ACME SSL /TLS Apache ve Nginx ile otomasyon

Bu nasıl yapılır, ACME protokolü ve Certbot istemcisi ile Apache ve Nginx için SSL.com ile otomatik sertifika kurulumunu ve yenilemesini kurma konusunda size yol gösterecektir.

Not: SSH erişimine ihtiyacınız olacak ve sudo bu talimatları izlemek için web sunucunuzda ayrıcalıklar.
Not:
Aşağıdakiler de dahil olmak üzere diğer birçok ACME istemcisini kullanabilirsiniz: Kubernetes sertifika yöneticisi, SSL.com'un ACME hizmetiyle.
acme4j  istemci artık bu depoda SSL.com ACME hizmetlerini kullanabilir: https://github.com/SSLcom/acme4j
Certbot olmayan diğer ACME istemcilerine yönelik talimatlar için lütfen yazılım sağlayıcınızın belgelerine bakın.

Certbot'u Kurun ve ACME Kimlik Bilgilerini Alın

  1. Web sunucunuza SSH.
  2. Güncel bir sürümün olduğundan emin olun. CertbotApache ve Nginx eklentileriyle birlikte web sunucunuza yüklenir:
    • Eğer varsa snapd yüklendikurulum için bu komutu kullanabilirsiniz: 
      sudo hızlı yükleme - klasik certbot
    • If /snap/bin/ senin içinde değil PATH, ayrıca eklemeniz veya aşağıdaki gibi bir komut çalıştırmanız gerekecek: 
      sudo ln -s / snap / bin / certbot / usr / bin / certbot
  3. ACME kimlik bilgilerinizi SSL.com hesabınızdan alın:
    1. SSL.com hesabınıza giriş yapın. Zaten giriş yaptıysanız, şuraya gidin: Kullanıcı Paneli sekmesi.
      Kullanıcı Paneli
    2. Tıkla api kimlik bilgilerialtında bulunan geliştiriciler ve entegrasyon.
      API kimlik bilgileri bağlantısı
    3. İhtiyacın olacak Hesap / ACME Anahtarı ve HMAC Anahtarı sertifika istemek için. Pano simgesini () değeri panoya kopyalamak için her tuşun yanında.
      Hesap / ACME Anahtarı ve HMAC Anahtarı
Başa gitmek

Apache Kurulumu ve Otomasyonu

Apache'ye yüklemek için buna benzer bir komut kullanın. TÜM BÜYÜK HARF’teki değerleri gerçek değerlerinizle değiştirin:

sudo certbot --apache --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid HESAP-ANAHTARI --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME

Komutu bozmak:

  • sudo certbot çalışır certbot süper kullanıcı ayrıcalıklarına sahip komut.
  • --apache Apache ile kullanılmak üzere sertifikaların yükleneceğini belirtir.
  • --email EMAIL-ADDRESS bir kayıt e-posta adresi sağlar. Virgülle ayırarak birden çok adres belirtebilirsiniz.
  • --agree-tos (isteğe bağlı) ACME abone sözleşmesini kabul eder. Etkileşimli olarak kabul etmek istiyorsanız bunu atlayabilirsiniz.
  • --no-eff-email (isteğe bağlı), e-posta adresinizi EFF ile paylaşmak istemediğinizi belirtir. Bunu atlarsanız, e-posta adresinizi paylaşma seçeneği size sorulacaktır.
  • --config-dir /etc/ssl-com (isteğe bağlı) yapılandırma dizinini ayarlar.
  • --logs-dir /var/log/ssl-com (isteğe bağlı) günlükler için dizini ayarlar.
  • --eab-kid ACCOUNT-KEY hesap anahtarınızı belirtir.
  • --eab-hmac-key HMAC-KEY HMAC anahtarınızı belirtir.
  • --server https://acme.ssl.com/sslcom-dv-ecc SSL.com'un ACME sunucusunu belirtir.
  • -d DOMAIN.NAME sertifikanın kapsayacağı alan adını belirtir.
Not: Yeni sertifikalar için ECDSA oluşturmak için Certbot 2.0.0 veya daha yeni varsayılanlar. Yukarıdaki komut bir ECDSA anahtar çifti ve sertifikası içindir. Bunun yerine RSA anahtarlarını kullanmak için:

  • Değiştir --server komutundaki değer https://acme.ssl.com/sslcom-dv-rsa
Not: Sen kullanabilirsiniz -d DOMAIN.NAME sertifikanıza etki alanı adları eklemek için komutunuzda birden çok kez seçenek. Lütfen bilgilerimize bakın sertifika türleri ve faturalama farklı alan adı kombinasyonlarının nasıl eşleştiğini görmek için SSL.com sertifika türleri ve ilgili fiyatları.
Yukarıdakileri ilk çalıştırdığınızda certbot komutu, ACME hesap bilgileri bilgisayarınızda yapılandırma dizininde (/etc/ssl-com yukarıda gösterilen komutta. Gelecekteki certbot çalıştırmalarında, --eab-hmac-key ve --eab-kid seçenekler, çünkü certbot bunları yerel olarak depolanan hesap bilgileri lehine görmezden gelir.

