rhaglen Affiliate Knowledgebase
Ailwampio Canolfannau data Polisi cam-drin
pennyn--byrgyr
Panel Rheolipanel rheoli
Gweinydd ar gyfer adborthGweinydduSSLRheolwr ISPVPS WindowsVPS LinuxVPS ar gyfer VPN
Knowledgebase Cyfarwyddiadau syml i weithio gyda'r gwasanaeth Profitserver
Prif Knowledgebase Certbot: Gosod Tystysgrif Let's Encrypt

Certbot: Gosod Tystysgrif Let's Encrypt

Yn yr erthygl hon, byddwn yn archwilio'r broses o osod a ffurfweddu Certbot ar weinydd Linux. Byddwn yn esbonio'n fanwl sut i gael tystysgrif Let's Encrypt SSL/TLS ar gyfer eich parth. Byddwn hefyd yn disgrifio sut i'w osod ar weinydd gwe (fel Nginx neu Apache) a sefydlu adnewyddiadau tystysgrif awtomatig i sicrhau cysylltiad diogel parhaus â'ch adnodd gwe.

Certbot yn offeryn ffynhonnell agored rhad ac am ddim a gynlluniwyd ar gyfer caffael ac adnewyddu awtomatig Tystysgrifau SSL/TLS. Mae'n chwarae rhan hanfodol wrth sicrhau'r cysylltiad rhwng y gweinydd a'r cleient, gan ddiogelu data rhag mynediad heb awdurdod. Mae Certbot yn symleiddio'r broses o osod ac adnewyddu tystysgrif SSL. Nid yn unig y mae'r dystysgrif yn gwella diogelwch, ond mae hefyd yn hybu ymddiriedaeth defnyddwyr yn eich adnodd gwe, a thrwy hynny wella enw da'r wefan a'i safleoedd peiriannau chwilio.

Tabl cynnwys
Bychana

Gosod Certbot

Mae Certbot wedi'i gynnwys yn y rhan fwyaf o ddosbarthiadau yn ddiofyn, felly i'w osod ymlaen Debian / Ubuntu systemau, dim ond y rhestr becynnau sydd angen i chi ei diweddaru:

apt update

Yna, dechreuwch y broses osod:

apt install certbot

Mae Certbot yn cefnogi ategion sy'n hwyluso gosod a ffurfweddu'r dystysgrif ar gyfer gweinydd gwe. I osod yr ategion hyn, defnyddiwch y gorchymyn cyfatebol:

apt install certbot python3-certbot-nginx # for Nginx
apt install certbot python3-certbot-apache # for Apache

Y broses osod ar gyfer Red Hat systemau (fel RHEL, CentOS, Fedora) ychydig yn wahanol. I ddechrau, mae angen ichi ychwanegu'r ystorfa EPEL:

yum install epel-release

Yna gosodwch yr offeryn:

yum install certbot

Yn yr un modd, mae opsiwn i ddewis ategyn ar gyfer gweinydd gwe penodol:

yum install python3-certbot-nginx # for Nginx
yum install python3-certbot-apache # for Apache

Ar ôl gosod, gallwch fynd ymlaen ar unwaith i gael y dystysgrif.

Cael Tystysgrif SSL

Yn yr adran hon, byddwn yn trafod y broses o gael tystysgrif yn annibynnol ar weinydd gwe penodol, ac yna disgrifio'r broses o osod y dystysgrif ar gyfer Nginx ac Apache. Fodd bynnag, mae'n hanfodol deall cystrawen ac ymarferoldeb y rhaglen yn gyntaf. Mae'n ymddangos fel a ganlyn:

certbot command option -d domain

Mae'r prif orchmynion yn cynnwys:

certbot certonly - Yn adfer y dystysgrif ond nid yw'n ei gosod.
certbot certificates - Mae'r gorchymyn hwn yn dangos rhestr o'r holl dystysgrifau sydd wedi'u gosod.
certbot renew - Ymestyn y dystysgrif bresennol.
certbot revoke - Yn dirymu'r dystysgrif bresennol.
certbot delete - Yn dileu'r dystysgrif bresennol.

