SSL /TLS ACME ile Sertifika Verme ve İptal Etme

Tüm Rehberleri Görüntüle

ACME logosuSSL.com müşterileri artık SSL / SSL talep etmek ve iptal etmek için popüler ACME protokolünü kullanabilir.TLS sertifikalar.

ACME (Otomatik Sertifika Yönetim Ortamı), otomatik alan doğrulaması ve X.509 sertifikalarının yüklenmesi için standart bir protokoldür. IETF RFC 8555. Birçok açık kaynaklı iyi belgelenmiş bir standart olarak müşteri uygulamalarıACME, web sitelerini sağlamak için ağrısız bir yol sunar veya IOT cihazları genel veya özel olarak güvenilen dijital sertifikalara sahip modemler ve yönlendiriciler gibi ve bu sertifikaları zaman içinde güncel tutun.

ACME sadece web siteleri için değildir! SSL.com'dan ACME'nin etkin olduğu bir sertifika veren CA ile IoT satıcıları, SSL'nin doğrulanmasını, kurulumunu, yenilenmesini ve iptalini kolayca yönetebilir ve otomatikleştirebilir /TLS ACME özellikli cihazlarda sertifikalar.

IoT için ACME hakkında daha fazla bilgi edinin

Bu kılavuz size şunları nasıl yapacağınızı gösterecek:

  • ACME ile sertifika istemeniz gereken kimlik bilgilerini bulun ve alın.
  • Manuel olarak SSL istemek için Certbot kullanın /TLS aracılığıyla sertifikalar HTTP-01 ve DNS 01 meydan okuma yöntemleri.
  • Certbot ile sertifikaları iptal edin.
Not:
Aşağıdakiler de dahil olmak üzere diğer birçok ACME istemcisini kullanabilirsiniz: Kubernetes sertifika yöneticisi, SSL.com'un ACME hizmetiyle.
acme4j  istemci artık bu depoda SSL.com ACME hizmetlerini kullanabilir: https://github.com/SSLcom/acme4j
Certbot olmayan diğer ACME istemcilerine yönelik talimatlar için lütfen yazılım sağlayıcınızın belgelerine bakın.

Certbot'u yükleyin

Bu kılavuz, aşağıdaki özelliklere sahip bir bilgisayarda çalıştığınızı varsayar. Certbot Kurulmuş. Certbot, Electronic Frontier Foundation (EFF) tarafından geliştirilmiş, SSL'yi talep etmek veya iptal etmek için kullanabileceğiniz ücretsiz ve açık kaynaklı bir araçtır.TLS ACME protokolü aracılığıyla SSL.com'dan sertifikalar. Certbot, Linux, macOS ve Windows dahil çeşitli platformlarda çalıştırılabilir.

  • Eğer varsa snapd yüklendikurulum için bu komutu kullanabilirsiniz: 
    sudo hızlı yükleme - klasik certbot
  • If /snap/bin/ senin içinde değil PATH, ayrıca eklemeniz veya aşağıdaki gibi bir komut çalıştırmanız gerekecek: 
    sudo ln -s / snap / bin / certbot / usr / bin / certbot

Sisteminize Certbot kurulumu hakkında daha fazla bilgiye ihtiyacınız varsa, lütfen EFF'lere bakın. belgeleme.

Başa gitmek

ACME Kimlik Bilgilerini Alın

ACME'yi bir sertifika istemek için kullanmadan önce, Hesap Anahtarı ve HMAC Anahtarı SSL.com hesabınızdan.

SSL.com Bayi ve Toplu Satın Alma ortaklar yapabilir ACME kimlik bilgilerini oluştur müşterileri için. oku bu nasıl yapılır tam talimatlar için.
  1. SSL.com hesabınıza giriş yapın. Zaten giriş yaptıysanız, şuraya gidin: Kullanıcı Paneli sekmesi.
    Kullanıcı Paneli
  2. Tıkla api kimlik bilgilerialtında bulunan geliştiriciler ve entegrasyon.
    API kimlik bilgileri bağlantısı
  3. İhtiyacın olacak Hesap / ACME Anahtarı ve HMAC Anahtarı sertifika istemek için. Pano simgesini () değeri panoya kopyalamak için her tuşun yanında.
    Hesap / ACME Anahtarı ve HMAC Anahtarı
  4. Ayrıca, pano simgesine () bitişik, yanında cli komutuAşağıya ACME Sertifika Botu. Bu önceden biçimlendirilmiş komut, HTTP-01 sınama yöntemi aracılığıyla bir sertifika sipariş edecektir.Certbot komutunu kopyala
Başa gitmek

Manuel olarak SSL isteyinTLS Sertifikalar

Artık kimlik bilgilerinizi aldığınıza göre, şu adresten bir sertifika talep edebilirsiniz: certbot komut. Certbot iki etki alanı doğrulama (DV) yöntemini destekler: HTTP-01 ve DNS-01.