Bilgisayar için ACME sertifika siparişlerinizi farklı bir SSL.com hesabı ile ilişkilendirmeniz gerekiyorsa, komutu ile bu hesap bilgilerini bilgisayarınızdan kaldırmalısınız. sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (veya isteğe bağlı seçeneği atladıysanız --config-dir seçeneği sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

Komutu çalıştırdıktan sonra böyle bir çıktı görmelisiniz:

Hata ayıklama günlüğünü /var/log/ssl-com/letsencrypt.log'a kaydetme Seçilen eklentiler: Authenticator apache, Installer apache Yeni bir sertifika alma Aşağıdaki görevleri gerçekleştirme: DOMAIN.NAME için http-01 sınaması Doğrulama bekleniyor ... /Etc/apache2/sites-available/DOMAIN-le-ssl.conf adresinde bir SSL sankon oluşturuldu /etc/apache2/sites-available/DOMAIN-le-ssl.conf Kullanılabilir siteyi etkinleştirme: / etc / apache2 / sites-available / DOMAIN-le-ssl.conf /etc/apache2/sites-enabled/DOMAIN.NAME.conf içindeki vhost, /etc/apache2/sites-available/DOMAIN-le-ssl.conf içindeki ssl vhost'a yeniden yönlendiriliyor - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Tebrikler! Https://DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - başarıyla etkinleştirdiniz -

Certbot, 30 gün içinde süresi dolan herhangi bir certbot tarafından yüklenmiş sertifikanın otomatik etkileşimli olmayan yenilenmesi için buna benzer bir crontab dosyası da oluşturacaktır:

$ cat /etc/cron.d/certbot # /etc/cron.d/certbot: certbot paketi için crontab girişleri # # Upstream, yenilemeyi günde iki kez denemeyi önerir # # Sonunda, bu, sertifikaları doğrulamak için bir fırsat olacaktır # cennet ' iptal edilmedi, vb. Yenileme yalnızca son kullanma tarihi 30 gün içinde ise gerçekleşir. # # Önemli Not! Bu cronjob, init sisteminiz olarak # systemd çalıştırıyorsanız UYGULANMAYACAKTIR. Systemd çalıştırıyorsanız, # cronjob.timer işlevi bu cronjob'a göre önceliklidir. # Daha fazla ayrıntı için systemd.timer kılavuz sayfasına bakın veya systemctl show # certbot.timer öğesini kullanın. SHELL = / bin / sh PATH = / usr / local / sbin: / usr / local / bin: / sbin: / bin: / usr / sbin: / usr / bin 0 * / 12 * * * kök testi -x / usr / bin / certbot -a \! -d / run / systemd / system && perl -e 'uyku int (rand (43200))' && certbot -q yenileme
Not: Tüm SSL /TLS ACME aracılığıyla SSL.com tarafından verilen sertifikaların bir yıllık ömrü vardır.
Başa gitmek

Nginx Kurulumu ve Otomasyonu

Nginx için, basitçe yerine koyun --nginx için --apache yukarıda gösterilen komutta:

sudo certbot --nginx --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid HESAP-ANAHTARI --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
Not: Yeni sertifikalar için ECDSA oluşturmak için Certbot 2.0.0 veya daha yeni varsayılanlar. Yukarıdaki komut bir ECDSA anahtar çifti ve sertifikası içindir. Bunun yerine RSA anahtarlarını kullanmak için:

  • Değiştir --server komutundaki değer https://acme.ssl.com/sslcom-dv-rsa
Başa gitmek

Manuel Yenilemeye Zorla

Son kullanma tarihi yaklaşmadan bir sertifikayı manuel olarak yenilemek isterseniz, şu komutu kullanın:

certbot yenileme --force-renewal --cert-name DOMAIN.NAME

SSL.com çok çeşitli SSL /TLS sunucu sertifikaları HTTPS web siteleri için.

SSL KARŞILAŞTIR /TLS BELGELERİ

SSL.com Destek Ekibi

Yazar - İçerik Yöneticisi
Tüm Mesajlar

İlgili Nasıl Tos

Hepsini Görüntüle Nasıl Tos
Facebook Linkedin Twitter Youtube Github

SSL.com'un Bültenine abone olun

SSL nedir /TLS?

Videoyu Oynat

SSL.com'un Bültenine Abone Olun

SSL.com'dan yeni makaleleri ve güncellemeleri kaçırmayın

Haberdar Olun ve Güvende Kalın

SSL.com Siber güvenlik alanında küresel bir lider olan PKI ve dijital sertifikalar. En son sektör haberlerini, ipuçlarını ve ürün duyurularını almak için kaydolun SSL.com.

Geri bildiriminizi almak isteriz

Anketimize katılın ve son satın alma işleminizle ilgili düşüncelerinizi bize bildirin.

Anketi doldur