วิธีการนี้จะแนะนำคุณตลอดการตั้งค่าการติดตั้งใบรับรองอัตโนมัติและการต่ออายุด้วย SSL.com สำหรับ Apache และ Nginx ด้วยโปรโตคอล ACME และไคลเอนต์ Certbot
sudo
สิทธิพิเศษบนเว็บเซิร์ฟเวอร์ของคุณเพื่อปฏิบัติตามคำแนะนำเหล่านี้คุณสามารถใช้ไคลเอนต์ ACME อื่นๆ ได้มากมาย รวมถึง ผู้จัดการใบรับรอง Kubernetesด้วยบริการ ACME ของ SSL.com
จุดสุดยอด4j ลูกค้าสามารถใช้บริการ SSL.com ACME บนพื้นที่เก็บข้อมูลนี้ได้แล้ว: https://github.com/SSLcom/acme4j
โปรดดูเอกสารประกอบของผู้ให้บริการซอฟต์แวร์ของคุณสำหรับคำแนะนำสำหรับไคลเอ็นต์ ACME ที่ไม่ใช่ Certbot อื่นๆ
ติดตั้ง Certbot และดึงข้อมูลรับรอง ACME
- SSH ลงในเว็บเซิร์ฟเวอร์ของคุณ
- ตรวจสอบให้แน่ใจว่าเป็นเวอร์ชันปัจจุบันของ Certbotพร้อมกับปลั๊กอิน Apache และ Nginx ได้รับการติดตั้งบนเว็บเซิร์ฟเวอร์ของคุณ:
- ถ้าคุณมี ติดตั้ง snapd แล้วคุณสามารถใช้คำสั่งนี้สำหรับการติดตั้ง:
sudo snap ติดตั้ง - ใบรับรองคลาสสิก
- If
/snap/bin/
ไม่ได้อยู่ในไฟล์PATH
คุณจะต้องเพิ่มหรือเรียกใช้คำสั่งเช่นนี้:sudo ln -s / snap / bin / certbot / usr / bin / certbot
- ถ้าคุณมี ติดตั้ง snapd แล้วคุณสามารถใช้คำสั่งนี้สำหรับการติดตั้ง:
- ดึงข้อมูลรับรอง ACME ของคุณจากบัญชี SSL.com ของคุณ:
การติดตั้ง Apache และระบบอัตโนมัติ
ใช้คำสั่งเช่นนี้เพื่อติดตั้งบน Apache แทนที่ค่าใน CAPS ทั้งหมดด้วยค่าจริงของคุณ:
sudo certbot --apache --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -รหัสบัญชีเด็ก --eab-hmac-key HMAC-KEY --เซิร์ฟเวอร์ https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
ทำลายคำสั่งลง:
sudo certbot
ทำงานcertbot
คำสั่งด้วยสิทธิ์ superuser--apache
ระบุเพื่อติดตั้งใบรับรองสำหรับใช้กับ Apache--email EMAIL-ADDRESS
ให้ที่อยู่อีเมลสำหรับลงทะเบียน คุณสามารถระบุที่อยู่หลายรายการโดยคั่นด้วยเครื่องหมายจุลภาค--agree-tos
(ไม่บังคับ) ยอมรับข้อตกลงสมาชิก ACME คุณสามารถละเว้นสิ่งนี้ได้หากต้องการตกลงโต้ตอบ--no-eff-email
(ไม่บังคับ) ระบุว่าคุณไม่ต้องการเปิดเผยที่อยู่อีเมลของคุณกับ EFF หากคุณละเว้นสิ่งนี้คุณจะได้รับแจ้งพร้อมตัวเลือกในการแบ่งปันที่อยู่อีเมลของคุณ--config-dir /etc/ssl-com
(ทางเลือก) ตั้งค่าไดเร็กทอรีคอนฟิกูเรชัน--logs-dir /var/log/ssl-com
(ทางเลือก) ตั้งค่าไดเร็กทอรีสำหรับบันทึก--eab-kid ACCOUNT-KEY
ระบุรหัสบัญชีของคุณ--eab-hmac-key HMAC-KEY
ระบุคีย์ HMAC ของคุณ--server https://acme.ssl.com/sslcom-dv-ecc
ระบุเซิร์ฟเวอร์ ACME ของ SSL.com-d DOMAIN.NAME
ระบุชื่อโดเมนที่ใบรับรองจะครอบคลุม
- เปลี่ยน
--server
ค่าในคำสั่ง tohttps://acme.ssl.com/sslcom-dv-rsa
.