HTTP-01 Zorlama Yöntemi

HTTP-01 ACME ve Certbot ile kullanılan en yaygın kullanılan sorgulama yöntemidir. Bu şekilde bir sertifika talep ettiğinizde, Certbot web sitenizde herkes tarafından erişilebilen bir dosya oluşturmak için kullanabileceğiniz bir belirteç oluşturur. SSL.com'un ACME sunucusu daha sonra dosyayı HTTP yoluyla doğrular ve doğruysa imzalı bir sertifika verir.

Gereksinimler: HTTP-01 yöntemi, web sunucunuza erişiminizin olmasını ve sitenin bağlantı noktası üzerinden erişilebilir olmasını gerektirir 80 HTTP aracılığıyla. Ayrıca ihtiyacınız olacak sudo bilgisayardaki ayrıcalıklar.

Bir sertifikayı manuel olarak almak için aşağıdaki komutu kullanın. TÜM BÜYÜK HARF’teki değerleri gerçek değerlerinizle değiştirin. (Yukarıda belirtildiği gibi, bunu yapan bir certbot komutunu portal hesabınızdan kopyalayıp yapıştırabilirsiniz):

sudo certbot kesinlikle --manual --server https://acme.ssl.com/sslcom-dv-ecc --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com -- katılıyorum --no-eff-email --email EMAIL-ADDRESS --eab-hmac-key HMAC-KEY --eab-kid ACCOUNT-KEY -d DOMAIN.NAME

Komutu bozmak:

  • sudo certbot çalışır certbot süper kullanıcı ayrıcalıklarına sahip komut.
  • certonly bir sertifika alma isteği, ancak yükleme isteği.
  • --manual Certbot'un etkileşimli olarak çalıştırılacağını belirtir.
  • --server https://acme.ssl.com/sslcom-dv-ecc SSL.com'un ACME sunucusunu belirtir.
  • --config-dir /etc/ssl-com (isteğe bağlı) yapılandırma dizinini ayarlar.
  • --logs-dir /var/log/ssl-com (isteğe bağlı) günlükler için dizini ayarlar.
  • --agree-tos (isteğe bağlı) ACME abone sözleşmesini kabul eder. Etkileşimli olarak kabul etmek istiyorsanız bunu atlayabilirsiniz.
  • --no-eff-email (isteğe bağlı), e-posta adresinizi EFF ile paylaşmak istemediğinizi belirtir. Bunu atlarsanız, e-posta adresinizi paylaşma seçeneği size sorulacaktır.
  • --email EMAIL-ADDRESS bir kayıt e-posta adresi sağlar. Virgülle ayırarak birden çok adres belirtebilirsiniz.
  • --eab-hmac-key HMAC-KEY HMAC anahtarınızı belirtir.
  • --eab-kid ACCOUNT-KEY hesap anahtarınızı belirtir.
  • -d DOMAIN.NAME sertifikanın kapsayacağı alan adını belirtir. kullanabileceğinizi unutmayın. -d DOMAIN.NAME sertifikanıza etki alanı adları eklemek için komutunuzda birden çok kez seçenek. Certbot, talep edilen her alan adı için bir sınama dosyası oluşturmanızı isteyecektir. Lütfen şu bölüme bakın sertifika türleri ve faturalama farklı alan adı kombinasyonlarının nasıl eşleştiğini görmek için aşağıda SSL.com sertifika türleri ve ilgili fiyatları.
Not: Yeni sertifikalar için ECDSA oluşturmak için Certbot 2.0.0 veya daha yeni varsayılanlar. Yukarıdaki komut bir ECDSA anahtar çifti ve sertifikası üretecektir. Bunun yerine RSA anahtarlarını kullanmak için:

  • Değiştir --server komutundaki değer https://acme.ssl.com/sslcom-dv-rsa
  • Ekle --key-type rsa komuta.
Yukarıdakileri ilk çalıştırdığınızda certbot komutu, ACME hesap bilgileri bilgisayarınızda yapılandırma dizininde (/etc/ssl-com yukarıda gösterilen komutta. Gelecekteki certbot çalıştırmalarında, --eab-hmac-key ve --eab-kid seçenekler, çünkü certbot bunları yerel olarak depolanan hesap bilgileri lehine görmezden gelir.

