Bu nasıl yapılır, ACME protokolü ve Certbot istemcisi ile Apache ve Nginx için SSL.com ile otomatik sertifika kurulumunu ve yenilemesini kurma konusunda size yol gösterecektir.
sudo
bu talimatları izlemek için web sunucunuzda ayrıcalıklar.Aşağıdakiler de dahil olmak üzere diğer birçok ACME istemcisini kullanabilirsiniz: Kubernetes sertifika yöneticisi, SSL.com'un ACME hizmetiyle.
acme4j istemci artık bu depoda SSL.com ACME hizmetlerini kullanabilir: https://github.com/SSLcom/acme4j
Certbot olmayan diğer ACME istemcilerine yönelik talimatlar için lütfen yazılım sağlayıcınızın belgelerine bakın.
Certbot'u Kurun ve ACME Kimlik Bilgilerini Alın
- Web sunucunuza SSH.
- Güncel bir sürümün olduğundan emin olun. CertbotApache ve Nginx eklentileriyle birlikte web sunucunuza yüklenir:
- Eğer varsa snapd yüklendikurulum için bu komutu kullanabilirsiniz:
sudo hızlı yükleme - klasik certbot
- If
/snap/bin/
senin içinde değilPATH
, ayrıca eklemeniz veya aşağıdaki gibi bir komut çalıştırmanız gerekecek:sudo ln -s / snap / bin / certbot / usr / bin / certbot
- Eğer varsa snapd yüklendikurulum için bu komutu kullanabilirsiniz:
- ACME kimlik bilgilerinizi SSL.com hesabınızdan alın:
- SSL.com hesabınıza giriş yapın. Zaten giriş yaptıysanız, şuraya gidin: Kullanıcı Paneli sekmesi.
- Tıkla api kimlik bilgilerialtında bulunan geliştiriciler ve entegrasyon.
- İhtiyacın olacak Hesap / ACME Anahtarı ve HMAC Anahtarı sertifika istemek için. Pano simgesini () değeri panoya kopyalamak için her tuşun yanında.
- SSL.com hesabınıza giriş yapın. Zaten giriş yaptıysanız, şuraya gidin: Kullanıcı Paneli sekmesi.
Apache Kurulumu ve Otomasyonu
Apache'ye yüklemek için buna benzer bir komut kullanın. TÜM BÜYÜK HARF’teki değerleri gerçek değerlerinizle değiştirin:
sudo certbot --apache --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid HESAP-ANAHTARI --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
Komutu bozmak:
sudo certbot
çalışırcertbot
süper kullanıcı ayrıcalıklarına sahip komut.--apache
Apache ile kullanılmak üzere sertifikaların yükleneceğini belirtir.--email EMAIL-ADDRESS
bir kayıt e-posta adresi sağlar. Virgülle ayırarak birden çok adres belirtebilirsiniz.--agree-tos
(isteğe bağlı) ACME abone sözleşmesini kabul eder. Etkileşimli olarak kabul etmek istiyorsanız bunu atlayabilirsiniz.--no-eff-email
(isteğe bağlı), e-posta adresinizi EFF ile paylaşmak istemediğinizi belirtir. Bunu atlarsanız, e-posta adresinizi paylaşma seçeneği size sorulacaktır.--config-dir /etc/ssl-com
(isteğe bağlı) yapılandırma dizinini ayarlar.--logs-dir /var/log/ssl-com
(isteğe bağlı) günlükler için dizini ayarlar.--eab-kid ACCOUNT-KEY
hesap anahtarınızı belirtir.--eab-hmac-key HMAC-KEY
HMAC anahtarınızı belirtir.--server https://acme.ssl.com/sslcom-dv-ecc
SSL.com'un ACME sunucusunu belirtir.-d DOMAIN.NAME
sertifikanın kapsayacağı alan adını belirtir.
- Değiştir
--server
komutundaki değerhttps://acme.ssl.com/sslcom-dv-rsa
.
