Certbot: Suiteáil Let's Encrypt Certificate

San Airteagal seo, déanfaimid iniúchadh ar an bpróiseas a shuiteáil agus a chumrú Certbot ar fhreastalaí Linux. Míneoimid go mion conas teastas SSL/TLS a chriptiú a fháil do d'fhearann. Déanfaimid cur síos freisin ar conas é a shuiteáil ar fhreastalaí gréasáin (cosúil le Nginx nó Apache) agus athnuachan deimhnithe uathoibríoch a chur ar bun chun nasc slán leanúnach a chinntiú le d'acmhainn gréasáin.

Certbot is uirlis foinse oscailte saor in aisce é atá deartha le haghaidh sealbhú agus athnuachan uathoibríoch Teastais SSL/TLS. Tá ról ríthábhachtach aige maidir leis an nasc idir an freastalaí agus an cliant a dhaingniú, ag cosaint sonraí ó rochtain neamhúdaraithe. Simplíonn Certbot próiseas suiteála agus athnuachana deimhnithe SSL. Ní hamháin go gcuireann an deimhniú le slándáil, ach cuireann sé le muinín úsáideoirí as d’acmhainn gréasáin freisin, rud a fheabhsaíonn clú an tsuímh agus a rátálacha inneall cuardaigh araon.

Suiteáil Certbot

Tá Certbot san áireamh sa chuid is mó dáileacháin de réir réamhshocraithe, mar sin é a shuiteáil air Debian / Ubuntu córais, ní gá duit ach an liosta pacáiste a nuashonrú:

apt update

Ansin, cuir tús leis an bpróiseas suiteála:

apt install certbot

Tacaíonn Certbot le forlíontáin a éascaíonn socrú agus cumraíocht an deimhnithe do fhreastalaí gréasáin. Chun na forlíontáin seo a shuiteáil, bain úsáid as an ordú comhfhreagrach:

apt install certbot python3-certbot-nginx # for Nginx
apt install certbot python3-certbot-apache # for Apache

An próiseas suiteála le haghaidh Red Hat córais (mar shampla RHEL, CentOS, Fedora) beagán difriúil. Ar dtús, ní mór duit an stór EPEL a chur leis:

yum install epel-release

Ansin suiteáil an uirlis:

yum install certbot

Mar an gcéanna, tá rogha ann breiseán a roghnú do fhreastalaí gréasáin ar leith:

yum install python3-certbot-nginx # for Nginx
yum install python3-certbot-apache # for Apache

Tar éis a shuiteáil, is féidir leat dul ar aghaidh láithreach chun an deimhniú a fháil.

Teastas SSL a fháil

San alt seo, déanfaimid plé ar an bpróiseas chun deimhniú a fháil go neamhspleách ar fhreastalaí gréasáin ar leith, agus ina dhiaidh sin déanfaimid cur síos ar an bpróiseas chun an deimhniú a shuiteáil do Nginx agus Apache. Mar sin féin, tá sé riachtanach ar dtús comhréir agus feidhmiúlacht an chláir a thuiscint. Dealraíonn sé mar seo a leanas:

certbot command option -d domain

Áirítear ar na príomhorduithe:

certbot certonly - Aisghabhann an deimhniú ach ní shuiteáiltear é.
certbot certificates - Taispeánann an t-ordú seo liosta de na teastais suiteáilte go léir.
certbot renew - Síneann sé an deimhniú atá ann cheana féin.
certbot revoke - Cúlghairtear an deimhniú atá ann cheana.
certbot delete - Scrios an deimhniú atá ann cheana féin.

Is iad na roghanna is coitianta a úsáidtear:

--nginx - Úsáideann scripteanna cumraíochta Nginx le haghaidh fíorú fearainn.
--apache - Úsáideann scripteanna cumraíochta Apache le haghaidh fíorú fearainn.
-d - Liosta de na fearainn a n-iarrtar an deimhniú.
--standalone - Úsáideann sé mód neamhspleách le haghaidh fíorú fearainn.
--manual - Déanann sé fíorú fearainn láimhe.

Níl anseo ach sampla de na horduithe agus na roghanna is minice. Is féidir leat eolas a chur ar liosta iomlán na gcumas cláir sa rannán cabhrach:

certbot –help

Leanaimid ar aghaidh anois chun an deimhniú a fháil. Mar shampla, gheobhaidh muid deimhniú le haghaidh a freastalaí fíorúil le haghaidh fearainn tríú leibhéal saor in aisce mar yourusername.pserver.space

Ar dtús, ní mór duit an t-ordú a chur isteach:

certbot certonly

Mar fhreagra air sin, iarrfaidh an áirgiúlacht ort modh a roghnú chun úinéireacht fearainn a fhíorú:

Tá an chéad rogha áisiúil mura bhfuil freastalaí gréasáin cumraithe agat nó mura dteastaíonn uait athruithe a dhéanamh ar cheann atá ann cheana féin. Cruthaíonn an modh seo freastalaí gréasáin sealadach chun do cheart ar an bhfearann ​​a dheimhniú. Tá sé oiriúnach le haghaidh socrú simplí agus tapa. Agus an modh seo á roghnú agat, tá sé tábhachtach port 80 a choinneáil saor in aisce.