Bilgisayar için ACME sertifika siparişlerinizi farklı bir SSL.com hesabı ile ilişkilendirmeniz gerekiyorsa, komutu ile bu hesap bilgilerini bilgisayarınızdan kaldırmalısınız. sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (veya isteğe bağlı seçeneği atladıysanız --config-dir seçeneği sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

Yukarıdaki komutu çalıştırdığınızda, bir doğrulama dosyası oluşturmak için talimatlar almalısınız:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Yalnızca bu verileri içeren bir dosya oluşturun: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI Web sunucunuzda şu URL'de kullanılabilir hale getirin: http://DOMAIN.NAME/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Devam Etmek için Enter tuşuna basın

Dosyayı oluşturun ve web sunucunuzda bağlantı noktası üzerinden HTTP aracılığıyla erişilebilecek bir konuma kaydedin. 80 gösterilen URL'de, ardından Enter.

Not: HTTP-01 sorgulaması, tire ile başlayan bir dosya adı gerektirebilir (-) karakter. Bu durumda, kabuğun kısa çizgiyi yorumlamasını önlemek için dosyanızı oluştururken dizini belirtmeniz gerekebilir (örn. vim ./-r1rsRTImVz_s7HHk7biTQ).

Tüm bilgileriniz doğruysa, sertifika zincirinizin ve özel anahtarınızın konumlarını gösteren bir onay mesajı almalısınız:

ÖNEMLİ NOTLAR: - Tebrikler! Sertifikanız ve zinciriniz şu adrese kaydedildi: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem Anahtar dosyanız şu adreste kaydedildi: /etc/ssl-com/live/DOMAIN.NAME/privkey.pem cert 2021-10-05 tarihinde sona erecek. Gelecekte bu sertifikanın yeni veya ince ayarlanmış bir sürümünü edinmek için, certbot'u tekrar çalıştırın. Etkileşimli olmayan bir şekilde sertifikalarınızın * tümünü * yenilemek için "certbot renew" komutunu çalıştırın

Artık web sunucunuzu yeni sertifika ve özel anahtara erişmek için yapılandırabilirsiniz.

Başa gitmek

DNS-01 Mücadele Yöntemi

The DNS 01 Sınama yöntemi, HTTP-01'den daha zordur, ancak birden çok web sunucusunda kullanım için daha uygun olabilir. Bu yöntemde Certbot, sertifikanın koruyacağı alan adı altında bir DNS TXT kaydı oluşturmak için kullanacağınız bir belirteç sağlayacaktır.

Gereksinimler: DNS-01 yöntemi, web sitenizin alan adı için DNS kayıtları oluşturabilmenizi gerektirir.

Aşağıdaki komut, DNS-01 sınama yöntemi aracılığıyla DOMAIN.NAME için bir sertifika isteyecektir:

sudo certbot certonly --manual --server https://acme.ssl.com/sslcom-dv-rsa --agree-tos --no-eff-email --email EMAIL-ADDRESS --eab-hmac-key HMAC-KEY --eab-kid ACCOUNT-KEY --preferred-challenges dns -d DOMAIN.NAME

Not: Sen kullanabilirsiniz -d DOMAIN.NAME sertifikanıza etki alanı adları eklemek için komutunuzda birden çok kez seçenek. Certbot, talep edilen her alan adı için ayrı bir DNS TXT kaydı oluşturmanızı isteyecektir. Tuşuna basmadan önce her TXT kaydının yayılmasını beklemeniz gerekmez. Enter son meydan okumaya ulaşana kadar. Lütfen şu bölüme bakın sertifika türleri ve faturalama farklı alan adı kombinasyonlarının nasıl eşleştiğini görmek için aşağıda SSL.com sertifika türleri ve ilgili fiyatları.
Yukarıdakileri ilk çalıştırdığınızda certbot komutu, ACME hesap bilgileri bilgisayarınızda yapılandırma dizininde (/etc/ssl-com yukarıda gösterilen komutta. Gelecekteki certbot çalıştırmalarında, --eab-hmac-key ve --eab-kid seçenekler, çünkü certbot bunları yerel olarak depolanan hesap bilgileri lehine görmezden gelir.

