Nan atik sa a, nou pral eksplore pwosesis pou enstale ak konfigirasyon Certbot sou yon sèvè Linux. Nou pral eksplike an detay kòman pou w jwenn yon sètifika Let's Encrypt SSL/TLS pou domèn ou. Nou pral dekri tou kijan pou enstale li sou yon sèvè entènèt (tankou Nginx oswa Apache) epi mete kanpe renouvèlman sètifika otomatik pou asire yon koneksyon an sekirite kontinyèl ak resous entènèt ou a.
Certbot se yon zouti gratis, louvri-sous ki fèt pou akizisyon otomatik ak renouvèlman Sètifika SSL/TLS. Li jwe yon wòl enpòtan nan sekirize koneksyon ki genyen ant sèvè a ak kliyan an, pwoteje done kont aksè san otorizasyon. Certbot senplifye pwosesis enstalasyon ak renouvèlman yon sètifika SSL. Non sèlman sètifika a amelyore sekirite, men li tou ranfòse konfyans itilizatè yo nan resous entènèt ou a, kidonk amelyore ni repitasyon sit la ak klasman motè rechèch li yo.
Enstale Certbot
Certbot enkli nan pifò distribisyon pa default, kidonk enstale li sou Debian / Ubuntu sistèm yo, ou sèlman bezwen mete ajou lis pake a:
apt updateLè sa a, kòmanse pwosesis enstalasyon an:
apt install certbotCertbot sipòte grefon ki fasilite konfigirasyon ak konfigirasyon sètifika a pou yon sèvè entènèt. Pou enstale grefon sa yo, sèvi ak lòd ki koresponn lan:
apt install certbot python3-certbot-nginx # for Nginx
apt install certbot python3-certbot-apache # for ApachePwosesis enstalasyon an pou Wouj Hat sistèm (tankou rhel, CentOS, Feutr) se yon ti kras diferan. Okòmansman, ou bezwen ajoute repozitwa EPEL la:
yum install epel-releaseLè sa a, enstale zouti a:
yum install certbotMenm jan an tou, gen yon opsyon pou chwazi yon plugin pou yon sèvè entènèt espesifik:
yum install python3-certbot-nginx # for Nginx
yum install python3-certbot-apache # for ApacheApre enstalasyon, ou ka imedyatman kontinye jwenn sètifika a.
Jwenn yon Sètifika SSL
Nan seksyon sa a, nou pral diskite sou pwosesis la pou jwenn yon sètifika poukont yon sèvè entènèt espesifik, ki te swiv pa dekri pwosesis la nan enstale sètifika a pou Nginx ak Apache. Sepandan, li esansyèl anvan pou konprann sentaks ak fonksyonalite pwogram nan. Li parèt jan sa a:
certbot command option -d domainKòmandman prensipal yo enkli:
certbot certonly - Rekipere sètifika a men li pa enstale li.certbot certificates - Kòmandman sa a montre yon lis tout sètifika ki enstale.certbot renew - Pwolonje sètifika ki deja egziste a.certbot revoke - Anile sètifika ki deja egziste a.certbot delete - Efase sètifika ki deja egziste a.
Opsyon ki pi souvan itilize yo se:
--nginx - Itilize scripts konfigirasyon Nginx pou verifikasyon domèn.--apache - Sèvi ak scripts konfigirasyon Apache pou verifikasyon domèn.-d - Yon lis domèn pou yo mande sètifika a.--standalone - Itilize mòd otonòm pou verifikasyon domèn.--manual - Fè verifikasyon domèn manyèl.
Sa a se jis yon egzanp kòmandman yo ak opsyon ki pi souvan. Ou ka familyarize w ak lis konplè kapasite pwogram nan nan seksyon èd la:
certbot –help
Kounye a nou kontinye jwenn sètifika a. Kòm yon egzanp, nou pral jwenn yon sètifika pou yon sèvè vityèl pou yon domèn twazyèm-nivo gratis tankou yourusername.pserver.space
Premyèman, ou bezwen antre nan lòd la:
certbot certonlyKòm repons, sèvis piblik la ap mande w pou w chwazi yon metòd pou verifye pwopriyetè domèn:
Premye opsyon a se pratik si ou pa gen yon sèvè entènèt configuré oswa ou pa vle fè chanjman nan yon sèl ki deja egziste. Metòd sa a kreye yon sèvè entènèt tanporè pou konfime dwa w nan domèn nan. Li se ideyal pou yon konfigirasyon senp ak rapid. Lè w ap chwazi metòd sa a, li enpòtan pou kenbe pò 80 gratis.
