 어떻게 매핑되는지 SSL.com 인증서 유형 및 해당 가격.
위를 처음 실행할 때 certbot 명령을 실행하면 ACME 계정 정보가 컴퓨터의 구성 디렉토리 (/etc/ssl-com 위에 표시된 명령에서. 향후 certbot 실행시 --eab-hmac-key--eab-kid certbot이 로컬에 저장된 계정 정보를 위해 무시하기 때문입니다.

컴퓨터에 대한 ACME 인증서 주문을 다른 SSL.com 계정과 연결해야하는 경우 다음 명령을 사용하여 컴퓨터에서이 계정 정보를 제거해야합니다. sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (또는 선택 사항을 생략 한 경우 --config-dir 선택권, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

명령을 실행 한 후 다음과 같은 출력이 표시되어야합니다.

/var/log/ssl-com/letsencrypt.log에 디버그 로그 저장 선택한 플러그인 : Authenticator apache, Installer apache 새 인증서 얻기 다음 문제 수행 : DOMAIN.NAME에 대한 http-01 문제 확인 대기 중 ... 문제 정리 /etc/apache2/sites-available/DOMAIN-le-ssl.conf에 SSL 가상 호스트를 생성했습니다. VirtualHost에 인증서 배포 /etc/apache2/sites-available/DOMAIN-le-ssl.conf 사용 가능한 사이트 활성화 : / etc / apache2 / sites-available / DOMAIN-le-ssl.conf /etc/apache2/sites-enabled/DOMAIN.NAME.conf의 가상 호스트를 /etc/apache2/sites-available/DOMAIN-le-ssl.conf의 ssl 가상 호스트로 리디렉션-- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 축하합니다! https://DOMAIN.NAME을 성공적으로 활성화했습니다.------------------------------------- -

Certbot은 30 일 이내에 만료되는 certbot 설치 인증서의 자동 비대화 형 갱신을 위해 다음과 같은 crontab 파일도 생성합니다.

$ cat /etc/cron.d/certbot # /etc/cron.d/certbot : certbot 패키지에 대한 crontab 항목 # # 업스트림은 하루에 두 번 갱신을 시도하도록 권장합니다. # # 결국 이것은 인증서를 검증 할 수있는 기회가 될 것입니다. # haven ' 만료일이 30 일 이내 인 경우에만 갱신됩니다. # # 중요 사항! 이 cronjob은 # systemd를 init 시스템으로 실행하는 경우 실행되지 않습니다. systemd를 실행중인 경우 # cronjob.timer 함수가이 cronjob보다 우선합니다. 자세한 # 자세한 내용은 systemd.timer 맨 페이지를 참조하거나 systemctl show # certbot.timer를 사용하십시오. SHELL = / bin / sh PATH = / usr / local / sbin : / usr / local / bin : / sbin : / bin : / usr / sbin : / usr / bin 0 * / 12 * * * 루트 테스트 -x / usr / bin / certbot -a \! -d / run / systemd / system && perl -e 'sleep int (rand (43200))'&& certbot -q 갱신
참고 : 모든 SSL /TLS SSL.com에서 ACME를 통해 발급 한 인증서의 수명은 XNUMX 년입니다.

Nginx 설치 및 자동화

Nginx의 경우 간단히 --nginx for --apache 위에 표시된 명령에서 :

sudo certbot --nginx --이메일 이메일 주소 --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
참고 : Certbot 2.0.0 이상은 기본적으로 새 인증서에 대해 ECDSA를 생성합니다. 위의 명령은 ECDSA 키 쌍 및 인증서용입니다. 대신 RSA 키를 사용하려면:

  • 변경 --server 명령의 값 https://acme.ssl.com/sslcom-dv-rsa

수동으로 갱신 강제

만료가 임박하기 전에 인증서를 수동으로 갱신하려면 다음 명령을 사용하십시오.

certbot 갱신 --force-renewal --cert-name DOMAIN.NAME

SSL.com은 다양한 SSL /TLS 서버 인증서 HTTPS 웹 사이트 용.

SSL / 비교TLS 증서

최신 정보를 얻고 보안을 유지하세요

SSL.com 사이버 보안 분야의 글로벌 리더입니다. PKI 그리고 디지털 인증서. 최신 업계 뉴스, 팁, 제품 공지 사항을 받아보려면 등록하세요. SSL.com.

우리는 귀하의 피드백을 환영합니다

설문조사에 참여하여 최근 구매에 대한 의견을 알려주세요.