En ĉi tiu artikolo, ni esploros la procezon de instalado kaj agordo Certbot sur Linuksa servilo. Ni klarigos detale kiel akiri Let's Encrypt SSL/TLS-atestilon por via domajno. Ni ankaŭ priskribos kiel instali ĝin sur retservilo (kiel Nginx aŭ Apache) kaj starigos aŭtomatajn atestilajn renovigojn por certigi daŭran sekuran konekton kun via retrimedo.
Certbot estas senpaga, malfermfonta ilo dizajnita por la aŭtomata akiro kaj renovigo de SSL/TLS atestiloj. Ĝi ludas decidan rolon en sekurigado de la ligo inter la servilo kaj la kliento, protektante datumojn kontraŭ neaŭtorizita aliro. Certbot simpligas la instaladon kaj renovigan procezon de SSL-atestilo. La atestilo ne nur plibonigas sekurecon, sed ĝi ankaŭ plifortigas la fidon de uzantoj en via retrimedo, tiel plibonigante kaj la reputacion de la retejo kaj ĝiajn serĉilojn.
Instalante Certbot
Certbot estas inkluzivita en la plej multaj distribuoj defaŭlte, do instali ĝin Debiano / Ubuntu sistemoj, vi nur bezonas ĝisdatigi la pakliston:
apt updatePoste, komencu la instalan procezon:
apt install certbotCertbot subtenas kromaĵojn, kiuj faciligas la agordon kaj agordon de la atestilo por retservilo. Por instali ĉi tiujn kromaĵojn, uzu la respondan komandon:
apt install certbot python3-certbot-nginx # for Nginx
apt install certbot python3-certbot-apache # for ApacheLa instala procezo por ruĝa Ĉapelo sistemoj (kiel ekzemple RELO, CentOS, Fedora) estas iomete malsama. Komence, vi devas aldoni la EPEL-deponejon:
yum install epel-releasePoste instalu la ilon:
yum install certbotSimile, ekzistas opcio por elekti kromprogramon por specifa retservilo:
yum install python3-certbot-nginx # for Nginx
yum install python3-certbot-apache # for ApachePost instalado, vi povas tuj akiri la atestilon.
Akirante SSL-Atestilon
En ĉi tiu sekcio, ni diskutos la procezon akiri atestilon sendepende de specifa retservilo, sekvita de priskribado de la procezo de instalo de la atestilo por Nginx kaj Apache. Tamen, estas esence unue kompreni la sintakson kaj funkciecon de la programo. Ĝi aperas jene:
certbot command option -d domainLa ĉefaj komandoj inkluzivas:
certbot certonly - Prenas la atestilon sed ne instalas ĝin.certbot certificates - Ĉi tiu komando montras liston de ĉiuj instalitaj atestiloj.certbot renew - Etendas la ekzistantan atestilon.certbot revoke - Revokas la ekzistantan atestilon.certbot delete - Forigas la ekzistantan atestilon.
La plej ofte uzataj opcioj estas:
--nginx - Uzas agordajn skriptojn de Nginx por domajna konfirmo.--apache - Uzas Apache-agordajn skriptojn por domajna konfirmo.-d - Listo de domajnoj por kiuj la atestilo estas petita.--standalone - Uzas memstaran reĝimon por domajna konfirmo.--manual - Elfaras manan domajnan konfirmon.
Ĉi tio estas nur ekzemplo de la plej oftaj komandoj kaj opcioj. Vi povas konatiĝi kun la plena listo de programaj kapabloj en la helpsekcio:
certbot –help
Ni nun daŭrigas akiri la atestilon. Ekzemple, ni akiros atestilon por a virtuala servilo por senpaga trianivela domajno kiel viauzantnomo.pserver.spaco
Unue, vi devas enigi la komandon:
certbot certonlyEn respondo, la utileco petos vin elekti metodon por kontroli domajnan proprieton:
La unua opcio estas oportuna se vi ne havas agordita retservilo aŭ vi ne volas fari ŝanĝojn al ekzistanta. Ĉi tiu metodo kreas provizoran retservilon por konfirmi vian rajton al la domajno. Ĝi estas ideala por simpla kaj rapida aranĝo. Elektante ĉi tiun metodon, gravas konservi la havenon 80 libera.