Bilgisayar için ACME sertifika siparişlerinizi farklı bir SSL.com hesabı ile ilişkilendirmeniz gerekiyorsa, komutu ile bu hesap bilgilerini bilgisayarınızdan kaldırmalısınız. sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (veya isteğe bağlı seçeneği atladıysanız --config-dir seçeneği sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

Bu komut, HTTP-01 bölümündekiyle aynıdır, ancak --preferred-challenges dns seçeneği. Komutu çalıştırdığınızda, bir DNS kaydı oluşturmak için talimatlar alacaksınız:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please deploy a DNS TXT record under the name _acme-challenge.DOMAIN.NAME with the following value: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Before continuing, verify the record is deployed. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Press Enter to Continue

DNS TXT kaydını oluşturun ve yayılmasını bekleyin. (whatsmydns.net DNS yayılımını kontrol etmek için uygun bir araçtır). Kayıt adının başındaki alt çizgi karakterinin (_) gereklidir. Kayıt dünya çapında yayıldığında, Enter.

Bir joker karakter sertifikası talep ediyorsanız (örn. *.example.com) Eğer siz de korumak istiyorsanız, temel alan adını ayrıca talep etmeniz gerekecektir (örneğin -d *.example.com -d example.com). Böyle bir durumda oluşturmanız gerekecek iki Aynı ada sahip TXT kayıtları (_acme-challenge.example.com).

Tüm bilgileriniz doğruysa, sertifika zincirinizin ve özel anahtarınızın konumlarını gösteren bir onay mesajı almalısınız:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem Your key file has been saved at: /etc/ssl-com/live/DOMAIN.NAME/privkey.pem Your cert will expire on 2021-10-05. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew"

Artık web sunucunuzu yeni sertifika ve özel anahtara erişmek için yapılandırabilirsiniz.

Başa gitmek

Sertifika Yenileme (Manuel)

Manuel olarak verilen sertifikalar için (bu kılavuzda açıklandığı gibi), sertifika yenileme, sertifikayı talep etmek için kullanılan komutun tekrarlanmasıyla gerçekleştirilir. Certbot bir renew altkomut, ancak bu komut ile istenen sertifikalarla kullanma girişiminde bir hata üretecektir. --manual seçenek:

sudo certbot renew --force-renewal Hata ayıklama günlüğünü /var/log/ssl-com/letsencrypt.log'a kaydetme - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - İşleniyor /etc/ssl-com/renewal/DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Uygun eklenti seçilemedi: Manuel eklenti çalışmıyor; mevcut konfigürasyonunuzla ilgili sorunlar olabilir. Hata şuydu: PluginError ('Manuel eklentiyi etkileşimli olmayan bir şekilde kullanırken --manual-auth-hook ile bir kimlik doğrulama betiği sağlanmalıdır.') / Etc / ssl-com / 'dan sertifika (DOMAIN.NAME) yenilenmeye çalışılıyor renewal / DOMAIN.NAME.conf beklenmeyen bir hata üretti: El ile eklenti çalışmıyor; mevcut konfigürasyonunuzla ilgili sorunlar olabilir. Hata şuydu: PluginError ('Manuel eklentiyi etkileşimli olmayan bir şekilde kullanırken bir kimlik doğrulama komut dosyası --manual-auth-hook sağlanmalıdır.',) Atlama. Tüm yenileme girişimleri başarısız oldu. Aşağıdaki sertifikalar yenilenemedi: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem (başarısızlık) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Tüm yenileme girişimleri başarısız oldu. Aşağıdaki sertifikalar yenilenemedi: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem (başarısızlık) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1 yenileme hatası, 0 ayrıştırma hatası
Başa gitmek

Sertifika İptali

Bir sertifikayı iptal et certbot revoke. TÜM BÜYÜK HARF’teki sertifika yolunu gerçek değerlerinizle değiştirin (örneğin, /etc/ssl-com/live/example.com/cert.pem). Bir gelenek belirtmediyseniz --config-dir ve --logs-dir orijinal sertifikayı talep ederken bu seçenekleri atlayın.

