ACME (Otomatik Sertifika Yönetim Ortamı), otomatik alan doğrulaması ve X.509 sertifikalarının yüklenmesi için standart bir protokoldür. IETF RFC 8555. Birçok açık kaynaklı iyi belgelenmiş bir standart olarak müşteri uygulamalarıACME, web sitelerini sağlamak için ağrısız bir yol sunar veya IOT cihazları genel veya özel olarak güvenilen dijital sertifikalara sahip modemler ve yönlendiriciler gibi ve bu sertifikaları zaman içinde güncel tutun.
Bu kılavuz size şunları nasıl yapacağınızı gösterecek:
- ACME ile sertifika istemeniz gereken kimlik bilgilerini bulun ve alın.
- Manuel olarak SSL istemek için Certbot kullanın /TLS aracılığıyla sertifikalar HTTP-01 ve DNS 01 meydan okuma yöntemleri.
- Certbot ile sertifikaları iptal edin.
Aşağıdakiler de dahil olmak üzere diğer birçok ACME istemcisini kullanabilirsiniz: Kubernetes sertifika yöneticisi, SSL.com'un ACME hizmetiyle.
acme4j istemci artık bu depoda SSL.com ACME hizmetlerini kullanabilir: https://github.com/SSLcom/acme4j
Certbot olmayan diğer ACME istemcilerine yönelik talimatlar için lütfen yazılım sağlayıcınızın belgelerine bakın.
Certbot'u yükleyin
Bu kılavuz, aşağıdaki özelliklere sahip bir bilgisayarda çalıştığınızı varsayar. Certbot Kurulmuş. Certbot, Electronic Frontier Foundation (EFF) tarafından geliştirilmiş, SSL'yi talep etmek veya iptal etmek için kullanabileceğiniz ücretsiz ve açık kaynaklı bir araçtır.TLS ACME protokolü aracılığıyla SSL.com'dan sertifikalar. Certbot, Linux, macOS ve Windows dahil çeşitli platformlarda çalıştırılabilir.
- Eğer varsa snapd yüklendikurulum için bu komutu kullanabilirsiniz:
sudo hızlı yükleme - klasik certbot
- If
/snap/bin/senin içinde değilPATH, ayrıca eklemeniz veya aşağıdaki gibi bir komut çalıştırmanız gerekecek:sudo ln -s / snap / bin / certbot / usr / bin / certbot
Sisteminize Certbot kurulumu hakkında daha fazla bilgiye ihtiyacınız varsa, lütfen EFF'lere bakın. belgeleme.
ACME Kimlik Bilgilerini Alın
ACME'yi bir sertifika istemek için kullanmadan önce, Hesap Anahtarı ve HMAC Anahtarı SSL.com hesabınızdan.
- SSL.com hesabınıza giriş yapın. Zaten giriş yaptıysanız, şuraya gidin: Kullanıcı Paneli sekmesi.
- Tıkla api kimlik bilgilerialtında bulunan geliştiriciler ve entegrasyon.
- İhtiyacın olacak Hesap / ACME Anahtarı ve HMAC Anahtarı sertifika istemek için. Pano simgesini () değeri panoya kopyalamak için her tuşun yanında.
- Ayrıca, pano simgesine () bitişik, yanında cli komutuAşağıya ACME Sertifika Botu. Bu önceden biçimlendirilmiş komut, HTTP-01 sınama yöntemi aracılığıyla bir sertifika sipariş edecektir.
Manuel olarak SSL isteyinTLS Sertifikalar
Artık kimlik bilgilerinizi aldığınıza göre, şu adresten bir sertifika talep edebilirsiniz: certbot komut. Certbot iki etki alanı doğrulama (DV) yöntemini destekler: HTTP-01 ve DNS-01.
HTTP-01 Zorlama Yöntemi
HTTP-01 ACME ve Certbot ile kullanılan en yaygın kullanılan sorgulama yöntemidir. Bu şekilde bir sertifika talep ettiğinizde, Certbot web sitenizde herkes tarafından erişilebilen bir dosya oluşturmak için kullanabileceğiniz bir belirteç oluşturur. SSL.com'un ACME sunucusu daha sonra dosyayı HTTP yoluyla doğrular ve doğruysa imzalı bir sertifika verir.
Gereksinimler: HTTP-01 yöntemi, web sunucunuza erişiminizin olmasını ve sitenin bağlantı noktası üzerinden erişilebilir olmasını gerektirir 80 HTTP aracılığıyla. Ayrıca ihtiyacınız olacak sudo bilgisayardaki ayrıcalıklar.