Yr opsiynau a ddefnyddir amlaf yw:

--nginx - Yn defnyddio sgriptiau cyfluniad Nginx ar gyfer dilysu parth.
--apache - Yn defnyddio sgriptiau cyfluniad Apache ar gyfer dilysu parth.
-d - Rhestr o barthau y gofynnir am y dystysgrif ar eu cyfer.
--standalone - Yn defnyddio modd annibynnol ar gyfer dilysu parth.
--manual - Yn perfformio dilysu parth â llaw.

Dyma enghraifft yn unig o'r gorchmynion a'r opsiynau mwyaf aml. Gallwch ymgyfarwyddo â'r rhestr lawn o alluoedd rhaglen yn yr adran gymorth:

certbot –help
Adran Gymorth Offeryn Certbot

Awn ymlaen yn awr i gael y dystysgrif. Er enghraifft, byddwn yn cael tystysgrif ar gyfer a gweinydd rhithwir ar gyfer parth trydydd lefel am ddim fel yourusername.pserver.space

Yn gyntaf, mae angen i chi nodi'r gorchymyn:

certbot certonly

Mewn ymateb, bydd y cyfleustodau yn gofyn ichi ddewis dull ar gyfer gwirio perchnogaeth parth:

Sut i Gael Tystysgrif SSL Certbot

Mae'r opsiwn cyntaf yn gyfleus os nad oes gennych weinydd gwe wedi'i ffurfweddu neu os nad ydych am wneud newidiadau i un sy'n bodoli eisoes. Mae'r dull hwn yn creu gweinydd gwe dros dro i gadarnhau eich hawl i'r parth. Mae'n ddelfrydol ar gyfer gosodiad syml a chyflym. Wrth ddewis y dull hwn, mae'n bwysig cadw porthladd 80 yn rhydd.

Mae'r ail opsiwn yn well os oes gennych weinydd gwe eisoes yn gweithredu, a'ch bod am ei ddefnyddio i wirio'r hawl i'r parth. Mae Certbot yn gosod ffeiliau arbennig mewn ffolder ar eich gweinydd, sydd wedyn yn cael eu gwirio gan y ganolfan ardystio.

Rydyn ni'n dewis yr opsiwn cyntaf ac yn clicio nesaf. Ar y cam hwn, bydd angen i chi:

  1. Rhowch gyfeiriad e-bost;
  2. Cytuno i delerau gwasanaeth;
  3. Cytuno neu wrthod derbyn e-byst ar ran y cwmni a'i bartneriaid;
  4. Nodwch yr enw parth y cyhoeddir y dystysgrif ar ei gyfer.
Data ar gyfer Cael Tystysgrif SSL

Ar ôl cwblhau'r broses cyhoeddi tystysgrif gyda'r offeryn Certbot, bydd yn nodi'r llwybr i'r cyfeiriadur lle mae'r dystysgrif a gyhoeddwyd a'r data ar gyfer eich cyfrif yn cael eu storio:

Data'r Dystysgrif SSL a Enillwyd

Y cyfan sydd ar ôl yw i chi gysylltu'r dystysgrif a gafwyd â'r gwasanaeth gofynnol.

Gosod y Dystysgrif ar gyfer Nginx neu Apache

Mae’r adran hon yn rhagdybio bod rhai amodau sylfaenol wedi’u bodloni:

  1. Rydych chi eisoes wedi gosod a ffurfweddu gweinydd gwe, naill ai Nginx neu Apache. Rhaid iddo fod yn hygyrch o'r rhyngrwyd trwy'r enw parth yr ydych yn bwriadu cael y dystysgrif ar ei gyfer;
  2. Yn ystod gosod yr offeryn, fe wnaethoch chi hefyd osod ategyn ar gyfer Nginx neu Apache gan ddefnyddio'r gorchymyn priodol;
  3. Mae'r wal dân yn caniatáu cysylltiadau ar borthladdoedd 80 a 443. Os yw'r porthladdoedd hyn ar gau i gysylltiadau, ni fydd y gwasanaeth ar gael ar gyfer cysylltiadau sy'n dod i mewn. I gael rhagor o fanylion am weithrediad wal dân, buom yn trafod hyn yn yr erthygl ar gosod wal dân ar Linux.

