Certbot: Let's Encrypt sertifikaadi installimine

Selles artiklis uurime installimise ja konfigureerimise protsessi Certbot Linuxi serveris. Selgitame üksikasjalikult kuidas hankida Let's Encrypt SSL/TLS sertifikaati teie domeeni jaoks. Samuti kirjeldame, kuidas seda installida veebiserverisse (nt Nginx või Apache) ja seadistada automaatsed sertifikaatide uuendamised, et tagada pidev turvaline ühendus teie veebiressursiga.

Certbot on tasuta avatud lähtekoodiga tööriist, mis on loodud automaatseks hankimiseks ja uuendamiseks SSL/TLS sertifikaadid. See mängib üliolulist rolli serveri ja kliendi vahelise ühenduse kindlustamisel, kaitstes andmeid volitamata juurdepääsu eest. Certbot lihtsustab SSL-sertifikaadi installimist ja uuendamist. Sertifikaat mitte ainult ei suurenda turvalisust, vaid suurendab ka kasutajate usaldust teie veebiressursi vastu, parandades seeläbi nii saidi mainet kui ka selle paremusjärjestust otsingumootorites.

Certboti installimine

Certbot on vaikimisi enamikus distributsioonides kaasas, nii et selle installimiseks Debian / Ubuntu süsteemid, peate värskendama ainult pakettide loendit:

apt update

Seejärel käivitage installiprotsess:

apt install certbot

Certbot toetab pistikprogramme, mis hõlbustavad veebiserveri sertifikaadi seadistamist ja konfigureerimist. Nende pistikprogrammide installimiseks kasutage vastavat käsku:

apt install certbot python3-certbot-nginx # for Nginx
apt install certbot python3-certbot-apache # for Apache

Paigaldusprotsess jaoks Red Hat süsteemid (nagu RHEL, CentOS, Fedora) on veidi erinev. Esialgu peate lisama EPEL-i hoidla:

yum install epel-release

Seejärel installige tööriist:

yum install certbot

Samamoodi on võimalus valida konkreetse veebiserveri jaoks pistikprogramm:

yum install python3-certbot-nginx # for Nginx
yum install python3-certbot-apache # for Apache

Pärast installimist saate kohe jätkata sertifikaadi hankimist.

SSL-sertifikaadi saamine

Selles jaotises käsitleme sertifikaadi hankimise protsessi konkreetsest veebiserverist sõltumatult, millele järgneb Nginxi ja Apache'i sertifikaadi installimise protsessi kirjeldus. Siiski on esmalt oluline mõista programmi süntaksit ja funktsioone. See näeb välja järgmine:

certbot command option -d domain

Peamised käsud hõlmavad järgmist:

certbot certonly - Toob sertifikaadi, kuid ei installi seda.
certbot certificates - See käsk kuvab kõigi installitud sertifikaatide loendi.
certbot renew - Laiendab olemasolevat sertifikaati.
certbot revoke - tühistab olemasoleva sertifikaadi.
certbot delete - Kustutab olemasoleva sertifikaadi.

Kõige sagedamini kasutatavad valikud on:

--nginx - Kasutab domeeni kinnitamiseks Nginxi konfiguratsiooniskripte.
--apache - Kasutab domeeni kinnitamiseks Apache konfiguratsiooniskripte.
-d - Domeenide loend, mille jaoks sertifikaati taotletakse.
--standalone - Kasutab domeeni kinnitamiseks eraldiseisvat režiimi.
--manual - Teostab domeeni käsitsi kontrollimist.

See on vaid näide kõige sagedamini kasutatavatest käskudest ja suvanditest. Programmi võimaluste täieliku loendiga saate tutvuda jaotises Abi:

certbot –help

Nüüd jätkame sertifikaadi hankimist. Näitena saame tunnistuse a Virtuaalne server tasuta kolmanda taseme domeeni jaoks, nagu teiekasutajanimi.pserver.space

Esiteks peate sisestama käsu:

certbot certonly

Vastuseks palub utiliit teil valida domeeni omandiõiguse kontrollimise meetodi:

Esimene võimalus on mugav, kui teil pole konfigureeritud veebiserverit või te ei soovi olemasolevas serveris muudatusi teha. See meetod loob ajutise veebiserveri, et kinnitada teie õigust domeenile. See on ideaalne lihtsaks ja kiireks seadistamiseks. Selle meetodi valimisel on oluline hoida port 80 vabana.