Bir sertifikayı manuel olarak almak için aşağıdaki komutu kullanın. TÜM BÜYÜK HARF’teki değerleri gerçek değerlerinizle değiştirin. (Yukarıda belirtildiği gibi, bunu yapan bir certbot komutunu portal hesabınızdan kopyalayıp yapıştırabilirsiniz):
sudo certbot kesinlikle --manual --server https://acme.ssl.com/sslcom-dv-ecc --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com -- katılıyorum --no-eff-email --email EMAIL-ADDRESS --eab-hmac-key HMAC-KEY --eab-kid ACCOUNT-KEY -d DOMAIN.NAME
Komutu bozmak:
sudo certbotçalışırcertbotsüper kullanıcı ayrıcalıklarına sahip komut.certonlybir sertifika alma isteği, ancak yükleme isteği.--manualCertbot'un etkileşimli olarak çalıştırılacağını belirtir.--server https://acme.ssl.com/sslcom-dv-eccSSL.com'un ACME sunucusunu belirtir.--config-dir /etc/ssl-com(isteğe bağlı) yapılandırma dizinini ayarlar.--logs-dir /var/log/ssl-com(isteğe bağlı) günlükler için dizini ayarlar.--agree-tos(isteğe bağlı) ACME abone sözleşmesini kabul eder. Etkileşimli olarak kabul etmek istiyorsanız bunu atlayabilirsiniz.--no-eff-email(isteğe bağlı), e-posta adresinizi EFF ile paylaşmak istemediğinizi belirtir. Bunu atlarsanız, e-posta adresinizi paylaşma seçeneği size sorulacaktır.--email EMAIL-ADDRESSbir kayıt e-posta adresi sağlar. Virgülle ayırarak birden çok adres belirtebilirsiniz.--eab-hmac-key HMAC-KEYHMAC anahtarınızı belirtir.--eab-kid ACCOUNT-KEYhesap anahtarınızı belirtir.-d DOMAIN.NAMEsertifikanın kapsayacağı alan adını belirtir. kullanabileceğinizi unutmayın.-d DOMAIN.NAMEsertifikanıza etki alanı adları eklemek için komutunuzda birden çok kez seçenek. Certbot, talep edilen her alan adı için bir sınama dosyası oluşturmanızı isteyecektir. Lütfen şu bölüme bakın sertifika türleri ve faturalama farklı alan adı kombinasyonlarının nasıl eşleştiğini görmek için aşağıda SSL.com sertifika türleri ve ilgili fiyatları.
- Değiştir
--serverkomutundaki değerhttps://acme.ssl.com/sslcom-dv-rsa. - Ekle
--key-type rsakomuta.
certbot komutu, ACME hesap bilgileri bilgisayarınızda yapılandırma dizininde (/etc/ssl-com yukarıda gösterilen komutta. Gelecekteki certbot çalıştırmalarında, --eab-hmac-key ve --eab-kid seçenekler, çünkü certbot bunları yerel olarak depolanan hesap bilgileri lehine görmezden gelir.
Bilgisayar için ACME sertifika siparişlerinizi farklı bir SSL.com hesabı ile ilişkilendirmeniz gerekiyorsa, komutu ile bu hesap bilgilerini bilgisayarınızdan kaldırmalısınız. sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (veya isteğe bağlı seçeneği atladıysanız --config-dir seçeneği sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).
Yukarıdaki komutu çalıştırdığınızda, bir doğrulama dosyası oluşturmak için talimatlar almalısınız:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Yalnızca bu verileri içeren bir dosya oluşturun: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI Web sunucunuzda şu URL'de kullanılabilir hale getirin: http://DOMAIN.NAME/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Devam Etmek için Enter tuşuna basın
Dosyayı oluşturun ve web sunucunuzda bağlantı noktası üzerinden HTTP aracılığıyla erişilebilecek bir konuma kaydedin. 80 gösterilen URL'de, ardından Enter.
-) karakter. Bu durumda, kabuğun kısa çizgiyi yorumlamasını önlemek için dosyanızı oluştururken dizini belirtmeniz gerekebilir (örn. vim ./-r1rsRTImVz_s7HHk7biTQ).Tüm bilgileriniz doğruysa, sertifika zincirinizin ve özel anahtarınızın konumlarını gösteren bir onay mesajı almalısınız:
ÖNEMLİ NOTLAR: - Tebrikler! Sertifikanız ve zinciriniz şu adrese kaydedildi: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem Anahtar dosyanız şu adreste kaydedildi: /etc/ssl-com/live/DOMAIN.NAME/privkey.pem cert 2021-10-05 tarihinde sona erecek. Gelecekte bu sertifikanın yeni veya ince ayarlanmış bir sürümünü edinmek için, certbot'u tekrar çalıştırın. Etkileşimli olmayan bir şekilde sertifikalarınızın * tümünü * yenilemek için "certbot renew" komutunu çalıştırın
Artık web sunucunuzu yeni sertifika ve özel anahtara erişmek için yapılandırabilirsiniz.