Is fearr an dara rogha má tá freastalaí gréasáin ag feidhmiú agat cheana féin, agus gur mhaith leat é a úsáid chun ceart an fhearainn a fhíorú. Cuireann Certbot comhaid speisialta i bhfillteán ar do fhreastalaí, a sheiceálann an t-ionad deimhniúcháin ansin.

Roghnaimid an chéad rogha agus cliceáil ar seo chugainn. Ag an gcéim seo, beidh ort:

1. Cuir isteach seoladh ríomhphoist;
2. Aontú leis na téarmaí seirbhíse;
3. Aontú nó diúltú ríomhphoist a fháil thar ceann na cuideachta agus a comhpháirtithe;
4. Sonraigh an t-ainm fearainn ar eisíodh an deimhniú ina leith.

Tar éis an próiseas eisiúna teastais a chur i gcrích leis an uirlis Certbot, léireoidh sé an cosán chuig an eolaire ina stórálfar an teastas eisithe agus sonraí do chuntais:

Níl fágtha ach duit an deimhniú faighte a nascadh leis an tseirbhís riachtanach.

Suiteáil an Deimhniú le haghaidh Nginx nó Apache

Glactar leis sa chuid seo gur comhlíonadh bunchoinníollacha áirithe:

1. Tá freastalaí gréasáin suiteáilte agus cumraithe agat cheana féin, Nginx nó Apache. Caithfidh sé a bheith inrochtana ón idirlíon tríd an ainm fearainn a bhfuil sé ar intinn agat an deimhniú a fháil dó;
2. Le linn an uirlis a shuiteáil, shuiteáil tú breiseán freisin do Nginx nó Apache ag baint úsáide as an ordú cuí;
3. Ceadaíonn an balla dóiteáin naisc ar chalafoirt 80 agus 443. Má tá na calafoirt seo dúnta do naisc, ní bheidh an tseirbhís ar fáil do naisc ag teacht isteach. Le haghaidh tuilleadh sonraí ar oibriú balla dóiteáin, phléamar é seo san alt ar balla dóiteáin a bhunú ar Linux.

Nuair a shásaítear na coinníollacha go léir, féadfaidh tú dul ar aghaidh go díreach chuig eisiúint an deimhnithe. Déanfaimid machnamh ar an bpróiseas chun deimhniú SSL a fháil ar fhreastalaí ag baint úsáide as Nginx mar shampla. Mar sin féin, má tá freastalaí gréasáin Apache á úsáid agat, tá an próiseas go hiomlán comhionann.

Chun an deimhniú a fháil, ní mór duit an t-ordú a chur isteach:

certbot --nginx # for Nginx
certbot --apache # for Apache

Mar fhreagra air sin, iarrfaidh an uirlis: seoladh ríomhphoist, toiliú le téarmaí úsáide na seirbhíse Let's Encrypt, agus cead chun ríomhphoist a sheoladh thar ceann na seirbhíse agus a comhpháirtithe.

Ina dhiaidh sin, beidh ort an t-ainm fearainn a bhfuil an deimhniú eisithe ina leith a shonrú. Is féidir le Certbot an fearann ​​a chinneadh go huathoibríoch má shonraítear é sa server_name réimse le haghaidh Nginx cumraíocht nó Ainm Freastalaí agus FreastalaíAlias do Apache. Mura bhfuil sé sonraithe, cuirfidh an clár in iúl duit agus iarrfaidh ort an t-ainm fearainn a chur isteach de láimh. Ansin, fiafróidh an áirgiúlacht cibé an féidir iarratais a atreorú ó HTTP go prótacal HTTPS. Chun atreorú uathoibríoch a shocrú, ba cheart duit an dara rogha a roghnú:

Tar éis roinnt ama, cuirfidh Certbot ar an eolas thú faoi fháil rathúil an deimhnithe don fhearann ​​sonraithe. Ón bpointe seo ar aghaidh, déanfar gach nasc isteach a atreorú ó chalafoirt 80 go 443. Taispeánfaidh an uirlis na heolairí inar féidir leat teacht ar na sonraí deimhnithe go léir agus sonraí an chuntais Let's Encrypt:

Sonrófar sa teachtaireacht freisin tréimhse bailíochta an deimhnithe a fuarthas agus roghanna tábhachtacha chun gach deimhniú gníomhach a bhainistiú:

1. cinnte. Úsáidtear an rogha seo chun an deimhniú a fháil nó a nuashonrú gan cumraíocht uathoibríoch fhreastalaí gréasáin. Ní iarrfaidh nó nuashonróidh Certbot an teastas ach ní dhéanfaidh sé aon athruithe uathoibríocha ar chumraíocht an fhreastalaí. Roimhe seo, d'úsáideamar an rogha seo chun teastas a fháil gan a bheith ceangailte le freastalaí gréasáin.
2. athnuachan a úsáidtear chun athnuachan uathoibríoch a dhéanamh ar gach deimhniú a fuarthas trí Certbot agus atá laistigh dá dtréimhse bailíochta. Seiceálfaidh an clár gach deimhniú, agus má théann aon cheann acu in éag laistigh de 30 lá nó níos lú, déanfar é a athnuachan go huathoibríoch.