Teine võimalus on eelistatav, kui teil juba töötab veebiserver ja soovite seda kasutada domeeniõiguse kontrollimiseks. Certbot paigutab teie serveri kausta spetsiaalsed failid, mida seejärel kontrollib sertifitseerimiskeskus.

Valime esimese valiku ja klõpsame edasi. Selles etapis peate:

1. Sisestage e-posti aadress;
2. Nõustuge teenusetingimustega;
3. Nõustuma või keelduma e-kirjade vastuvõtmisest ettevõtte ja selle partnerite nimel;
4. Määrake domeeninimi, mille jaoks sertifikaat väljastatakse.

Pärast Certboti tööriistaga sertifikaadi väljastamise protsessi lõpetamist näitab see tee kataloogi, kuhu väljastatud sertifikaat ja teie konto andmed salvestatakse:

Teil jääb üle vaid linkida saadud sertifikaat vajaliku teenusega.

Nginxi või Apache sertifikaadi installimine

See jaotis eeldab, et teatud põhitingimused on täidetud:

1. Olete juba installinud ja konfigureerinud veebiserveri, kas Nginxi või Apache. See peab olema Internetist juurdepääsetav domeeninime kaudu, mille jaoks kavatsete sertifikaadi hankida;
2. Tööriista installimise ajal installisite vastava käsu abil ka Nginxi või Apache'i pistikprogrammi;
3. Tulemüür lubab ühendusi pordides 80 ja 443. Kui need pordid on ühendustele suletud, ei ole teenus sissetulevate ühenduste jaoks saadaval. Tulemüüri toimimise kohta lisateabe saamiseks arutasime seda artiklis tulemüüri seadistamine Linuxis.

Kui kõik tingimused on täidetud, võite jätkata otse sertifikaadi väljaandmisega. Vaatleme Nginxi näitel serveris SSL-sertifikaadi hankimise protsessi. Kui aga kasutate Apache veebiserverit, on protsess täiesti identne.

Sertifikaadi saamiseks peate sisestama käsu:

certbot --nginx # for Nginx
certbot --apache # for Apache

Vastuseks küsib tööriist: meiliaadressi, nõusolekut teenuse Let's Encrypt kasutustingimustega ning luba saata teenuse ja selle partnerite nimel e-kirju.

Pärast seda peate määrama domeeninime, mille jaoks sertifikaat väljastatakse. Certbot saab domeeni automaatselt määrata, kui see on määratud server_nimi välja jaoks nginx konfiguratsioon või Serveri nimi ja ServerAlias eest Apache. Kui see pole määratud, annab programm sellest teada ja palub domeeninime käsitsi sisestada. Seejärel küsib utiliit, kas lubada päringute ümbersuunamine HTTP-lt HTTPS-protokolli. Automaatse ümbersuunamise seadistamiseks peaksite valima teise valiku:

Mõne aja pärast teavitab Certbot teid määratud domeeni sertifikaadi edukast omandamisest. Sellest hetkest alates suunatakse kõik sissetulevad ühendused ümber pordist 80 443. Tööriist kuvab kataloogid, kust leiate kõik sertifikaadi andmed ja konto Let's Encrypt üksikasjad:

Samuti täpsustatakse sõnumis hangitud sertifikaadi kehtivusaeg ja olulised valikud kõigi aktiivsete sertifikaatide haldamiseks:

1. kindlasti. Seda suvandit kasutatakse sertifikaadi hankimiseks või värskendamiseks ilma automaatse veebiserveri konfiguratsioonita. Certbot taotleb või värskendab ainult sertifikaati, kuid ei tee serveri konfiguratsioonis automaatseid muudatusi. Varem kasutasime seda võimalust sertifikaadi saamiseks ilma veebiserveriga sidumata.
2. uuendama kasutatakse kõigi Certboti kaudu hangitud ja nende kehtivusaja sees olevate sertifikaatide automaatseks uuendamiseks. Programm kontrollib kõiki sertifikaate ja kui mõni neist aegub 30 päeva jooksul või vähem, uuendatakse seda automaatselt.