DNS-01 Mücadele Yöntemi
The DNS 01 Sınama yöntemi, HTTP-01'den daha zordur, ancak birden çok web sunucusunda kullanım için daha uygun olabilir. Bu yöntemde Certbot, sertifikanın koruyacağı alan adı altında bir DNS TXT kaydı oluşturmak için kullanacağınız bir belirteç sağlayacaktır.
Gereksinimler: DNS-01 yöntemi, web sitenizin alan adı için DNS kayıtları oluşturabilmenizi gerektirir.
Aşağıdaki komut, DNS-01 sınama yöntemi aracılığıyla DOMAIN.NAME için bir sertifika isteyecektir:
sudo certbot certonly --manual --server https://acme.ssl.com/sslcom-dv-rsa --agree-tos --no-eff-email --email EMAIL-ADDRESS --eab-hmac-key HMAC-KEY --eab-kid ACCOUNT-KEY --preferred-challenges dns -d DOMAIN.NAME
-d DOMAIN.NAME sertifikanıza etki alanı adları eklemek için komutunuzda birden çok kez seçenek. Certbot, talep edilen her alan adı için ayrı bir DNS TXT kaydı oluşturmanızı isteyecektir. Tuşuna basmadan önce her TXT kaydının yayılmasını beklemeniz gerekmez. Enter son meydan okumaya ulaşana kadar. Lütfen şu bölüme bakın sertifika türleri ve faturalama farklı alan adı kombinasyonlarının nasıl eşleştiğini görmek için aşağıda SSL.com sertifika türleri ve ilgili fiyatları. certbot komutu, ACME hesap bilgileri bilgisayarınızda yapılandırma dizininde (/etc/ssl-com yukarıda gösterilen komutta. Gelecekteki certbot çalıştırmalarında, --eab-hmac-key ve --eab-kid seçenekler, çünkü certbot bunları yerel olarak depolanan hesap bilgileri lehine görmezden gelir.
Bilgisayar için ACME sertifika siparişlerinizi farklı bir SSL.com hesabı ile ilişkilendirmeniz gerekiyorsa, komutu ile bu hesap bilgilerini bilgisayarınızdan kaldırmalısınız. sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (veya isteğe bağlı seçeneği atladıysanız --config-dir seçeneği sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).
Bu komut, HTTP-01 bölümündekiyle aynıdır, ancak --preferred-challenges dns seçeneği. Komutu çalıştırdığınızda, bir DNS kaydı oluşturmak için talimatlar alacaksınız:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please deploy a DNS TXT record under the name _acme-challenge.DOMAIN.NAME with the following value: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Before continuing, verify the record is deployed. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Press Enter to Continue
DNS TXT kaydını oluşturun ve yayılmasını bekleyin. (whatsmydns.net DNS yayılımını kontrol etmek için uygun bir araçtır). Kayıt adının başındaki alt çizgi karakterinin (_) gereklidir. Kayıt dünya çapında yayıldığında, Enter.
*.example.com) Eğer siz de korumak istiyorsanız, temel alan adını ayrıca talep etmeniz gerekecektir (örneğin -d *.example.com -d example.com). Böyle bir durumda oluşturmanız gerekecek iki Aynı ada sahip TXT kayıtları (_acme-challenge.example.com). Tüm bilgileriniz doğruysa, sertifika zincirinizin ve özel anahtarınızın konumlarını gösteren bir onay mesajı almalısınız:
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem Your key file has been saved at: /etc/ssl-com/live/DOMAIN.NAME/privkey.pem Your cert will expire on 2021-10-05. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew"
Artık web sunucunuzu yeni sertifika ve özel anahtara erişmek için yapılandırabilirsiniz.