Ar aghaidh sna treoracha, déanfaimid plé ar conas athnuachan uathoibríoch deimhnithe a chur ar bun gan idirghabháil úsáideora gach trí mhí.

Athnuachan Teastais Uathoibríoch in Certbot

Le haghaidh Debian/Ubuntu

Agus na córais oibriúcháin seo á n-úsáid, cuireann Certbot script go huathoibríoch leis an liosta tascanna le haghaidh athnuachan uathoibríoch deimhnithe suiteáilte. Is féidir leat feidhmiúlacht na scripte a sheiceáil leis an ordú seo a leanas:

systemctl status certbot.timer

Taispeánfaidh an freagra stádas na seirbhíse, chomh maith leis an eolaire ina bhfuil an comhad cumraíochta. Is féidir leat é seo a oscailt le haon eagarthóir téacs. Mura bhfuil taithí agat ar eagarthóirí téacs i Linux, molaimid duit dul i dtaithí air ár forbhreathnú de na réitigh is coitianta. Sa chás seo, úsáidfimid nano:

nano /lib/systemd/system/certbot.timer

Aibhsítear na paraiméadair thábhachtacha go léir:

1. Léiríonn an sceideal go mbeidh an tseirbhís ar siúl dhá uair sa lá ag 00:00 agus 12:00;
2. Léiríonn luach eile moill randamach i soicindí a chuirfear le tosú an lasc ama. Sa chás seo, is é 43,200 soicind (12 uair an chloig), rud a fhágann go bhfuil an seoladh níos randamach agus a scaipeann an t-ualach;
3. Cinntíonn an paraiméadar seo dá mba rud é go raibh an t-amadóir ceaptha a bheith curtha i gcrích le linn múchadh an chórais, go gcuirfear i ngníomh é láithreach ar tosaithe.

Is féidir leat seiceáil éigeantach ar athnuachan teastais a rith leis an ordú:

certbot renew --dry-run

Leis an ordú seo, ní dhéanfar na teastais a nuashonrú. Ina ionad sin, déanfaidh an uirlis gníomhaíochtaí cosúil le deimhniú a fháil ar dhul in éag di. Ar an mbealach seo, is féidir leat feidhmiúlacht na seirbhíse a chinntiú maidir le hathnuachan uathoibríoch.

Do CentOS, Fedora, agus daoine eile

Tá difríocht bheag idir an próiseas chun nuashonruithe uathoibríocha a chumasú ar chórais teaghlaigh Red Hat. Murab ionann agus Debian/Ubuntu, i gcás CentOS agus córais eile, ní mór duit tasc a chur leis an sceidealóir de láimh. Chun seo, úsáidfimid an cron uirlis:

crontab -e

Ansin, sa chomhad a osclaíonn, cuir an líne seo a leanas leis:

0 12 * * * /usr/bin/certbot renew --quiet

Déanaimis príomhargóintí an ordaithe a bhriseadh síos:

1. An t-am forghníomhaithe. Sa chás seo, reáchtálfar an t-ordú go huathoibríoch ag 12:00 gach lá;
2. An t-ordú chun teastais SSL/TLS a athnuachan ag baint úsáide as Certbot;
3. An --ciúin cuireann bratach an t-aschur faoi chois, rud a fhágann go bhfuil an próiseas níos ceilte agus níos lú ionsáite i logaí córais nó taispeána.

Tar éis duit an t-ordú a chur leis, ní mór duit na hathruithe sa chomhad a shábháil.

Díreach mar atá le Debian/Ubuntu, is féidir leat seiceáil éigeantach ar athnuachan teastais a thionscnamh freisin:

certbot renew --dry-run

Breathnaíonn an toradh ar fhorghníomhú rathúil an ordaithe mar seo a leanas:

Conclúid

Tá iniúchadh déanta againn ar an bpróiseas cuimsitheach maidir le Certbot a shuiteáil agus a chumrú ar fhreastalaí Linux. Trí na treoracha a thugtar a leanúint, is féidir leat teastas SSL/TLS a fháil go rathúil ó Let's Encrypt, é a shuiteáil ar do fhreastalaí gréasáin, agus athnuachan uathoibríoch a chumrú chun cosaint leanúnach agus muinín mhéadaithe i d'acmhainn gréasáin a chinntiú. Le Certbot, is féidir leat timpeallacht iontaofa agus slán a chruthú go héasca d’úsáideoirí.