Certbot: Setur upp Let's Encrypt Certificate

Í þessari grein munum við kanna ferlið við að setja upp og stilla certbot á Linux netþjóni. Við munum útskýra í smáatriðum hvernig á að fá Let's Encrypt SSL/TLS vottorð fyrir lénið þitt. Við munum einnig lýsa því hvernig á að setja það upp á vefþjóni (eins og Nginx eða Apache) og setja upp sjálfvirka endurnýjun vottorða til að tryggja stöðuga örugga tengingu við vefauðlindina þína.

certbot er ókeypis, opinn uppspretta tól hannað fyrir sjálfvirka öflun og endurnýjun á SSL/TLS vottorð. Það gegnir mikilvægu hlutverki við að tryggja tenginguna milli netþjónsins og viðskiptavinarins og vernda gögn gegn óviðkomandi aðgangi. Certbot einfaldar uppsetningu og endurnýjunarferli SSL vottorðs. Vottorðið eykur ekki aðeins öryggi heldur eykur það einnig traust notenda á vefforritinu þínu og bætir þar með bæði orðspor síðunnar og röðun leitarvéla.

Setur upp Certbot

Certbot er sjálfgefið innifalið í flestum dreifingum, svo til að setja það upp á Debian / Ubuntu kerfi, þú þarft aðeins að uppfæra pakkalistann:

apt update

Síðan skaltu hefja uppsetningarferlið:

apt install certbot

Certbot styður viðbætur sem auðvelda uppsetningu og stillingu vottorðs fyrir vefþjón. Til að setja upp þessar viðbætur, notaðu samsvarandi skipun:

apt install certbot python3-certbot-nginx # for Nginx
apt install certbot python3-certbot-apache # for Apache

Uppsetningarferlið fyrir Red Hat kerfi (svo sem RHEL, CentOS, Fedora) er aðeins öðruvísi. Upphaflega þarftu að bæta við EPEL geymslunni:

yum install epel-release

Settu síðan upp tólið:

yum install certbot

Á sama hátt er möguleiki á að velja viðbót fyrir tiltekinn vefþjón:

yum install python3-certbot-nginx # for Nginx
yum install python3-certbot-apache # for Apache

Eftir uppsetningu geturðu strax haldið áfram að fá vottorðið.

Að fá SSL vottorð

Í þessum hluta munum við ræða ferlið við að fá vottorð óháð tilteknum vefþjóni, fylgt eftir með því að lýsa ferlinu við að setja upp vottorðið fyrir Nginx og Apache. Hins vegar er nauðsynlegt fyrst að skilja setningafræði og virkni forritsins. Það birtist sem hér segir:

certbot command option -d domain

Helstu skipanir eru:

certbot certonly - Sækir vottorðið en setur það ekki upp.
certbot certificates - Þessi skipun sýnir lista yfir öll uppsett vottorð.
certbot renew - Framlengir núverandi skírteini.
certbot revoke - Afturkallar núverandi skírteini.
certbot delete - Eyðir núverandi skírteini.

Algengustu valkostirnir eru:

--nginx - Notar Nginx stillingarforskriftir til að staðfesta lén.
--apache - Notar Apache stillingarforskriftir til að staðfesta lén.
-d - Listi yfir lén sem óskað er eftir skírteini fyrir.
--standalone - Notar sjálfstæða stillingu til að staðfesta lén.
--manual - Framkvæmir handvirka lénsstaðfestingu.

Þetta er bara dæmi um algengustu skipanir og valkosti. Þú getur kynnt þér allan lista yfir möguleika forritsins í hjálparhlutanum:

certbot –help

Við höldum nú áfram að fá vottorðið. Sem dæmi munum við fá vottorð fyrir a raunverulegur framreiðslumaður fyrir ókeypis þriðja stigs lén eins og notandanafnið þitt.pserver.space

Fyrst þarftu að slá inn skipunina:

certbot certonly

Til að bregðast við mun tólið biðja þig um að velja aðferð til að staðfesta eignarhald á léni:

Fyrsti valkosturinn er þægilegur ef þú ert ekki með stilltan vefþjón eða þú vilt ekki gera breytingar á þeim sem fyrir er. Þessi aðferð býr til tímabundinn vefþjón til að staðfesta rétt þinn á léninu. Það er tilvalið fyrir einfalda og fljótlega uppsetningu. Þegar þessi aðferð er valin er mikilvægt að hafa port 80 lausa.