Sertifika Yenileme (Manuel)
Manuel olarak verilen sertifikalar için (bu kılavuzda açıklandığı gibi), sertifika yenileme, sertifikayı talep etmek için kullanılan komutun tekrarlanmasıyla gerçekleştirilir. Certbot bir renew altkomut, ancak bu komut ile istenen sertifikalarla kullanma girişiminde bir hata üretecektir. --manual seçenek:
sudo certbot renew --force-renewal Hata ayıklama günlüğünü /var/log/ssl-com/letsencrypt.log'a kaydetme - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - İşleniyor /etc/ssl-com/renewal/DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Uygun eklenti seçilemedi: Manuel eklenti çalışmıyor; mevcut konfigürasyonunuzla ilgili sorunlar olabilir. Hata şuydu: PluginError ('Manuel eklentiyi etkileşimli olmayan bir şekilde kullanırken --manual-auth-hook ile bir kimlik doğrulama betiği sağlanmalıdır.') / Etc / ssl-com / 'dan sertifika (DOMAIN.NAME) yenilenmeye çalışılıyor renewal / DOMAIN.NAME.conf beklenmeyen bir hata üretti: El ile eklenti çalışmıyor; mevcut konfigürasyonunuzla ilgili sorunlar olabilir. Hata şuydu: PluginError ('Manuel eklentiyi etkileşimli olmayan bir şekilde kullanırken bir kimlik doğrulama komut dosyası --manual-auth-hook sağlanmalıdır.',) Atlama. Tüm yenileme girişimleri başarısız oldu. Aşağıdaki sertifikalar yenilenemedi: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem (başarısızlık) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Tüm yenileme girişimleri başarısız oldu. Aşağıdaki sertifikalar yenilenemedi: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem (başarısızlık) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1 yenileme hatası, 0 ayrıştırma hatası
Sertifika İptali
Bir sertifikayı iptal et certbot revoke. TÜM BÜYÜK HARF’teki sertifika yolunu gerçek değerlerinizle değiştirin (örneğin, /etc/ssl-com/live/example.com/cert.pem). Bir gelenek belirtmediyseniz --config-dir ve --logs-dir orijinal sertifikayı talep ederken bu seçenekleri atlayın.
sudo certbot iptal --server https://acme.ssl.com/sslcom-dv-rsa --cert-path /PATH/TO/cert.pem --config-dir / etc / ssl-com --logs-dir / var / log / ssl-com
İptal edilen sertifikayı da silmek isteyip istemediğiniz sorulacaktır:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Sertifikaları silmek ister misiniz? sertifikanın tüm önceki ve sonraki sürümleriyle birlikte yeni mi iptal ettiniz? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Evet) es (önerilen) / (N ) o: Y - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Sertifikayla ilgili tüm dosyalar silindi ALAN ADI. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Unable to register an account with ACME server. Error returned by the ACME server: Something went wrong. We apologize for the inconvenience.Hatayı çözmek için aşağıdakileri deneyin:
a) İptal talebini imzalamak için sertifikanın özel anahtar yolunu belirtin.
Örnek:
--key-path /PATH/TO/privkey.pemb) Özel bir dizin kullandıysanız, sertifikayı verdiğinizde kullandığınız dizini belirtin:
--config-dir
Sertifika Türleri ve Faturalama
Tüm SSL /TLS ACME aracılığıyla SSL.com tarafından verilen sertifikalar bir yıllık sertifikalardır. Alacağınız (ve faturalandırılacağınız) SSL.com sertifika türü, istenen alan adlarının sayısına ve türüne bağlıdır:
- Temel SSL: Bir alan adı veya alan adı artı
wwwalt alan adı (ör.example.comvewww.example.com).- Hem temel alan adını hem de
www, her ikisini de Certbot komutunuza eklemelisiniz (örn.-d example.com -d www.example.com).
- Hem temel alan adını hem de
- Joker SSL: Bir joker karakter etki alanı adı veya bir joker etki alanı adı artı temel etki alanı adı (ör.
*.example.comveexample.com). - Premium SSL: Temel alan adı ve joker karakter içermeyen bir ila üç alt alan adı. (İstisna: Yukarıda belirtildiği gibi, temel alan artı
wwwalt alan adı [ve diğerleri] Temel SSL olarak faturalandırılacaktır.) Örneğin:
example.comveinfo.example.comexample.com,www.example.com, veinfo.example.comexample.com,www.example.com,info.example.com, vestore.example.com
- Çok Alanlı UCC / SAN SSL: Alan adlarının diğer herhangi bir kombinasyonu. Örneğin:
- Temel alan adı ve üçten fazla alt alan adı
- İki veya daha fazla joker karakter ve / veya alt alan adı olmayan alan adı
SSL.com'daki katılımcılar Bayi ve Toplu Satın Alma Programı fiyatlandırma katmanıyla ilişkili indirimli fiyat üzerinden faturalandırılacaktır.
Daha fazla bilgi için
ACME protokolüyle (Certbot ile veya onsuz) yapabileceğiniz çok şey var. Daha fazla bilgi için lütfen aşağıdaki kaynaklara bakın:
- ACME Protokolü Nedir?
- ACME SSL /TLS Apache ve Nginx ile otomasyon
- SSL /TLS ACME ile IoT için otomasyon
- Certbot belgeleri
- Certbot man sayfası
SSL.com hesabınızla ilgili daha fazla yardıma mı ihtiyacınız var?
- SSL.com Hesabınız - Gönderme CSR
- Ön test başarısız mı ?!
- SSL.com Hesabınız - Doğrulamalar
- SSL.com Hesabınız - Siparişler
- SSL.com'un SWS API'si - Giriş
- SSL.com Hesabınız - Alanlar
- Belge İmzalama ve EV Kod İmzalama için Desteklenen Bulut HSM'leri