Dezyèm opsyon an pi preferab si ou deja gen yon sèvè entènèt k ap fonksyone, epi ou vle sèvi ak li pou verifye dwa sou domèn nan. Certbot mete fichye espesyal yo nan yon katab sou sèvè w la, epi sant sètifikasyon an tcheke yo.
Nou chwazi premye opsyon a epi klike sou pwochen an. Nan etap sa a, w ap bezwen:
- Antre yon adrès imel;
- Dakò ak kondisyon sèvis yo;
- Dakò oswa refize resevwa imèl sou non konpayi an ak patnè li yo;
- Espesifye non domèn pou ki sètifika a bay.
Apre w fin ranpli pwosesis emisyon sètifika a ak zouti Certbot la, li pral endike chemen ki mennen nan anyè kote sètifika ki bay la ak done pou kont ou yo estoke:
Tout sa ki rete se pou ou konekte sètifika ou resevwa a ak sèvis ki nesesè yo.
Enstale Sètifika pou Nginx oswa Apache
Seksyon sa a sipoze ke sèten kondisyon fondamantal yo te ranpli:
- Ou te deja enstale ak konfigirasyon yon sèvè entènèt, swa Nginx oswa Apache. Li dwe aksesib sou entènèt la atravè non domèn ou gen entansyon jwenn sètifika a;
- Pandan enstalasyon zouti a, ou tou enstale yon Plugin pou Nginx oswa Apache lè l sèvi avèk lòd ki apwopriye a;
- Firewall la pèmèt koneksyon sou pò 80 ak 443. Si pò sa yo fèmen nan koneksyon, sèvis la ap pa disponib pou koneksyon fèk ap rantre. Pou plis detay sou operasyon firewall, nou te diskite sa a nan atik la sou mete kanpe yon firewall sou Linux.
Yon fwa tout kondisyon yo satisfè, ou ka ale dirèkteman nan emisyon sètifika a. Nou pral konsidere pwosesis pou jwenn yon sètifika SSL sou yon sèvè lè l sèvi avèk Nginx kòm yon egzanp. Sepandan, si w ap itilize yon sèvè entènèt Apache, pwosesis la konplètman idantik.
Pou jwenn sètifika a, ou bezwen antre nan lòd la:
certbot --nginx # for Nginx
certbot --apache # for ApacheKòm repons, zouti a pral mande: yon adrès imel, konsantman pou kondisyon pou itilize sèvis Let's Encrypt la, ak pèmisyon pou voye imèl sou non sèvis la ak patnè li yo.
Apre sa, w ap bezwen presize non domèn pou ki sètifika a bay. Certbot ka otomatikman detèmine domèn nan si li te espesifye nan server_name jaden pou Nginx konfigirasyon oswa Non sèvè ta dwe apwouve bèso tibebe w la epi ServerAliases pou Apache. Si li pa espesifye, pwogram nan ap fè w konnen epi mande w pou w antre non domèn nan manyèlman. Lè sa a, sèvis piblik la pral mande si wi ou non pou pèmèt redireksyon demann soti nan HTTP a HTTPS pwotokòl. Pou mete kanpe redireksyon otomatik, ou ta dwe chwazi dezyèm opsyon an:
Apre kèk tan, Certbot pral enfòme w sou akizisyon siksè nan sètifika a pou domèn nan espesifye. Soti nan pwen sa a pi devan, tout koneksyon fèk ap rantre yo pral redireksyon soti nan pò 80 a 443. Zouti a pral montre repèrtwar yo kote ou ka jwenn tout done sètifika yo ak detay yo ann ankripte kont:
Mesaj la pral presize tou peryòd validite sètifika yo jwenn ak opsyon enpòtan pou jere tout sètifika aktif yo:
- sètenman. Opsyon sa a itilize pou jwenn oswa mete ajou sètifika a san konfigirasyon otomatik sèvè entènèt. Certbot pral sèlman mande oswa mete ajou sètifika a men li pa pral fè okenn chanjman otomatik nan konfigirasyon sèvè a. Anvan sa, nou te itilize opsyon sa a pou jwenn yon sètifika san yo pa mare ak yon sèvè entènèt.