-d DOMAIN.NAME
หลายครั้งในคำสั่งของคุณเพื่อเพิ่มชื่อโดเมนลงในใบรับรองของคุณ โปรดดูข้อมูลของเราที่ ประเภทใบรับรองและการเรียกเก็บเงิน เพื่อดูว่าชุดค่าผสมของชื่อโดเมนต่างกันอย่างไร ประเภทใบรับรอง SSL.com และราคาที่สอดคล้องกันcertbot
คำสั่ง ข้อมูลบัญชี ACME จะถูกเก็บไว้ในคอมพิวเตอร์ของคุณในไดเร็กทอรีการกำหนดค่า (/etc/ssl-com
ในคำสั่งที่แสดงด้านบน ในการรัน certbot ในอนาคต คุณสามารถละเว้น --eab-hmac-key
และ --eab-kid
ตัวเลือกเนื่องจาก certbot จะเพิกเฉยต่อข้อมูลบัญชีที่จัดเก็บไว้ในเครื่อง
หากคุณต้องการเชื่อมโยงคำสั่งซื้อใบรับรอง ACME สำหรับคอมพิวเตอร์กับบัญชี SSL.com อื่น คุณควรลบข้อมูลบัญชีนี้ออกจากคอมพิวเตอร์ของคุณด้วยคำสั่ง sudo rm -r /etc/ssl-com/accounts/acme.ssl.com
(หรือหากคุณละเว้นตัวเลือก --config-dir
ตัวเลือก sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com
).
คุณควรเห็นผลลัพธ์เช่นนี้หลังจากที่คุณรันคำสั่ง:
บันทึกบันทึกการแก้ไขข้อบกพร่องไปที่ /var/log/ssl-com/letsencrypt.log ปลั๊กอินที่เลือก: Authenticator apache, Installer apache การได้รับใบรับรองใหม่ดำเนินการกับความท้าทายต่อไปนี้: http-01 ความท้าทายสำหรับ DOMAIN.NAME กำลังรอการตรวจสอบ ... สร้าง SSL vhost ที่ /etc/apache2/sites-available/DOMAIN-le-ssl.conf การปรับใช้ใบรับรองไปยัง VirtualHost /etc/apache2/sites-available/DOMAIN-le-ssl.conf การเปิดใช้งานไซต์ที่พร้อมใช้งาน: / etc / apache2 / sites-available / DOMAIN-le-ssl.conf เปลี่ยนเส้นทาง vhost ใน /etc/apache2/sites-enabled/DOMAIN.NAME.conf เป็น ssl vhost ใน /etc/apache2/sites-available/DOMAIN-le-ssl.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ขอแสดงความยินดี! คุณได้เปิดใช้งาน https://DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Certbot จะสร้างไฟล์ crontab เช่นนี้สำหรับการต่ออายุใบรับรองที่ติดตั้งด้วย certbot โดยอัตโนมัติซึ่งจะหมดอายุภายใน 30 วัน:
$ cat /etc/cron.d/certbot # /etc/cron.d/certbot: รายการ crontab สำหรับแพ็คเกจ certbot # # ต้นน้ำแนะนำให้ลองต่ออายุวันละสองครั้ง # # ในที่สุดนี่จะเป็นโอกาสในการตรวจสอบใบรับรอง # haven ' t ถูกเพิกถอน ฯลฯ การต่ออายุจะเกิดขึ้นต่อเมื่อหมดอายุ # ภายใน 30 วัน # # โน๊ตสำคัญ! cronjob นี้จะไม่ถูกดำเนินการหากคุณ # เรียกใช้ systemd เป็นระบบเริ่มต้นของคุณ หากคุณกำลังเรียกใช้ systemd ฟังก์ชัน # cronjob.timer จะมีความสำคัญเหนือ cronjob นี้ สำหรับ # รายละเอียดเพิ่มเติมโปรดดูที่ manpage systemd.timer หรือใช้ systemctl show # certbot.timer SHELL = / bin / sh PATH = / usr / local / sbin: / usr / local / bin: / sbin: / bin: / usr / sbin: / usr / bin 0 * / 12 * * * root test -x / usr / bin / certbot -a \! -d / run / systemd / system && perl -e 'sleep int (rand (43200))' && certbot -q ต่ออายุ
การติดตั้ง Nginx และระบบอัตโนมัติ
สำหรับ Nginx เพียงแค่แทนที่ --nginx
เป็นเวลา --apache
ในคำสั่งที่แสดงด้านบน:
sudo certbot --nginx --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -รหัสบัญชีเด็ก --eab-hmac-key HMAC-KEY --เซิร์ฟเวอร์ https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
- เปลี่ยน
--server
ค่าในคำสั่ง tohttps://acme.ssl.com/sslcom-dv-rsa
.
บังคับให้ต่ออายุด้วยตนเอง
หากคุณต้องการต่ออายุใบรับรองด้วยตนเองก่อนที่จะใกล้หมดอายุให้ใช้คำสั่งนี้:
certbot ต่ออายุ - บังคับ - ต่ออายุ - รับรองชื่อ DOMAIN.NAME
SSL.com มีไฟล์ SSL /TLS ใบรับรองเซิร์ฟเวอร์ สำหรับเว็บไซต์ HTTPS