Bu nasıl yapılır, ACME protokolü ve Certbot istemcisi ile Apache ve Nginx için SSL.com ile otomatik sertifika kurulumunu ve yenilemesini kurma konusunda size yol gösterecektir.
Not: SSH erişimine ihtiyacınız olacak ve
sudo bu talimatları izlemek için web sunucunuzda ayrıcalıklar.Not:
Aşağıdakiler de dahil olmak üzere diğer birçok ACME istemcisini kullanabilirsiniz: Kubernetes sertifika yöneticisi, SSL.com'un ACME hizmetiyle.
acme4j istemci artık bu depoda SSL.com ACME hizmetlerini kullanabilir: https://github.com/SSLcom/acme4j
Certbot olmayan diğer ACME istemcilerine yönelik talimatlar için lütfen yazılım sağlayıcınızın belgelerine bakın.
Aşağıdakiler de dahil olmak üzere diğer birçok ACME istemcisini kullanabilirsiniz: Kubernetes sertifika yöneticisi, SSL.com'un ACME hizmetiyle.
acme4j istemci artık bu depoda SSL.com ACME hizmetlerini kullanabilir: https://github.com/SSLcom/acme4j
Certbot olmayan diğer ACME istemcilerine yönelik talimatlar için lütfen yazılım sağlayıcınızın belgelerine bakın.
Certbot'u Kurun ve ACME Kimlik Bilgilerini Alın
- Web sunucunuza SSH.
- Güncel bir sürümün olduğundan emin olun. CertbotApache ve Nginx eklentileriyle birlikte web sunucunuza yüklenir:
- Eğer varsa snapd yüklendikurulum için bu komutu kullanabilirsiniz:
sudo hızlı yükleme - klasik certbot
- If
/snap/bin/senin içinde değilPATH, ayrıca eklemeniz veya aşağıdaki gibi bir komut çalıştırmanız gerekecek:sudo ln -s / snap / bin / certbot / usr / bin / certbot
- Eğer varsa snapd yüklendikurulum için bu komutu kullanabilirsiniz:
- ACME kimlik bilgilerinizi SSL.com hesabınızdan alın:
- SSL.com hesabınıza giriş yapın. Zaten giriş yaptıysanız, şuraya gidin: Kullanıcı Paneli sekmesi.
- Tıkla api kimlik bilgilerialtında bulunan geliştiriciler ve entegrasyon.
- İhtiyacın olacak Hesap / ACME Anahtarı ve HMAC Anahtarı sertifika istemek için. Pano simgesini () değeri panoya kopyalamak için her tuşun yanında.
- SSL.com hesabınıza giriş yapın. Zaten giriş yaptıysanız, şuraya gidin: Kullanıcı Paneli sekmesi.
Apache Kurulumu ve Otomasyonu
Apache'ye yüklemek için buna benzer bir komut kullanın. TÜM BÜYÜK HARF’teki değerleri gerçek değerlerinizle değiştirin:
sudo certbot --apache --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid HESAP-ANAHTARI --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
Komutu bozmak:
sudo certbotçalışırcertbotsüper kullanıcı ayrıcalıklarına sahip komut.--apacheApache ile kullanılmak üzere sertifikaların yükleneceğini belirtir.--email EMAIL-ADDRESSbir kayıt e-posta adresi sağlar. Virgülle ayırarak birden çok adres belirtebilirsiniz.--agree-tos(isteğe bağlı) ACME abone sözleşmesini kabul eder. Etkileşimli olarak kabul etmek istiyorsanız bunu atlayabilirsiniz.--no-eff-email(isteğe bağlı), e-posta adresinizi EFF ile paylaşmak istemediğinizi belirtir. Bunu atlarsanız, e-posta adresinizi paylaşma seçeneği size sorulacaktır.--config-dir /etc/ssl-com(isteğe bağlı) yapılandırma dizinini ayarlar.--logs-dir /var/log/ssl-com(isteğe bağlı) günlükler için dizini ayarlar.--eab-kid ACCOUNT-KEYhesap anahtarınızı belirtir.--eab-hmac-key HMAC-KEYHMAC anahtarınızı belirtir.--server https://acme.ssl.com/sslcom-dv-eccSSL.com'un ACME sunucusunu belirtir.-d DOMAIN.NAMEsertifikanın kapsayacağı alan adını belirtir.
Not: Yeni sertifikalar için ECDSA oluşturmak için Certbot 2.0.0 veya daha yeni varsayılanlar. Yukarıdaki komut bir ECDSA anahtar çifti ve sertifikası içindir. Bunun yerine RSA anahtarlarını kullanmak için:
- Değiştir
--serverkomutundaki değerhttps://acme.ssl.com/sslcom-dv-rsa.
