Certbot: Nginstal Let's Encrypt Certificate

Ing artikel iki, kita bakal njelajah proses instalasi lan konfigurasi Srikandi ing server Linux. Kita bakal nerangake kanthi rinci carane entuk sertifikat Ayo Encrypt SSL/TLS kanggo domain sampeyan. Kita uga bakal njlèntrèhaké cara nginstal ing server web (kayata Nginx utawa Apache) lan nyiyapake nganyari sertifikat otomatis kanggo njamin sambungan aman terus karo sumber web.

Srikandi minangka alat open-source gratis sing dirancang kanggo akuisisi otomatis lan nganyari maneh Sertifikat SSL/TLS. Iki nduweni peran penting kanggo ngamanake sambungan antarane server lan klien, nglindhungi data saka akses sing ora sah. Certbot nyederhanakake proses instalasi lan nganyari sertifikat SSL. Ora mung sertifikat nambah keamanan, nanging uga nambah kapercayan pangguna ing sumber web sampeyan, saéngga nambah reputasi situs lan peringkat mesin telusur.

Nginstal Certbot

Certbot kalebu ing paling distribusi minangka standar, supaya kanggo nginstal ing Debian / Ubuntu sistem, sampeyan mung perlu nganyari dhaptar paket:

apt update

Banjur, miwiti proses instalasi:

apt install certbot

Certbot ndhukung plugin sing nggampangake persiyapan lan konfigurasi sertifikat kanggo server web. Kanggo nginstal plugin iki, gunakake printah sing cocog:

apt install certbot python3-certbot-nginx # for Nginx
apt install certbot python3-certbot-apache # for Apache

Proses instalasi kanggo Red Hat sistem (mis RHEL, CentOS, Fedora) rada beda. Kaping pisanan, sampeyan kudu nambah repositori EPEL:

yum install epel-release

Banjur instal alat kasebut:

yum install certbot

Kajaba iku, ana pilihan kanggo milih plugin kanggo server web tartamtu:

yum install python3-certbot-nginx # for Nginx
yum install python3-certbot-apache # for Apache

Sawise instalasi, sampeyan bisa langsung nerusake kanggo entuk sertifikat.

Entuk Sertifikat SSL

Ing bagean iki, kita bakal ngrembug proses entuk sertifikat kanthi mandiri saka server web tartamtu, banjur njlentrehake proses nginstal sertifikat kanggo Nginx lan Apache. Nanging, penting kanggo ngerti sintaks lan fungsi program kasebut. Katon kaya ing ngisor iki:

certbot command option -d domain

Prentah utama kalebu:

certbot certonly - Retrieves certificate nanging ora nginstal.
certbot certificates - Printah iki nampilake dhaptar kabeh sertifikat sing diinstal.
certbot renew - Ngluwihi sertifikat sing ana.
certbot revoke - Mbusak sertifikat sing ana.
certbot delete - Mbusak sertifikat sing ana.

Pilihan sing paling umum digunakake yaiku:

--nginx - Nggunakake skrip konfigurasi Nginx kanggo verifikasi domain.
--apache - Nggunakake skrip konfigurasi Apache kanggo verifikasi domain.
-d - Dhaptar domain sing dijaluk sertifikat.
--standalone - Nggunakake mode mandiri kanggo verifikasi domain.
--manual - Nindakake verifikasi domain manual.

Iki mung conto saka printah lan opsi sing paling kerep. Sampeyan bisa ngerteni dhaptar lengkap kapabilitas program ing bagean bantuan:

certbot –help

Saiki kita nerusake kanggo entuk sertifikat. Minangka conto, kita bakal entuk sertifikat kanggo a server virtual kanggo domain tingkat katelu gratis kaya yourusername.pserver.space

Pisanan, sampeyan kudu ngetik printah:

certbot certonly

Nanggepi, sarana bakal njaluk sampeyan milih cara kanggo verifikasi kepemilikan domain:

Opsi kapisan trep yen sampeyan ora duwe server web sing wis dikonfigurasi utawa sampeyan ora pengin ngganti sing wis ana. Cara iki nggawe server web sementara kanggo ngonfirmasi hak sampeyan menyang domain kasebut. Iku becik kanggo persiyapan prasaja lan cepet. Nalika milih cara iki, penting kanggo njaga port 80 gratis.

Opsi kapindho luwih disenengi yen sampeyan wis duwe server web sing operasi, lan sampeyan pengin nggunakake kanggo verifikasi hak domain. Certbot nyelehake file khusus ing folder ing server sampeyan, sing banjur dicenthang dening pusat sertifikasi.