La dua opcio estas preferinda se vi jam havas retservilon funkciantan, kaj vi volas uzi ĝin por kontroli la rajton al la domajno. Certbot metas specialajn dosierojn en dosierujon sur via servilo, kiuj tiam estas kontrolitaj de la atestanta centro.
Ni elektas la unuan opcion kaj alklaku sekva. En ĉi tiu etapo, vi devos:
- Enigu retadreson;
- Konsentu la terminojn de servo;
- Konsenti aŭ rifuzi ricevi retpoŝtojn nome de la kompanio kaj ĝiaj partneroj;
- Indiku la domajnan nomon por kiu la atestilo estas eldonita.
Post kompletigado de la procezo de emisio de atestilo per la ilo Certbot, ĝi indikos la vojon al la dosierujo kie estas konservitaj la eldonita atestilo kaj la datumoj por via konto:
Restas nur ke vi ligu la akiritan atestilon al la postulata servo.
Instalante la Atestilon por Nginx aŭ Apache
Tiu sekcio supozas ke certaj fundamentaj kondiĉoj estis renkontitaj:
- Vi jam instalis kaj agordis retservilon, ĉu Nginx aŭ Apache. Ĝi devas esti alirebla de la interreto per la domajna nomo por kiu vi intencas akiri la atestilon;
- Dum la instalado de la ilo, vi ankaŭ instalis kromaĵon por Nginx aŭ Apache uzante la taŭgan komandon;
- La fajroŝirmilo permesas konektojn sur havenoj 80 kaj 443. Se ĉi tiuj havenoj estas fermitaj al konektoj, la servo estos neatingebla por envenantaj konektoj. Por pliaj detaloj pri fajroŝirmila operacio, ni diskutis ĉi tion en la artikolo pri starigi fajroŝirmilon en Linukso.
Post kiam ĉiuj kondiĉoj estas kontentigitaj, vi povas rekte daŭrigi al la atestilo. Ni konsideros la procezon akiri SSL-atestilon sur servilo uzante Nginx kiel ekzemplon. Tamen, se vi uzas Apache-retservilon, la procezo estas tute identa.
Por akiri la atestilon, vi devas enigi la komandon:
certbot --nginx # for Nginx
certbot --apache # for ApacheResponde, la ilo petos: retpoŝtadreson, konsenton pri la uzkondiĉoj de la servo Let's Encrypt kaj permeson sendi retmesaĝojn nome de la servo kaj ĝiaj partneroj.
Post tio, vi devos specifi la domajnan nomon por kiu la atestilo estas eldonita. Certbot povas aŭtomate determini la domajnon se ĝi estis specifita en la servilo_nomo kampo por Nginx agordo aŭ Servila Nomo kaj ServerAlias por Apache. Se ĝi ne estas specifita, la programo sciigos vin kaj petos vin enigi la domajnan nomon permane. Tiam, la utileco demandos ĉu ebligi alidirektado de petoj de HTTP al HTTPS-protokolo. Por agordi aŭtomatan alidirekton, vi devus elekti la duan opcion:
Post iom da tempo, Certbot informos vin pri la sukcesa akiro de la atestilo por la specifita domajno. De ĉi tiu punkto antaŭen, ĉiuj envenantaj konektoj estos alidirektitaj de la haveno 80 al 443. La ilo montros la dosierujojn en kiuj vi povas trovi ĉiujn atestilajn datumojn kaj la detalojn de la konto Ni Ĉifri:
La mesaĝo ankaŭ specifos la validecperiodon de la akirita atestilo kaj gravajn eblojn por administri ĉiujn aktivajn atestojn:
- certe. Ĉi tiu opcio estas uzata por akiri aŭ ĝisdatigi la atestilon sen aŭtomata retservila agordo. Certbot nur petos aŭ ĝisdatigos la atestilon sed ne faros ajnajn aŭtomatajn ŝanĝojn al la servila agordo. Antaŭe, ni uzis ĉi tiun opcion por akiri atestilon sen esti ligitaj al retservilo.