Annar valmöguleikinn er æskilegur ef þú ert nú þegar með vefþjón í gangi og þú vilt nota hann til að staðfesta réttinn á léninu. Certbot setur sérstakar skrár í möppu á netþjóninum þínum, sem eru síðan athugaðar af vottunarmiðstöðinni.

Við veljum fyrsta valkostinn og smellum á næsta. Á þessu stigi þarftu að:

1. Sláðu inn netfang;
2. Samþykkja þjónustuskilmála;
3. Samþykkja eða neita að taka við tölvupósti fyrir hönd fyrirtækisins og samstarfsaðila þess;
4. Tilgreindu lénið sem vottorðið er gefið út fyrir.

Eftir að hafa lokið skírteinisútgáfuferlinu með Certbot tólinu mun það gefa til kynna slóðina að möppunni þar sem útgefið vottorð og gögnin fyrir reikninginn þinn eru geymd:

Það eina sem er eftir er að þú tengir fengið vottorð við nauðsynlega þjónustu.

Að setja upp vottorðið fyrir Nginx eða Apache

Þessi liður gerir ráð fyrir að tiltekin grundvallarskilyrði hafi verið uppfyllt:

1. Þú hefur þegar sett upp og stillt vefþjón, annað hvort Nginx eða Apache. Það verður að vera aðgengilegt af internetinu í gegnum lénið sem þú ætlar að fá vottorðið fyrir;
2. Við uppsetningu tólsins settir þú einnig upp viðbót fyrir Nginx eða Apache með því að nota viðeigandi skipun;
3. Eldveggurinn leyfir tengingar á höfnum 80 og 443. Ef þessar tengingar eru lokaðar fyrir tengingum verður þjónustan ekki tiltæk fyrir komandi tengingar. Fyrir frekari upplýsingar um notkun eldveggs, ræddum við þetta í greininni um setja upp eldvegg á Linux.

Þegar öllum skilyrðum er fullnægt geturðu haldið áfram beint í útgáfu skírteinisins. Við munum íhuga ferlið við að fá SSL vottorð á netþjóni með Nginx sem dæmi. Hins vegar, ef þú ert að nota Apache vefþjón, er ferlið alveg eins.

Til að fá vottorðið þarftu að slá inn skipunina:

certbot --nginx # for Nginx
certbot --apache # for Apache

Sem svar mun tólið biðja um: netfang, samþykki fyrir notkunarskilmálum Let's Encrypt þjónustunnar og leyfi til að senda tölvupóst fyrir hönd þjónustunnar og samstarfsaðila hennar.

Í kjölfarið þarftu að tilgreina lénið sem vottorðið er gefið út fyrir. Certbot getur sjálfkrafa ákvarðað lénið ef það var tilgreint í netþjóni sviði fyrir Nginx stillingar eða ServerName og ServerAliases fyrir Apache. Ef það er ekki tilgreint mun forritið láta þig vita og biðja þig um að slá inn lénið handvirkt. Þá mun tólið spyrja hvort virkja eigi framsendingu beiðna frá HTTP yfir í HTTPS samskiptareglur. Til að setja upp sjálfvirka tilvísun ættirðu að velja seinni valkostinn:

Eftir nokkurn tíma mun Certbot upplýsa þig um árangursríka kaup á vottorðinu fyrir tilgreint lén. Héðan í frá verður öllum komandi tengingum vísað frá höfn 80 í 443. Tólið mun sýna möppur þar sem þú getur fundið öll vottorðsgögnin og Let's Encrypt reikningsupplýsingarnar:

Skilaboðin munu einnig tilgreina gildistíma skírteinisins sem fékkst og mikilvæga valkosti til að stjórna öllum virkum skírteinum:

1. svo sannarlega. Þessi valkostur er notaður til að fá eða uppfæra vottorðið án sjálfvirkrar uppsetningar vefþjónsins. Certbot mun aðeins biðja um eða uppfæra vottorðið en mun ekki gera neinar sjálfvirkar breytingar á stillingum netþjónsins. Áður notuðum við þennan möguleika til að fá vottorð án þess að vera bundin við vefþjón.
2. endurnýja er notað fyrir sjálfvirka endurnýjun allra vottorða sem hafa verið fengin í gegnum Certbot og eru innan gildistíma þeirra. Forritið mun athuga öll skírteini og ef eitthvað þeirra rennur út innan 30 daga eða minna verður það sjálfkrafa endurnýjað.