Not: Sen kullanabilirsiniz
-d DOMAIN.NAME sertifikanıza etki alanı adları eklemek için komutunuzda birden çok kez seçenek. Lütfen bilgilerimize bakın sertifika türleri ve faturalama farklı alan adı kombinasyonlarının nasıl eşleştiğini görmek için SSL.com sertifika türleri ve ilgili fiyatları.Yukarıdakileri ilk çalıştırdığınızda
certbot komutu, ACME hesap bilgileri bilgisayarınızda yapılandırma dizininde (/etc/ssl-com yukarıda gösterilen komutta. Gelecekteki certbot çalıştırmalarında, --eab-hmac-key ve --eab-kid seçenekler, çünkü certbot bunları yerel olarak depolanan hesap bilgileri lehine görmezden gelir.
Bilgisayar için ACME sertifika siparişlerinizi farklı bir SSL.com hesabı ile ilişkilendirmeniz gerekiyorsa, komutu ile bu hesap bilgilerini bilgisayarınızdan kaldırmalısınız. sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (veya isteğe bağlı seçeneği atladıysanız --config-dir seçeneği sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).
Komutu çalıştırdıktan sonra böyle bir çıktı görmelisiniz:
Hata ayıklama günlüğünü /var/log/ssl-com/letsencrypt.log'a kaydetme Seçilen eklentiler: Authenticator apache, Installer apache Yeni bir sertifika alma Aşağıdaki görevleri gerçekleştirme: DOMAIN.NAME için http-01 sınaması Doğrulama bekleniyor ... /Etc/apache2/sites-available/DOMAIN-le-ssl.conf adresinde bir SSL sankon oluşturuldu /etc/apache2/sites-available/DOMAIN-le-ssl.conf Kullanılabilir siteyi etkinleştirme: / etc / apache2 / sites-available / DOMAIN-le-ssl.conf /etc/apache2/sites-enabled/DOMAIN.NAME.conf içindeki vhost, /etc/apache2/sites-available/DOMAIN-le-ssl.conf içindeki ssl vhost'a yeniden yönlendiriliyor - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Tebrikler! Https://DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - başarıyla etkinleştirdiniz -
Certbot, 30 gün içinde süresi dolan herhangi bir certbot tarafından yüklenmiş sertifikanın otomatik etkileşimli olmayan yenilenmesi için buna benzer bir crontab dosyası da oluşturacaktır:
$ cat /etc/cron.d/certbot # /etc/cron.d/certbot: certbot paketi için crontab girişleri # # Upstream, yenilemeyi günde iki kez denemeyi önerir # # Sonunda, bu, sertifikaları doğrulamak için bir fırsat olacaktır # cennet ' iptal edilmedi, vb. Yenileme yalnızca son kullanma tarihi 30 gün içinde ise gerçekleşir. # # Önemli Not! Bu cronjob, init sisteminiz olarak # systemd çalıştırıyorsanız UYGULANMAYACAKTIR. Systemd çalıştırıyorsanız, # cronjob.timer işlevi bu cronjob'a göre önceliklidir. # Daha fazla ayrıntı için systemd.timer kılavuz sayfasına bakın veya systemctl show # certbot.timer öğesini kullanın. SHELL = / bin / sh PATH = / usr / local / sbin: / usr / local / bin: / sbin: / bin: / usr / sbin: / usr / bin 0 * / 12 * * * kök testi -x / usr / bin / certbot -a \! -d / run / systemd / system && perl -e 'uyku int (rand (43200))' && certbot -q yenileme
Not: Tüm SSL /TLS ACME aracılığıyla SSL.com tarafından verilen sertifikaların bir yıllık ömrü vardır.
Nginx Kurulumu ve Otomasyonu
Nginx için, basitçe yerine koyun --nginx için --apache yukarıda gösterilen komutta:
sudo certbot --nginx --email EMAIL-ADDRESS --agree-tos --no-eff-email --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com --eab -kid HESAP-ANAHTARI --eab-hmac-key HMAC-KEY --server https://acme.ssl.com/sslcom-dv-ecc -d DOMAIN.NAME
Not: Yeni sertifikalar için ECDSA oluşturmak için Certbot 2.0.0 veya daha yeni varsayılanlar. Yukarıdaki komut bir ECDSA anahtar çifti ve sertifikası içindir. Bunun yerine RSA anahtarlarını kullanmak için:
- Değiştir
--serverkomutundaki değerhttps://acme.ssl.com/sslcom-dv-rsa.
Manuel Yenilemeye Zorla
Son kullanma tarihi yaklaşmadan bir sertifikayı manuel olarak yenilemek isterseniz, şu komutu kullanın:
certbot yenileme --force-renewal --cert-name DOMAIN.NAME
SSL.com çok çeşitli SSL /TLS sunucu sertifikaları HTTPS web siteleri için.