ACME SSL /TLS ระบบอัตโนมัติด้วย Apache และ Nginx

วิธีการนี้จะแนะนำคุณตลอดการตั้งค่าการติดตั้งใบรับรองอัตโนมัติและการต่ออายุด้วย SSL.com สำหรับ Apache และ Nginx ด้วยโปรโตคอล ACME และไคลเอนต์ Certbot

หมายเหตุ คุณจะต้องเข้าถึง SSH และ sudo สิทธิพิเศษบนเว็บเซิร์ฟเวอร์ของคุณเพื่อปฏิบัติตามคำแนะนำเหล่านี้
หมายเหตุ
คุณสามารถใช้ไคลเอนต์ ACME อื่นๆ ได้มากมาย รวมถึง ผู้จัดการใบรับรอง Kubernetesด้วยบริการ ACME ของ SSL.com
จุดสุดยอด4j  ลูกค้าสามารถใช้บริการ SSL.com ACME บนพื้นที่เก็บข้อมูลนี้ได้แล้ว: https://github.com/SSLcom/acme4j
โปรดดูเอกสารประกอบของผู้ให้บริการซอฟต์แวร์ของคุณสำหรับคำแนะนำสำหรับไคลเอ็นต์ ACME ที่ไม่ใช่ Certbot อื่นๆ

ติดตั้ง Certbot และดึงข้อมูลรับรอง ACME

  1. SSH ลงในเว็บเซิร์ฟเวอร์ของคุณ
  2. ตรวจสอบให้แน่ใจว่าเป็นเวอร์ชันปัจจุบันของ Certbotพร้อมกับปลั๊กอิน Apache และ Nginx ได้รับการติดตั้งบนเว็บเซิร์ฟเวอร์ของคุณ:
    • ถ้าคุณมี ติดตั้ง snapd แล้วคุณสามารถใช้คำสั่งนี้สำหรับการติดตั้ง: 
      sudo snap ติดตั้ง - ใบรับรองคลาสสิก
    • If /snap/bin/ ไม่ได้อยู่ในไฟล์ PATHคุณจะต้องเพิ่มหรือเรียกใช้คำสั่งเช่นนี้: 
      sudo ln -s / snap / bin / certbot / usr / bin / certbot
  3. ดึงข้อมูลรับรอง ACME ของคุณจากบัญชี SSL.com ของคุณ:
    1. เข้าสู่บัญชี SSL.com ของคุณ หากคุณเข้าสู่ระบบแล้วให้ไปที่ไฟล์ Dashboard แถบ
      Dashboard
    2. คลิก ข้อมูลรับรอง APIตั้งอยู่ภายใต้ นักพัฒนาและบูรณาการ.
      ลิงก์ข้อมูลรับรอง API
    3. คุณจะต้องมีไฟล์ บัญชี / คีย์ ACME และ คีย์ HMAC เพื่อขอใบรับรอง คลิกไอคอนคลิปบอร์ด () ถัดจากแต่ละคีย์เพื่อคัดลอกค่าไปยังคลิปบอร์ด
      บัญชี / คีย์ ACME และคีย์ HMAC
ไปที่ด้านบน

การติดตั้ง Apache และระบบอัตโนมัติ

ใช้คำสั่งเช่นนี้เพื่อติดตั้งบน Apache แทนที่ค่าใน CAPS ทั้งหมดด้วยค่าจริงของคุณ:

sudo certbot --apache --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -รหัสบัญชีเด็ก --eab-hmac-key HMAC-KEY --เซิร์ฟเวอร์ https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME

ทำลายคำสั่งลง:

