Certbot: Let's Encrypt Certificate instalatzea

Artikulu honetan, instalatzeko eta konfiguratzeko prozesua aztertuko dugu Certbot Linux zerbitzari batean. Xehetasunez azalduko dugu nola lortu Let's Encrypt SSL/TLS ziurtagiria zure domeinurako. Web zerbitzari batean (adibidez, Nginx edo Apache) nola instalatu deskribatuko dugu eta ziurtagirien berritze automatikoak konfiguratu zure web baliabidearekin etengabeko konexio segurua bermatzeko.

Certbot hau automatikoki eskuratzeko eta berritzeko diseinatutako kode irekiko doako tresna da SSL/TLS ziurtagiriak. Zerbitzariaren eta bezeroaren arteko konexioa ziurtatzeko eginkizun erabakigarria du, datuak baimenik gabeko sarbideetatik babestuz. Certbot-ek SSL ziurtagiriaren instalazio eta berritze prozesua errazten du. Ziurtagiriak segurtasuna hobetzen ez ezik, erabiltzaileen konfiantza ere areagotzen du zure web-baliabidearekiko, eta horrela, gunearen ospea eta bilatzaileen sailkapena hobetzen ditu.

Certbot instalatzen

Certbot banaketa gehienetan sartzen da lehenespenez, beraz, bertan instalatzeko Debian / Ubuntu sistemak, paketeen zerrenda eguneratu besterik ez duzu behar:

apt update

Ondoren, hasi instalazio-prozesua:

apt install certbot

Certbot-ek web zerbitzari baten ziurtagiriaren konfigurazioa eta konfigurazioa errazten duten pluginak onartzen ditu. Plugin hauek instalatzeko, erabili dagokion komandoa:

apt install certbot python3-certbot-nginx # for Nginx
apt install certbot python3-certbot-apache # for Apache

Instalazio-prozesua Red Hat sistemak (adibidez RHEL, CentOS, Fedora) zertxobait desberdina da. Hasieran, EPEL biltegia gehitu behar duzu:

yum install epel-release

Ondoren, instalatu tresna:

yum install certbot

Era berean, web zerbitzari jakin baterako plugin bat hautatzeko aukera dago:

yum install python3-certbot-nginx # for Nginx
yum install python3-certbot-apache # for Apache

Instalatu ondoren, berehala ziurtagiria lor dezakezu.

SSL ziurtagiria lortzea

Atal honetan, web zerbitzari zehatz batetik independenteki ziurtagiri bat lortzeko prozesua eztabaidatuko dugu, eta ondoren Nginx eta Apache-ren ziurtagiria instalatzeko prozesua deskribatuko dugu. Hala ere, ezinbestekoa da lehenik programaren sintaxia eta funtzionaltasuna ulertzea. Honela agertzen da:

certbot command option -d domain

Komando nagusiak hauek dira:

certbot certonly - Ziurtagiria berreskuratzen du baina ez du instalatzen.
certbot certificates - Komando honek instalatutako ziurtagiri guztien zerrenda bistaratzen du.
certbot renew - Lehendik dagoen ziurtagiria luzatzen du.
certbot revoke - Lehendik dagoen ziurtagiria baliogabetzen du.
certbot delete - Lehendik dagoen ziurtagiria ezabatzen du.

Gehien erabiltzen diren aukerak hauek dira:

--nginx - Nginx konfigurazio-scriptak erabiltzen ditu domeinua egiaztatzeko.
--apache - Apache konfigurazio-scriptak erabiltzen ditu domeinua egiaztatzeko.
-d - Ziurtagiria eskatzen den domeinuen zerrenda.
--standalone - Domeinua egiaztatzeko modu autonomoa erabiltzen du.
--manual - Eskuzko domeinuaren egiaztapena egiten du.

Hau komando eta aukeren adibide bat besterik ez da. Laguntza atalean programaren gaitasunen zerrenda osoa ezagutu dezakezu:

certbot –help

Orain ziurtagiria lortzen jarraituko dugu. Adibide gisa, ziurtagiri bat lortuko dugu zerbitzari birtuala Zure erabiltzaile-izena.pserver.space bezalako doako hirugarren mailako domeinu baterako

Lehenik eta behin, komandoa sartu behar duzu:

certbot certonly

Horren aurrean, domeinuaren jabetza egiaztatzeko metodo bat aukeratzeko eskatuko dizu utilitateak:

Lehen aukera erosoa da web zerbitzaririk konfiguratuta ez baduzu edo lehendik dagoen batean aldaketarik egin nahi ez baduzu. Metodo honek aldi baterako web zerbitzari bat sortzen du domeinurako zure eskubidea berresteko. Ezin hobea da konfigurazio sinple eta azkar baterako. Metodo hau aukeratzerakoan, garrantzitsua da 80 ataka libre edukitzea.