sudo certbot iptal --server https://acme.ssl.com/sslcom-dv-rsa --cert-path /PATH/TO/cert.pem --config-dir / etc / ssl-com --logs-dir / var / log / ssl-com

İptal edilen sertifikayı da silmek isteyip istemediğiniz sorulacaktır:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Sertifikaları silmek ister misiniz? sertifikanın tüm önceki ve sonraki sürümleriyle birlikte yeni mi iptal ettiniz? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Evet) es (önerilen) / (N ) o: Y - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Sertifikayla ilgili tüm dosyalar silindi ALAN ADI. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Not: Bazı kullanıcılar, kullanarak bir sertifikayı iptal etmeye çalışırken bu hatayı alabilir. SSL.com'nin ACME bitiş noktası:Unable to register an account with ACME server. Error returned by the ACME server: Something went wrong. We apologize for the inconvenience.

Hatayı çözmek için aşağıdakileri deneyin:
a) İptal talebini imzalamak için sertifikanın özel anahtar yolunu belirtin.
Örnek: --key-path /PATH/TO/privkey.pem
b) Özel bir dizin kullandıysanız, sertifikayı verdiğinizde kullandığınız dizini belirtin: --config-dir
Başa gitmek

Sertifika Türleri ve Faturalama

Tüm SSL /TLS ACME aracılığıyla SSL.com tarafından verilen sertifikalar bir yıllık sertifikalardır. Alacağınız (ve faturalandırılacağınız) SSL.com sertifika türü, istenen alan adlarının sayısına ve türüne bağlıdır:

  • Temel SSL: Bir alan adı veya alan adı artı www alt alan adı (ör. example.com ve www.example.com).
    • Hem temel alan adını hem de www, her ikisini de Certbot komutunuza eklemelisiniz (örn. -d example.com -d www.example.com).
  • Joker SSL: Bir joker karakter etki alanı adı veya bir joker etki alanı adı artı temel etki alanı adı (ör. *.example.com ve example.com).
  • Premium SSL: Temel alan adı ve joker karakter içermeyen bir ila üç alt alan adı. (İstisna: Yukarıda belirtildiği gibi, temel alan artı www alt alan adı [ve diğerleri] Temel SSL olarak faturalandırılacaktır.) Örneğin:
    • example.com ve info.example.com
    • example.comwww.example.com, ve info.example.com
    • example.comwww.example.com, info.example.com , ve store.example.com
  • Çok Alanlı UCC / SAN SSL: Alan adlarının diğer herhangi bir kombinasyonu. Örneğin:
    • Temel alan adı ve üçten fazla alt alan adı
    • İki veya daha fazla joker karakter ve / veya alt alan adı olmayan alan adı

SSL.com'daki katılımcılar Bayi ve Toplu Satın Alma Programı fiyatlandırma katmanıyla ilişkili indirimli fiyat üzerinden faturalandırılacaktır.

Başa gitmek

Daha fazla bilgi için

ACME protokolüyle (Certbot ile veya onsuz) yapabileceğiniz çok şey var. Daha fazla bilgi için lütfen aşağıdaki kaynaklara bakın:

SSL.com hesabınızla ilgili daha fazla yardıma mı ihtiyacınız var?

SSL.com'u seçtiğiniz için teşekkür ederiz! Herhangi bir sorunuz varsa, lütfen bize e-posta ile ulaşın. Support@SSL.com, aramak 1-877-SSL-SECUREveya bu sayfanın sağ alt tarafındaki sohbet bağlantısını tıklayın. Ayrıca birçok yaygın destek sorusunun yanıtlarını şurada bulabilirsiniz: bilgi tabanı.
Twitter
Facebook
LinkedIn
Reddit
e-posta

SSL.com Destek Ekibi

Yazar - İçerik Yöneticisi
Tüm Yazılar »

Haberdar Olun ve Güvende Kalın

SSL.com Siber güvenlik alanında küresel bir lider olan PKI ve dijital sertifikalar. En son sektör haberlerini, ipuçlarını ve ürün duyurularını almak için kaydolun SSL.com.

Geri bildiriminizi almak isteriz

Anketimize katılın ve son satın alma işleminizle ilgili düşüncelerinizi bize bildirin.

Anketi doldur