Järgmisena käsitleme juhendis, kuidas seadistada sertifikaatide automaatne uuendamine ilma kasutaja sekkumiseta iga kolme kuu tagant.

Sertifikaadi automaatne uuendamine Certbotis

Debiani/Ubuntu jaoks

Nende operatsioonisüsteemide kasutamisel lisab Certbot installitud sertifikaatide automaatseks uuendamiseks ülesannete loendisse automaatselt skripti. Skripti funktsionaalsust saate kontrollida järgmise käsuga:

systemctl status certbot.timer

Vastuses kuvatakse teenuse olek ja konfiguratsioonifaili sisaldav kataloog. Saate selle avada mis tahes tekstiredaktoriga. Kui teil pole Linuxi tekstiredaktorite kasutamise kogemust, soovitame nendega tutvuda meie ülevaade kõige populaarsematest lahendustest. Sel juhul kasutame nano:

nano /lib/systemd/system/certbot.timer

Kõik olulised parameetrid on esile tõstetud:

1. Graafik näitab, et teenus hakkab käima kaks korda päevas kell 00:00 ja 12:00;
2. Teine väärtus näitab juhuslikku viivitust sekundites, mis lisatakse taimeri käivitumisele. Sel juhul on see 43,200 12 sekundit (XNUMX tundi), mis muudab stardi juhuslikumaks ja hajutab koormust;
3. See parameeter tagab, et kui taimer pidi käivitama süsteemi väljalülitamise ajal, aktiveeritakse see kohe pärast käivitamist.

Sertifikaadi uuendamise sunnitud kontrolli saate käivitada ka käsuga:

certbot renew --dry-run

Seda käsku kasutades sertifikaate ei värskendata. Selle asemel teostab tööriist selle kehtivusaja lõppedes sertifikaadi saamisega sarnaseid toiminguid. Nii saate tagada teenuse automaatse uuendamise funktsionaalsuse.

CentOS-i, Fedora ja teiste jaoks

Red Hati perekonna süsteemide automaatsete värskenduste lubamise protsess erineb veidi. Erinevalt Debianist/Ubuntust tuleb CentOS-i ja muude süsteemide puhul ülesande planeerijasse käsitsi lisada. Selleks kasutame cron vahend:

crontab -e

Seejärel lisage avanevas failis järgmine rida:

0 12 * * * /usr/bin/certbot renew --quiet

Jagame käsu peamised argumendid:

1. Täitmise aeg. Sel juhul käivitatakse käsk automaatselt iga päev kell 12:00;
2. SSL/TLS-sertifikaatide uuendamise käsk Certboti abil;
3. . -- vaikne lipp pärsib väljundi, muutes protsessi peidetumaks ja süsteemi logidesse või kuvadesse vähem sekkuvaks.

Pärast käsu lisamist peate faili muudatused salvestama.

Nii nagu Debiani/Ubuntu puhul, saate algatada ka sertifikaatide uuendamise sunnitud kontrolli:

certbot renew --dry-run

Käsu eduka täitmise tulemus näeb välja järgmine:

Järeldus

Oleme uurinud Certboti Linuxi serverisse installimise ja konfigureerimise kõikehõlmavat protsessi. Järgides antud juhiseid, saate edukalt hankida Let's Encrypti SSL/TLS sertifikaadi, installida selle oma veebiserverisse ja konfigureerida automaatse uuendamise, et tagada pidev kaitse ja suurem usaldus oma veebiressursi vastu. Certbotiga saate hõlpsasti luua kasutajatele usaldusväärse ja turvalise keskkonna.