Bigarren aukera hobe da dagoeneko web zerbitzari bat funtzionatzen baduzu eta domeinurako eskubidea egiaztatzeko erabili nahi baduzu. Certbot-ek fitxategi bereziak jartzen ditu zure zerbitzariko karpeta batean, eta, ondoren, zentro ziurtatzaileak egiaztatzen ditu.

Lehenengo aukera aukeratu eta hurrengoa sakatuko dugu. Fase honetan, honako hau beharko duzu:

1. Sartu helbide elektroniko bat;
2. Onartu zerbitzu-baldintzak;
3. Enpresaren eta bere bazkideen izenean mezu elektronikoak jasotzeari adostasuna edo uko egitea;
4. Zehaztu ziurtagiria jaulki den domeinu-izena.

Certbot tresnarekin ziurtagiria jaulkitzeko prozesua amaitu ondoren, emandako ziurtagiria eta zure konturako datuak gordetzen diren direktoriorako bidea adieraziko du:

Lortutako ziurtagiria eskatutako zerbitzuarekin lotzea besterik ez da geratzen.

Nginx edo Apache-ren ziurtagiria instalatzea

Atal honek oinarrizko baldintza batzuk bete direla suposatzen du:

1. Dagoeneko instalatu eta konfiguratu duzu web zerbitzari bat, Nginx edo Apache. Ziurtagiria eskuratu nahi duzun domeinu-izenaren bidez Internetetik eskuragarri egon behar du;
2. Tresnaren instalazioan, Nginx edo Apacherako plugin bat ere instalatu duzu komando egokia erabiliz;
3. Suebakiak 80 eta 443 portuetan konexioak ahalbidetzen ditu. Portu horiek konexioetarako itxita badaude, zerbitzua ez da erabilgarri egongo sarrerako konexioetarako. Suebakiaren funtzionamenduari buruzko xehetasun gehiago lortzeko, honi buruzko artikuluan eztabaidatu dugu Linux-en suebaki bat konfiguratzea.

Baldintza guztiak betetzen direnean, zuzenean ziurtagiria ematera joan zaitezke. Nginx erabiliz zerbitzari batean SSL ziurtagiria lortzeko prozesua hartuko dugu adibide gisa. Hala ere, Apache web zerbitzari bat erabiltzen ari bazara, prozesua guztiz berdina da.

Ziurtagiria lortzeko, komandoa sartu behar duzu:

certbot --nginx # for Nginx
certbot --apache # for Apache

Horren harira, tresnak eskatuko ditu: helbide elektroniko bat, Let's Encrypt zerbitzuaren erabilera-baldintzen baimena eta zerbitzuaren eta bere bazkideen izenean mezu elektronikoak bidaltzeko baimena.

Horren ondoren, ziurtagiria jaulki den domeinu-izena zehaztu beharko duzu. Certbot-ek automatikoki zehaztu dezake domeinua dokumentuan zehaztu bazen server_name eremurako nginx konfigurazioa edo ServerName ServerAlias egiteko Apache. Zehazten ez bada, programak jakinaraziko dizu eta domeinu-izena eskuz sartzeko eskatuko dizu. Ondoren, utilitateak eskatuko du HTTP-tik HTTPS protokolorako eskaerak birbideratzea gaitu ala ez. Birbideratze automatikoa konfiguratzeko, bigarren aukera aukeratu behar duzu:

Denbora pixka bat igaro ondoren, Certbot-ek zehaztutako domeinurako ziurtagiria arrakastaz eskuratu izanaren berri emango dizu. Une honetatik aurrera, sarrerako konexio guztiak 80 atakatik 443ra birbideratuko dira. Tresnak ziurtagiriaren datu guztiak eta Let's Encrypt kontuaren xehetasunak aurki ditzakezun direktorioak bistaratuko ditu:

Mezuan, gainera, lortutako ziurtagiriaren balio-epea eta ziurtagiri aktibo guztiak kudeatzeko aukera garrantzitsuak zehaztuko dira:

1. zalantzarik gabe. Aukera hau web zerbitzariaren konfigurazio automatikorik gabe ziurtagiria lortzeko edo eguneratzeko erabiltzen da. Certbot-ek ziurtagiria soilik eskatu edo eguneratuko du, baina ez du aldaketa automatikorik egingo zerbitzariaren konfigurazioan. Aurretik, aukera hau erabiltzen genuen ziurtagiri bat lortzeko web zerbitzari bati lotuta egon gabe.
2. berritzeko Certbot-en bidez lortutako eta indarrean dauden ziurtagiri guztiak automatikoki berritzeko erabiltzen da. Programak ziurtagiri guztiak egiaztatuko ditu, eta horietakoren bat 30 egun edo gutxiagoko epean iraungitzen bada, automatikoki berrituko da.

