ACME SSL /TLS Apache 및 Nginx를 사용한 자동화

이 방법은 ACME 프로토콜 및 Certbot 클라이언트를 사용하는 Apache 및 Nginx 용 SSL.com으로 자동 인증서 설치 및 갱신을 설정하는 방법을 안내합니다.

Certbot 설치 및 ACME 자격 증명 검색

1. 웹 서버에 SSH를 사용합니다.
2. 최신 버전의 Certbot는 Apache 및 Nginx 플러그인과 함께 웹 서버에 설치됩니다.
   • 당신이 있으면 스냅 설치, 다음 명령을 사용하여 설치할 수 있습니다.

     sudo 스냅 설치-클래식 certbot

   • If /snap/bin/ 당신의 PATH, 추가하거나 다음과 같은 명령을 실행해야합니다.

     sudo ln -s / snap / bin / certbot / usr / bin / certbot

3. SSL.com 계정에서 ACME 자격 증명을 검색합니다.
   1. SSL.com 계정에 로그인하십시오. 이미 로그인되어있는 경우 대시보드 탭.
      
   2. API 자격 증명, 아래에 위치 개발자 및 통합.
      
   3. 당신은 당신의 계정 / ACME 키 과 HMAC 키 인증서를 요청합니다. 클립 보드 아이콘 ()를 클릭하여 값을 클립 보드에 복사합니다.
      

Apache 설치 및 자동화

Apache에 설치하려면 이와 같은 명령을 사용하십시오. 모두 대문자로 된 값을 실제 값으로 바꿉니다.

sudo certbot --apache --email 이메일 주소 --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME

명령 분석 :

• sudo certbot ~을 실행하다 certbot 수퍼 유저 권한이있는 명령.
• --apache Apache에서 사용할 인증서를 설치하도록 지정합니다.
• --email EMAIL-ADDRESS 등록 이메일 주소를 제공합니다. 쉼표로 구분하여 여러 주소를 지정할 수 있습니다.
• --agree-tos (선택 사항) ACME 가입자 계약에 동의합니다. 대화식으로 동의하려면 이것을 생략 할 수 있습니다.
• --no-eff-email (선택 사항)은 EFF와 이메일 주소를 공유하지 않기를 원함을 나타냅니다. 이것을 생략하면 이메일 주소를 공유 할 것인지 묻는 메시지가 표시됩니다.
• --config-dir /etc/ssl-com (선택 사항) 구성 디렉토리를 설정합니다.
• --logs-dir /var/log/ssl-com (선택 사항) 로그 용 디렉토리를 설정합니다.
• --eab-kid ACCOUNT-KEY 계정 키를 지정합니다.
• --eab-hmac-key HMAC-KEY HMAC 키를 지정합니다.
• --server https://acme.ssl.com/sslcom-dv-ecc SSL.com의 ACME 서버를 지정합니다.
• -d DOMAIN.NAME 인증서가 다룰 도메인 이름을 지정합니다.

명령을 실행 한 후 다음과 같은 출력이 표시되어야합니다.

/var/log/ssl-com/letsencrypt.log에 디버그 로그 저장 선택한 플러그인 : Authenticator apache, Installer apache 새 인증서 얻기 다음 문제 수행 : DOMAIN.NAME에 대한 http-01 문제 확인 대기 중 ... 문제 정리 /etc/apache2/sites-available/DOMAIN-le-ssl.conf에 SSL 가상 호스트를 생성했습니다. VirtualHost에 인증서 배포 /etc/apache2/sites-available/DOMAIN-le-ssl.conf 사용 가능한 사이트 활성화 : / etc / apache2 / sites-available / DOMAIN-le-ssl.conf /etc/apache2/sites-enabled/DOMAIN.NAME.conf의 가상 호스트를 /etc/apache2/sites-available/DOMAIN-le-ssl.conf의 ssl 가상 호스트로 리디렉션-- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 축하합니다! https://DOMAIN.NAME을 성공적으로 활성화했습니다.------------------------------------- -

Certbot은 30 일 이내에 만료되는 certbot 설치 인증서의 자동 비대화 형 갱신을 위해 다음과 같은 crontab 파일도 생성합니다.

$ cat /etc/cron.d/certbot # /etc/cron.d/certbot : certbot 패키지에 대한 crontab 항목 # # 업스트림은 하루에 두 번 갱신을 시도하도록 권장합니다. # # 결국 이것은 인증서를 검증 할 수있는 기회가 될 것입니다. # haven ' 만료일이 30 일 이내 인 경우에만 갱신됩니다. # # 중요 사항! 이 cronjob은 # systemd를 init 시스템으로 실행하는 경우 실행되지 않습니다. systemd를 실행중인 경우 # cronjob.timer 함수가이 cronjob보다 우선합니다. 자세한 # 자세한 내용은 systemd.timer 맨 페이지를 참조하거나 systemctl show # certbot.timer를 사용하십시오. SHELL = / bin / sh PATH = / usr / local / sbin : / usr / local / bin : / sbin : / bin : / usr / sbin : / usr / bin 0 * / 12 * * * 루트 테스트 -x / usr / bin / certbot -a \! -d / run / systemd / system && perl -e 'sleep int (rand (43200))'&& certbot -q 갱신

Nginx 설치 및 자동화

Nginx의 경우 간단히 --nginx for --apache 위에 표시된 명령에서 :

sudo certbot --nginx --이메일 이메일 주소 --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid ACCOUNT-KEY --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME

수동으로 갱신 강제

만료가 임박하기 전에 인증서를 수동으로 갱신하려면 다음 명령을 사용하십시오.

certbot 갱신 --force-renewal --cert-name DOMAIN.NAME