Næst í leiðbeiningunum munum við ræða hvernig á að setja upp sjálfvirka endurnýjun vottorða án afskipta notenda á þriggja mánaða fresti.

Sjálfvirk endurnýjun skírteina í Certbot

Fyrir Debian/Ubuntu

Þegar þessi stýrikerfi eru notuð, bætir Certbot sjálfkrafa handriti við verkefnalistann fyrir sjálfvirka endurnýjun uppsettra skírteina. Þú getur athugað virkni handritsins með eftirfarandi skipun:

systemctl status certbot.timer

Svarið mun sýna stöðu þjónustunnar, sem og möppuna sem inniheldur stillingarskrána. Þú getur opnað þetta með hvaða textaritli sem er. Ef þú hefur ekki reynslu af textaritlum í Linux mælum við með að þú kynnir þér yfirlitið okkar af vinsælustu lausnunum. Í þessu tilfelli munum við nota nano:

nano /lib/systemd/system/certbot.timer

Allar mikilvægar breytur eru auðkenndar:

1. Áætlunin gefur til kynna að þjónustan verði í gangi tvisvar á dag klukkan 00:00 og 12:00;
2. Annað gildi gefur til kynna tilviljunarkennda seinkun í sekúndum sem verður bætt við ræsingu tímamælisins. Í þessu tilviki eru það 43,200 sekúndur (12 klukkustundir), sem gerir sjósetninguna tilviljunarkenndari og dreifir álaginu;
3. Þessi færibreyta tryggir að ef tímamælirinn átti að vera keyrður á meðan kerfislokun er, þá verður hún virkjuð strax við ræsingu.

Þú getur líka keyrt þvingaða athugun á endurnýjun skírteina með skipuninni:

certbot renew --dry-run

Með því að nota þessa skipun verða vottorðin ekki uppfærð. Þess í stað mun tólið framkvæma aðgerðir svipaðar því að fá vottorð þegar það rennur út. Þannig er hægt að tryggja virkni þjónustunnar varðandi sjálfvirka endurnýjun.

Fyrir CentOS, Fedora og aðra

Ferlið við að virkja sjálfvirkar uppfærslur á Red Hat fjölskyldukerfum er örlítið frábrugðið. Ólíkt Debian/Ubuntu, fyrir CentOS og önnur kerfi, þarftu að bæta verki handvirkt við tímaáætlunina. Til þess munum við nota cron tól:

crontab -e

Síðan, í skránni sem opnast, bætið við eftirfarandi línu:

0 12 * * * /usr/bin/certbot renew --quiet

Við skulum brjóta niður helstu rök skipunarinnar:

1. Framkvæmdartíminn. Í þessu tilviki mun skipunin keyra sjálfkrafa klukkan 12:00 á hverjum degi;
2. Skipunin til að endurnýja SSL/TLS vottorð með Certbot;
3. The -- rólegur Fáni bælir framleiðsla, sem gerir ferlið meira falið og minna uppáþrengjandi í kerfisskrám eða skjá.

Eftir að skipuninni hefur verið bætt við þarftu að vista breytingarnar í skránni.

Rétt eins og með Debian/Ubuntu geturðu einnig hafið þvingaða athugun á endurnýjun skírteina:

certbot renew --dry-run

Niðurstaðan af árangursríkri framkvæmd skipunarinnar lítur svona út:

Niðurstaða

Við höfum kannað alhliða ferlið við að setja upp og stilla Certbot á Linux netþjóni. Með því að fylgja meðfylgjandi leiðbeiningum geturðu fengið SSL/TLS vottorð frá Let's Encrypt, sett það upp á vefþjóninum þínum og stillt sjálfvirka endurnýjun til að tryggja stöðuga vernd og aukið traust á vefforritinu þínu. Með Certbot geturðu auðveldlega búið til áreiðanlegt og öruggt umhverfi fyrir notendur.