Jarraian, argibideetan, hiru hilabetean behin ziurtagirien berritze automatikoa nola konfiguratu aztertuko dugu erabiltzaileen esku-hartzerik gabe.

Ziurtagiriaren berritze automatikoa Certbot-en

Debian/Ubunturako

Sistema eragile hauek erabiltzean, Certbot-ek automatikoki gehitzen du script bat zereginen zerrendan instalatutako ziurtagiriak automatikoki berritzeko. Scriptaren funtzionaltasuna egiazta dezakezu komando honekin:

systemctl status certbot.timer

Erantzunak zerbitzuaren egoera bistaratuko du, baita konfigurazio fitxategia duen direktorioa ere. Hau edozein testu-editore erabiliz ireki dezakezu. Linux-en testu-editoreekin esperientziarik ez baduzu, ezagutzea gomendatzen dizugu gure ikuspegi orokorra irtenbide ezagunenetakoa. Kasu honetan, nano erabiliko dugu:

nano /lib/systemd/system/certbot.timer

Parametro garrantzitsu guztiak nabarmentzen dira:

1. Ordutegiak adierazten du zerbitzua egunean bi aldiz martxan jarriko dela 00:00etan eta 12:00etan;
2. Bigarren balio batek tenporizadorearen abiarazteari gehituko zaion segundotan ausazko atzerapena adierazten du. Kasu honetan, 43,200 segundo (12 ordu) da, eta horrek abiarazte ausazkoagoa egiten du eta karga zabaltzen du;
3. Parametro honek ziurtatzen du sistema itzaltzean tenporizadorea exekutatu behar bazen, abiaraztean berehala aktibatuko dela.

Ziurtagiria berritzearen behartutako egiaztapena ere egin dezakezu komandoarekin:

certbot renew --dry-run

Komando hau erabiliz, ziurtagiriak ez dira eguneratuko. Horren ordez, tresnak iraungitzean ziurtagiri bat lortzearen antzeko ekintzak egingo ditu. Horrela, zerbitzuaren funtzionaltasuna bermatu dezakezu berritze automatikoari dagokionez.

CentOS, Fedora eta beste batzuentzat

Red Hat familiako sistemetan eguneratze automatikoak gaitzeko prozesua zertxobait desberdina da. Debian/Ubuntu ez bezala, CentOS eta beste sistemetarako, ataza bat eskuz gehitu behar duzu programatzailean. Horretarako, erabiliko dugu cron tresna:

crontab -e

Ondoren, irekitzen den fitxategian, gehitu lerro hau:

0 12 * * * /usr/bin/certbot renew --quiet

Apur ditzagun komandoaren argumentu nagusiak:

1. Exekuzio denbora. Kasu honetan, komandoa automatikoki abiaraziko da egunero 12:00etan;
2. SSL/TLS ziurtagiriak Certbot erabiliz berritzeko komandoa;
3. The --lasai banderak irteera kentzen du, prozesua ezkutatuagoa eta intrusibagoa bihurtuz sistemaren erregistroetan edo pantailan.

Komandoa gehitu ondoren, aldaketak fitxategian gorde behar dituzu.

Debian/Ubunturekin gertatzen den bezala, ziurtagirien berritzeen egiaztapen behartua ere has dezakezu:

certbot renew --dry-run

Komandoaren exekuzio arrakastatsuaren emaitza honakoa da:

Ondorioa

Certbot Linux zerbitzari batean instalatzeko eta konfiguratzeko prozesu osoa aztertu dugu. Emandako argibideei jarraituz, Let's Encrypt-en SSL/TLS ziurtagiri bat lor dezakezu, zure web zerbitzarian instalatu eta berritze automatikoa konfiguratu dezakezu etengabe babesa eta zure web baliabidean konfiantza areagotzeko. Certbot-ekin, erabiltzaileentzako ingurune fidagarria eta segurua erraz sor dezakezu.