  • sudo certbot ทำงาน certbot คำสั่งด้วยสิทธิ์ superuser
  • --apache ระบุเพื่อติดตั้งใบรับรองสำหรับใช้กับ Apache
  • --email EMAIL-ADDRESS ให้ที่อยู่อีเมลสำหรับลงทะเบียน คุณสามารถระบุที่อยู่หลายรายการโดยคั่นด้วยเครื่องหมายจุลภาค
  • --agree-tos (ไม่บังคับ) ยอมรับข้อตกลงสมาชิก ACME คุณสามารถละเว้นสิ่งนี้ได้หากต้องการตกลงโต้ตอบ
  • --no-eff-email (ไม่บังคับ) ระบุว่าคุณไม่ต้องการเปิดเผยที่อยู่อีเมลของคุณกับ EFF หากคุณละเว้นสิ่งนี้คุณจะได้รับแจ้งพร้อมตัวเลือกในการแบ่งปันที่อยู่อีเมลของคุณ
  • --config-dir /etc/ssl-com (ทางเลือก) ตั้งค่าไดเร็กทอรีคอนฟิกูเรชัน
  • --logs-dir /var/log/ssl-com (ทางเลือก) ตั้งค่าไดเร็กทอรีสำหรับบันทึก
  • --eab-kid ACCOUNT-KEY ระบุรหัสบัญชีของคุณ
  • --eab-hmac-key HMAC-KEY ระบุคีย์ HMAC ของคุณ
  • --server https://acme.ssl.com/sslcom-dv-ecc ระบุเซิร์ฟเวอร์ ACME ของ SSL.com
  • -d DOMAIN.NAME ระบุชื่อโดเมนที่ใบรับรองจะครอบคลุม
หมายเหตุ Certbot 2.0.0 หรือใหม่กว่ามีค่าเริ่มต้นในการสร้าง ECDSA สำหรับใบรับรองใหม่ คำสั่งดังกล่าวใช้สำหรับคู่กุญแจ ECDSA และใบรับรอง หากต้องการใช้คีย์ RSA แทน:

  • เปลี่ยน --server ค่าในคำสั่ง to https://acme.ssl.com/sslcom-dv-rsa
หมายเหตุ คุณสามารถใช้ -d DOMAIN.NAME หลายครั้งในคำสั่งของคุณเพื่อเพิ่มชื่อโดเมนลงในใบรับรองของคุณ โปรดดูข้อมูลของเราที่ ประเภทใบรับรองและการเรียกเก็บเงิน เพื่อดูว่าชุดค่าผสมของชื่อโดเมนต่างกันอย่างไร ประเภทใบรับรอง SSL.com และราคาที่สอดคล้องกัน
เมื่อคุณเรียกใช้ข้างต้นครั้งแรก certbot คำสั่ง ข้อมูลบัญชี ACME จะถูกเก็บไว้ในคอมพิวเตอร์ของคุณในไดเร็กทอรีการกำหนดค่า (/etc/ssl-com ในคำสั่งที่แสดงด้านบน ในการรัน certbot ในอนาคต คุณสามารถละเว้น --eab-hmac-key และ --eab-kid ตัวเลือกเนื่องจาก certbot จะเพิกเฉยต่อข้อมูลบัญชีที่จัดเก็บไว้ในเครื่อง

หากคุณต้องการเชื่อมโยงคำสั่งซื้อใบรับรอง ACME สำหรับคอมพิวเตอร์กับบัญชี SSL.com อื่น คุณควรลบข้อมูลบัญชีนี้ออกจากคอมพิวเตอร์ของคุณด้วยคำสั่ง sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (หรือหากคุณละเว้นตัวเลือก --config-dir ตัวเลือก sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

คุณควรเห็นผลลัพธ์เช่นนี้หลังจากที่คุณรันคำสั่ง:

บันทึกบันทึกการแก้ไขข้อบกพร่องไปที่ /var/log/ssl-com/letsencrypt.log ปลั๊กอินที่เลือก: Authenticator apache, Installer apache การได้รับใบรับรองใหม่ดำเนินการกับความท้าทายต่อไปนี้: http-01 ความท้าทายสำหรับ DOMAIN.NAME กำลังรอการตรวจสอบ ... สร้าง SSL vhost ที่ /etc/apache2/sites-available/DOMAIN-le-ssl.conf การปรับใช้ใบรับรองไปยัง VirtualHost /etc/apache2/sites-available/DOMAIN-le-ssl.conf การเปิดใช้งานไซต์ที่พร้อมใช้งาน: / etc / apache2 / sites-available / DOMAIN-le-ssl.conf เปลี่ยนเส้นทาง vhost ใน /etc/apache2/sites-enabled/DOMAIN.NAME.conf เป็น ssl vhost ใน /etc/apache2/sites-available/DOMAIN-le-ssl.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ขอแสดงความยินดี! คุณได้เปิดใช้งาน https://DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Certbot จะสร้างไฟล์ crontab เช่นนี้สำหรับการต่ออายุใบรับรองที่ติดตั้งด้วย certbot โดยอัตโนมัติซึ่งจะหมดอายุภายใน 30 วัน:

$ cat /etc/cron.d/certbot # /etc/cron.d/certbot: รายการ crontab สำหรับแพ็คเกจ certbot # # ต้นน้ำแนะนำให้ลองต่ออายุวันละสองครั้ง # # ในที่สุดนี่จะเป็นโอกาสในการตรวจสอบใบรับรอง # haven ' t ถูกเพิกถอน ฯลฯ การต่ออายุจะเกิดขึ้นต่อเมื่อหมดอายุ # ภายใน 30 วัน # # โน๊ตสำคัญ! cronjob นี้จะไม่ถูกดำเนินการหากคุณ # เรียกใช้ systemd เป็นระบบเริ่มต้นของคุณ หากคุณกำลังเรียกใช้ systemd ฟังก์ชัน # cronjob.timer จะมีความสำคัญเหนือ cronjob นี้ สำหรับ # รายละเอียดเพิ่มเติมโปรดดูที่ manpage systemd.timer หรือใช้ systemctl show # certbot.timer SHELL = / bin / sh PATH = / usr / local / sbin: / usr / local / bin: / sbin: / bin: / usr / sbin: / usr / bin 0 * / 12 * * * root test -x / usr / bin / certbot -a \! -d / run / systemd / system && perl -e 'sleep int (rand (43200))' && certbot -q ต่ออายุ
หมายเหตุ SSL ทั้งหมด /TLS ใบรับรองที่ออกให้ผ่าน ACME โดย SSL.com มีอายุการใช้งานหนึ่งปี
ไปที่ด้านบน

การติดตั้ง Nginx และระบบอัตโนมัติ

สำหรับ Nginx เพียงแค่แทนที่ --nginx for --apache ในคำสั่งที่แสดงด้านบน:

sudo certbot --nginx --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -รหัสบัญชีเด็ก --eab-hmac-key HMAC-KEY --เซิร์ฟเวอร์ https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
หมายเหตุ Certbot 2.0.0 หรือใหม่กว่ามีค่าเริ่มต้นในการสร้าง ECDSA สำหรับใบรับรองใหม่ คำสั่งดังกล่าวใช้สำหรับคู่กุญแจ ECDSA และใบรับรอง หากต้องการใช้คีย์ RSA แทน:

  • เปลี่ยน --server ค่าในคำสั่ง to https://acme.ssl.com/sslcom-dv-rsa
ไปที่ด้านบน

บังคับให้ต่ออายุด้วยตนเอง

หากคุณต้องการต่ออายุใบรับรองด้วยตนเองก่อนที่จะใกล้หมดอายุให้ใช้คำสั่งนี้:

certbot ต่ออายุ - บังคับ - ต่ออายุ - รับรองชื่อ DOMAIN.NAME

SSL.com มีไฟล์ SSL /TLS ใบรับรองเซิร์ฟเวอร์ สำหรับเว็บไซต์ HTTPS

เปรียบเทียบ SSL /TLS ใบรับรอง

ทีมสนับสนุน SSL.com

ผู้แต่ง - ผู้ดูแลเนื้อหา
โพสต์ทั้งหมด

วิธีการที่เกี่ยวข้อง

ดูวิธีการทั้งหมด
Facebook LinkedIn Twitter Youtube Github

สมัครสมาชิกจดหมายข่าวของ SSL.com

SSL คืออะไร /TLS?

เล่นวีดีโอ

สมัครรับจดหมายข่าวของ SSL.com

อย่าพลาดบทความและการปรับปรุงใหม่จาก SSL.com

รับทราบข้อมูลและปลอดภัย

SSL.com เป็นผู้นำระดับโลกในด้านความปลอดภัยทางไซเบอร์ PKI และใบรับรองดิจิทัล ลงทะเบียนเพื่อรับข่าวสารอุตสาหกรรม เคล็ดลับ และประกาศผลิตภัณฑ์ล่าสุดจาก SSL.com.

เราชอบความคิดเห็นของคุณ

ทำแบบสำรวจของเราและแจ้งให้เราทราบความคิดเห็นของคุณเกี่ยวกับการซื้อครั้งล่าสุดของคุณ

ทำการสำรวจ