- renouvle yo itilize pou renouvèlman otomatik tout sètifika ki te jwenn atravè Certbot epi ki nan peryòd validite yo. Pwogram nan pral tcheke tout sètifika, epi si nenpòt nan yo ekspire nan 30 jou oswa mwens, li pral otomatikman renouvle.
Apre sa, nan enstriksyon yo, nou pral diskite sou ki jan yo mete kanpe renouvèlman otomatik sètifika yo san entèvansyon itilizatè chak twa mwa.
Renouvèlman Otomatik Sètifika nan Certbot
Pou Debian/Ubuntu
Lè w ap itilize sistèm operasyon sa yo, Certbot otomatikman ajoute yon script nan lis travay la pou renouvèlman otomatik sètifika enstale yo. Ou ka tcheke fonksyonalite a nan script la ak lòd sa a:
systemctl status certbot.timer
Repons lan pral montre estati sèvis la, ansanm ak anyè ki gen fichye konfigirasyon an. Ou ka louvri sa a lè l sèvi avèk nenpòt editè tèks. Si ou pa gen eksperyans ak editè tèks nan Linux, nou rekòmande pou familyarize tèt ou ak apèsi nou an nan solisyon ki pi popilè yo. Nan ka sa a, nou pral sèvi ak nano:
nano /lib/systemd/system/certbot.timer
Tout paramèt enpòtan yo mete aksan sou:
- Orè a endike ke sèvis la pral kouri de fwa pa jou a 00:00 ak 12:00;
- Yon dezyèm valè endike yon reta o aza nan segonn ki pral ajoute nan kòmansman revèy la. Nan ka sa a, li se 43,200 segonn (12 èdtan), ki fè lansman an plis o aza ak gaye chaj la;
- Paramèt sa a asire ke si revèy la te sipoze egzekite pandan yon sistèm fèmen, li pral aktive imedyatman apre demaraj.
Ou kapab tou fè yon chèk fòse renouvèlman sètifika ak kòmandman an:
certbot renew --dry-runSèvi ak lòd sa a, sètifika yo pa pral mete ajou. Olye de sa, zouti a pral fè aksyon ki sanble ak jwenn yon sètifika lè li ekspirasyon. Nan fason sa a, ou ka asire fonksyonalite sèvis la konsènan renouvèlman otomatik.
Pou CentOS, Fedora, ak lòt moun
Pwosesis pou pèmèt mizajou otomatik sou sistèm fanmi Red Hat diferan yon ti kras. Kontrèman ak Debian/Ubuntu, pou CentOS ak lòt sistèm, ou bezwen manyèlman ajoute yon travay nan pwogramè a. Pou sa, nou pral sèvi ak la kron zouti:
crontab -eLè sa a, nan dosye a ki louvri, ajoute liy sa a:
0 12 * * * /usr/bin/certbot renew --quietAnn kraze agiman prensipal yo nan lòd la:
- Tan ekzekisyon an. Nan ka sa a, lòd la pral otomatikman kouri nan 12:00 chak jou;
- Kòmandman pou renouvle sètifika SSL/TLS lè l sèvi avèk Certbot;
- The --trankil drapo siprime pwodiksyon, fè pwosesis la plis kache ak mwens pèsistan nan mòso bwa oswa ekspozisyon sistèm.
Apre ou fin ajoute kòmandman an, ou bezwen sove chanjman yo nan dosye a.
Menm jan ak Debian/Ubuntu, ou kapab tou kòmanse yon chèk fòse nan renouvèlman sètifika:
certbot renew --dry-runRezilta a nan yon ekzekisyon siksè nan lòd la sanble jan sa a:
konklizyon
Nou te eksplore pwosesis konplè pou enstale ak konfigirasyon Certbot sou yon sèvè Linux. Si w suiv enstriksyon yo bay yo, ou ka jwenn avèk siksè yon sètifika SSL/TLS nan men Let's Encrypt, enstale li sou sèvè entènèt ou a, epi konfigirasyon renouvèlman otomatik pou asire pwoteksyon kontinyèl ak ogmante konfyans nan resous entènèt ou a. Avèk Certbot, ou ka fasilman kreye yon anviwònman serye ak an sekirite pou itilizatè yo.