Unwaith y bydd yr holl amodau wedi'u bodloni, gallwch symud ymlaen yn uniongyrchol i gyhoeddi tystysgrif. Byddwn yn ystyried y broses o gael tystysgrif SSL ar weinydd gan ddefnyddio Nginx fel enghraifft. Fodd bynnag, os ydych chi'n defnyddio gweinydd gwe Apache, mae'r broses yn union yr un fath.

I gael y dystysgrif, mae angen i chi nodi'r gorchymyn:

certbot --nginx # for Nginx
certbot --apache # for Apache

Mewn ymateb, bydd yr offeryn yn gofyn am: gyfeiriad e-bost, caniatâd i delerau defnyddio'r gwasanaeth Let's Encrypt, a chaniatâd i anfon e-byst ar ran y gwasanaeth a'i bartneriaid.

Cael Tystysgrif SSL ar gyfer Nginx ac Apache

Yn dilyn hynny, bydd angen i chi nodi'r enw parth y cyhoeddir y dystysgrif ar ei gyfer. Gall Certbot bennu'r parth yn awtomatig os cafodd ei nodi yn y gweinydd_name maes ar gyfer Nginx cyfluniad neu GweinyddwrName a ServerAlias ar gyfer Apache. Os na chaiff ei nodi, bydd y rhaglen yn eich hysbysu ac yn gofyn ichi nodi'r enw parth â llaw. Yna, bydd y cyfleustodau'n gofyn a ddylid galluogi ailgyfeirio ceisiadau o brotocol HTTP i HTTPS. I sefydlu ailgyfeirio awtomatig, dylech ddewis yr ail opsiwn:

Ailgyfeirio Ceisiadau o HTTP i HTTPS

Ar ôl peth amser, bydd Certbot yn eich hysbysu am gaffaeliad llwyddiannus y dystysgrif ar gyfer y parth penodedig. O'r pwynt hwn ymlaen, bydd yr holl gysylltiadau sy'n dod i mewn yn cael eu hailgyfeirio o borth 80 i 443. Bydd yr offeryn yn dangos y cyfeiriaduron lle gallwch ddod o hyd i'r holl ddata tystysgrif a manylion cyfrif Let's Encrypt:

Cyhoeddi Tystysgrif Certbot yn Llwyddiannus

Bydd y neges hefyd yn nodi cyfnod dilysrwydd y dystysgrif a gafwyd ac opsiynau pwysig ar gyfer rheoli'r holl dystysgrifau gweithredol:

  1. yn sicr. Defnyddir yr opsiwn hwn ar gyfer cael neu ddiweddaru'r dystysgrif heb gyfluniad gweinydd gwe awtomatig. Bydd Certbot ond yn gofyn am neu'n diweddaru'r dystysgrif ond ni fydd yn gwneud unrhyw newidiadau awtomatig i ffurfweddiad y gweinydd. Yn flaenorol, defnyddiwyd yr opsiwn hwn i gael tystysgrif heb fod ynghlwm wrth weinydd gwe.
  2. adnewyddu yn cael ei ddefnyddio ar gyfer adnewyddu awtomatig yr holl dystysgrifau a gafwyd trwy Certbot ac sydd o fewn eu cyfnod dilysrwydd. Bydd y rhaglen yn gwirio'r holl dystysgrifau, ac os bydd unrhyw un ohonynt yn dod i ben o fewn 30 diwrnod neu lai, bydd yn cael ei hadnewyddu'n awtomatig.

Nesaf yn y cyfarwyddiadau, byddwn yn trafod sut i sefydlu adnewyddiad awtomatig o dystysgrifau heb ymyrraeth defnyddiwr bob tri mis.

Adnewyddu Tystysgrif Awtomatig yn Certbot

Ar gyfer Debian/Ubuntu

Wrth ddefnyddio'r systemau gweithredu hyn, mae Certbot yn ychwanegu sgript yn awtomatig at y rhestr dasgau ar gyfer adnewyddu tystysgrifau gosod yn awtomatig. Gallwch wirio ymarferoldeb y sgript gyda'r gorchymyn canlynol:

systemctl status certbot.timer
Gwirio Statws y Gwasanaeth certbot.timer

Bydd yr ymateb yn dangos statws y gwasanaeth, yn ogystal â'r cyfeiriadur sy'n cynnwys y ffeil ffurfweddu. Gallwch agor hwn gan ddefnyddio unrhyw olygydd testun. Os nad ydych chi'n brofiadol gyda golygyddion testun yn Linux, rydym yn argymell ymgyfarwyddo â chi ein trosolwg o'r atebion mwyaf poblogaidd. Yn yr achos hwn, byddwn yn defnyddio nano:

nano /lib/systemd/system/certbot.timer
Gweld Ffurfweddiad certbot.timer

Amlygir yr holl baramedrau pwysig:

  1. Mae'r amserlen yn nodi y bydd y gwasanaeth yn rhedeg ddwywaith y dydd am 00:00 a 12:00;
  2. Mae ail werth yn dynodi oedi ar hap mewn eiliadau a fydd yn cael ei ychwanegu at gychwyn yr amserydd. Yn yr achos hwn, mae'n 43,200 eiliad (12 awr), sy'n gwneud y lansiad yn fwy ar hap ac yn lledaenu'r llwyth;
  3. Mae'r paramedr hwn yn sicrhau, pe bai'r amserydd i fod i gael ei weithredu yn ystod cau system, y bydd yn cael ei actifadu yn syth ar ôl ei gychwyn.

Gallwch hefyd redeg gwiriad gorfodol o adnewyddu tystysgrif gyda'r gorchymyn:

certbot renew --dry-run

Gan ddefnyddio'r gorchymyn hwn, ni fydd y tystysgrifau yn cael eu diweddaru. Yn lle hynny, bydd yr offeryn yn cyflawni gweithredoedd tebyg i gael tystysgrif pan ddaw i ben. Fel hyn, gallwch sicrhau ymarferoldeb y gwasanaeth o ran adnewyddu awtomatig.

Ar gyfer CentOS, Fedora, ac eraill

Mae'r broses o alluogi diweddariadau awtomatig ar systemau teulu Red Hat ychydig yn wahanol. Yn wahanol i Debian/Ubuntu, ar gyfer CentOS a systemau eraill, mae angen i chi ychwanegu tasg â llaw at yr amserlennydd. Ar gyfer hyn, byddwn yn defnyddio'r cron offeryn:

crontab -e

Yna, yn y ffeil sy'n agor, ychwanegwch y llinell ganlynol:

0 12 * * * /usr/bin/certbot renew --quiet

Gadewch i ni ddadansoddi prif ddadleuon y gorchymyn:

  1. Yr amser gweithredu. Yn yr achos hwn, bydd y gorchymyn yn rhedeg yn awtomatig am 12:00 bob dydd;
  2. Y gorchymyn i adnewyddu tystysgrifau SSL / TLS gan ddefnyddio Certbot;
  3. The --tawel baner yn atal allbwn, gan wneud y broses yn fwy cudd ac yn llai ymwthiol mewn logiau system neu arddangosiad.

Ar ôl ychwanegu'r gorchymyn, mae angen i chi arbed y newidiadau yn y ffeil.

Yn union fel gyda Debian/Ubuntu, gallwch hefyd gychwyn gwiriad gorfodol o adnewyddu tystysgrifau:

certbot renew --dry-run

Mae canlyniad gweithrediad llwyddiannus y gorchymyn yn edrych fel a ganlyn:

Canlyniad Gwiriad Llwyddiannus o'r Gorchymyn Adnewyddu

Casgliad

Rydym wedi archwilio'r broses gynhwysfawr o osod a ffurfweddu Certbot ar weinydd Linux. Trwy ddilyn y cyfarwyddiadau a ddarparwyd, gallwch gael tystysgrif SSL/TLS yn llwyddiannus gan Let's Encrypt, ei gosod ar eich gweinydd gwe, a ffurfweddu adnewyddiad awtomatig i sicrhau amddiffyniad parhaus a mwy o ymddiriedaeth yn eich adnodd gwe. Gyda Certbot, gallwch chi greu amgylchedd dibynadwy a diogel i ddefnyddwyr yn hawdd.

❮ Erthygl flaenorol Lleihau llwyth gweinydd
Erthygl nesaf ❯ Rheolwyr Pecynnau Linux

Gofynnwch i ni am VPS

Rydym bob amser yn barod i ateb eich cwestiynau ar unrhyw adeg o'r dydd neu'r nos.
ProfitServer
@profitserver
Ymunwch ar sianel