-d DOMAIN.NAME
sertifikanıza etki alanı adları eklemek için komutunuzda birden çok kez seçenek. Lütfen bilgilerimize bakın sertifika türleri ve faturalama farklı alan adı kombinasyonlarının nasıl eşleştiğini görmek için SSL.com sertifika türleri ve ilgili fiyatları.certbot
komutu, ACME hesap bilgileri bilgisayarınızda yapılandırma dizininde (/etc/ssl-com
yukarıda gösterilen komutta. Gelecekteki certbot çalıştırmalarında, --eab-hmac-key
ve --eab-kid
seçenekler, çünkü certbot bunları yerel olarak depolanan hesap bilgileri lehine görmezden gelir.
Bilgisayar için ACME sertifika siparişlerinizi farklı bir SSL.com hesabı ile ilişkilendirmeniz gerekiyorsa, komutu ile bu hesap bilgilerini bilgisayarınızdan kaldırmalısınız. sudo rm -r /etc/ssl-com/accounts/acme.ssl.com
(veya isteğe bağlı seçeneği atladıysanız --config-dir
seçeneği sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com
).
Komutu çalıştırdıktan sonra böyle bir çıktı görmelisiniz:
Hata ayıklama günlüğünü /var/log/ssl-com/letsencrypt.log'a kaydetme Seçilen eklentiler: Authenticator apache, Installer apache Yeni bir sertifika alma Aşağıdaki görevleri gerçekleştirme: DOMAIN.NAME için http-01 sınaması Doğrulama bekleniyor ... /Etc/apache2/sites-available/DOMAIN-le-ssl.conf adresinde bir SSL sankon oluşturuldu /etc/apache2/sites-available/DOMAIN-le-ssl.conf Kullanılabilir siteyi etkinleştirme: / etc / apache2 / sites-available / DOMAIN-le-ssl.conf /etc/apache2/sites-enabled/DOMAIN.NAME.conf içindeki vhost, /etc/apache2/sites-available/DOMAIN-le-ssl.conf içindeki ssl vhost'a yeniden yönlendiriliyor - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Tebrikler! Https://DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - başarıyla etkinleştirdiniz -
Certbot, 30 gün içinde süresi dolan herhangi bir certbot tarafından yüklenmiş sertifikanın otomatik etkileşimli olmayan yenilenmesi için buna benzer bir crontab dosyası da oluşturacaktır:
$ cat /etc/cron.d/certbot # /etc/cron.d/certbot: certbot paketi için crontab girişleri # # Upstream, yenilemeyi günde iki kez denemeyi önerir # # Sonunda, bu, sertifikaları doğrulamak için bir fırsat olacaktır # cennet ' iptal edilmedi, vb. Yenileme yalnızca son kullanma tarihi 30 gün içinde ise gerçekleşir. # # Önemli Not! Bu cronjob, init sisteminiz olarak # systemd çalıştırıyorsanız UYGULANMAYACAKTIR. Systemd çalıştırıyorsanız, # cronjob.timer işlevi bu cronjob'a göre önceliklidir. # Daha fazla ayrıntı için systemd.timer kılavuz sayfasına bakın veya systemctl show # certbot.timer öğesini kullanın. SHELL = / bin / sh PATH = / usr / local / sbin: / usr / local / bin: / sbin: / bin: / usr / sbin: / usr / bin 0 * / 12 * * * kök testi -x / usr / bin / certbot -a \! -d / run / systemd / system && perl -e 'uyku int (rand (43200))' && certbot -q yenileme
Nginx Kurulumu ve Otomasyonu
Nginx için, basitçe yerine koyun --nginx
için --apache
yukarıda gösterilen komutta:
sudo certbot --nginx --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid HESAP-ANAHTARI --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
- Değiştir
--server
komutundaki değerhttps://acme.ssl.com/sslcom-dv-rsa
.
Manuel Yenilemeye Zorla
Son kullanma tarihi yaklaşmadan bir sertifikayı manuel olarak yenilemek isterseniz, şu komutu kullanın:
certbot yenileme --force-renewal --cert-name DOMAIN.NAME
SSL.com çok çeşitli SSL /TLS sunucu sertifikaları HTTPS web siteleri için.