- renovigi estas uzata por la aŭtomata renovigo de ĉiuj atestiloj, kiuj estis akiritaj per Certbot kaj estas en sia validecperiodo. La programo kontrolos ĉiujn atestojn, kaj se iu el ili eksvalidiĝos ene de 30 tagoj aŭ malpli, ĝi estos aŭtomate renovigita.
Poste en la instrukcioj ni diskutos kiel agordi la aŭtomatan renovigon de atestiloj sen interveno de la uzanto ĉiujn tri monatojn.
Aŭtomata Renovigo de Atestilo en Certbot
Por Debian/Ubuntu
Kiam vi uzas ĉi tiujn operaciumojn, Certbot aŭtomate aldonas skripton al la taskolisto por aŭtomata renovigo de instalitaj atestiloj. Vi povas kontroli la funkciojn de la skripto per la sekva komando:
systemctl status certbot.timer
La respondo montros la staton de la servo, same kiel la dosierujon enhavantan la agordan dosieron. Vi povas malfermi ĉi tion per iu ajn tekstredaktilo. Se vi ne estas sperta pri tekstredaktiloj en Linukso, ni rekomendas konatiĝi kun vi nia superrigardo el la plej popularaj solvoj. En ĉi tiu kazo, ni uzos nano:
nano /lib/systemd/system/certbot.timer
Ĉiuj gravaj parametroj estas emfazitaj:
- La horaro indikas, ke la servo funkcios dufoje tage je 00:00 kaj 12:00;
- Dua valoro indikas hazardan prokraston en sekundoj, kiu estos aldonita al la komenco de la tempigilo. En ĉi tiu kazo, ĝi estas 43,200 sekundoj (12 horoj), kio faras la lanĉon pli hazarda kaj disvastigas la ŝarĝon;
- Ĉi tiu parametro certigas, ke se la tempigilo laŭsupoze estis ekzekutita dum sistemĉesigo, ĝi estos aktivigita tuj post ekfunkciigo.
Vi ankaŭ povas fari malvolan kontrolon pri renovigo de atestilo per la komando:
certbot renew --dry-runUzante ĉi tiun komandon, la atestiloj ne estos ĝisdatigitaj. Anstataŭe, la ilo faros agojn similajn al akiro de atestilo post sia eksvalidiĝo. Tiel vi povas certigi la funkcion de la servo rilate aŭtomatan renovigon.
Por CentOS, Fedora kaj aliaj
La procezo de ebligo de aŭtomataj ĝisdatigoj sur Red Hat-familiaj sistemoj iomete malsamas. Male al Debian/Ubuntu, por CentOS kaj aliaj sistemoj, vi devas mane aldoni taskon al la planilo. Por tio, ni uzos la cron ilo:
crontab -ePoste, en la dosiero kiu malfermiĝas, aldonu la sekvan linion:
0 12 * * * /usr/bin/certbot renew --quietNi malkonstruu la ĉefajn argumentojn de la komando:
- La ekzekuttempo. En ĉi tiu kazo, la komando aŭtomate ruliĝos je 12:00 ĉiutage;
- La komando por renovigi SSL/TLS-atestilojn uzante Certbot;
- la --kviete flago subpremas produktaĵon, igante la procezon pli kaŝita kaj malpli trudema en sistemaj protokoloj aŭ ekrano.
Post aldoni la komandon, vi devas konservi la ŝanĝojn en la dosiero.
Same kiel ĉe Debian/Ubuntu, vi ankaŭ povas iniciati devigan kontrolon de atestrenovigo:
certbot renew --dry-runLa rezulto de sukcesa plenumo de la komando aspektas jene:
konkludo
Ni esploris la ampleksan procezon instali kaj agordi Certbot sur Linuksa servilo. Sekvante la provizitajn instrukciojn, vi povas sukcese akiri SSL/TLS-atestilon de Let's Encrypt, instali ĝin sur via retservilo kaj agordi aŭtomatan renovigon por certigi daŭran protekton kaj pliigitan fidon al via retrimedo. Kun Certbot, vi povas facile krei fidindan kaj sekuran medion por uzantoj.