Kita milih pilihan pisanan lan klik sabanjure. Ing tahap iki, sampeyan kudu:

1. Ketik alamat email;
2. Setuju karo syarat layanan;
3. Setuju utawa nolak nampa email atas jenenge perusahaan lan mitra;
4. Nemtokake jeneng domain sing sertifikat ditanggepi.

Sawise ngrampungake proses penerbitan sertifikat nganggo alat Certbot, bakal nuduhake dalan menyang direktori ing ngendi sertifikat sing diterbitake lan data kanggo akun sampeyan disimpen:

Sampeyan mung kudu nyambungake sertifikat sing dipikolehi menyang layanan sing dibutuhake.

Nginstal Sertifikat kanggo Nginx utawa Apache

Bagean iki nganggep yen syarat dhasar tartamtu wis ditemtokake:

1. Sampeyan wis nginstal lan ngatur server web, salah siji Nginx utawa Apache. Sampeyan kudu bisa diakses saka internet liwat jeneng domain sing arep sampeyan entuk sertifikat;
2. Sajrone instalasi alat kasebut, sampeyan uga nginstal plugin kanggo Nginx utawa Apache nggunakake printah sing cocog;
3. Firewall ngidini sambungan ing port 80 lan 443. Yen port iki ditutup kanggo sambungan, layanan bakal ora kasedhiya kanggo sambungan mlebu. Kanggo rincian liyane babagan operasi firewall, kita rembugan iki ing artikel ing nyetel firewall ing Linux.

Sawise kabeh syarat wis rampung, sampeyan bisa nerusake langsung menyang penerbitan sertifikat. Kita bakal nimbang proses entuk sertifikat SSL ing server nggunakake Nginx minangka conto. Nanging, yen sampeyan nggunakake server web Apache, proses kasebut meh padha.

Kanggo entuk sertifikat, sampeyan kudu ngetik printah:

certbot --nginx # for Nginx
certbot --apache # for Apache

Kanggo nanggepi, alat kasebut bakal njaluk: alamat email, idin kanggo syarat panggunaan layanan Ayo Encrypt, lan ijin kanggo ngirim email atas jenenge layanan lan mitra.

Sawise iku, sampeyan kudu nemtokake jeneng domain sing ditanggepi sertifikat. Certbot bisa kanthi otomatis nemtokake domain yen wis ditemtokake ing jeneng server lapangan kanggo Nginx konfigurasi utawa Jeneng Server lan ServerAliases kanggo Apache. Yen ora ditemtokake, program bakal menehi kabar lan njaluk sampeyan ngetik jeneng domain kanthi manual. Banjur, sarana bakal takon apa ngaktifake pangalihan panjalukan saka HTTP menyang protokol HTTPS. Kanggo nyetel pangalihan otomatis, sampeyan kudu milih opsi kapindho:

Sawise sawetara wektu, Certbot bakal ngandhani sampeyan babagan sukses entuk sertifikat kanggo domain sing ditemtokake. Saka titik iki, kabeh sambungan sing mlebu bakal dialihake saka port 80 menyang 443. Alat kasebut bakal nampilake direktori ing ngendi sampeyan bisa nemokake kabeh data sertifikat lan rincian akun Ayo Encrypt:

Pesen kasebut uga bakal nemtokake wektu validitas sertifikat sing dipikolehi lan pilihan penting kanggo ngatur kabeh sertifikat aktif:

1. kanthi tenanan. Opsi iki digunakake kanggo entuk utawa nganyari sertifikat tanpa konfigurasi server web otomatis. Certbot mung bakal njaluk utawa nganyari sertifikat nanging ora bakal nggawe owah-owahan otomatis menyang konfigurasi server. Sadurunge, kita nggunakake pilihan iki kanggo entuk sertifikat tanpa diikat menyang server web.
2. nganyari digunakake kanggo nganyari maneh otomatis kabeh sertifikat sing wis dipikolehi liwat Certbot lan ing wektu validitas. Program kasebut bakal mriksa kabeh sertifikat, lan yen ana sing kadaluwarsa sajrone 30 dina utawa kurang, bakal dianyari kanthi otomatis.

Sabanjure ing pandhuan, kita bakal ngrembug babagan carane nyiyapake nganyari maneh sertifikat otomatis tanpa campur tangan pangguna saben telung wulan.

Pembaruan Sertifikat Otomatis ing Certbot

Kanggo Debian/Ubuntu

Nalika nggunakake sistem operasi kasebut, Certbot kanthi otomatis nambahake skrip menyang dhaptar tugas kanggo nganyari maneh sertifikat sing diinstal kanthi otomatis. Sampeyan bisa mriksa fungsi skrip kanthi printah ing ngisor iki:

systemctl status certbot.timer

Tanggepan bakal nampilake status layanan, uga direktori sing ngemot file konfigurasi. Sampeyan bisa mbukak iki nggunakake editor teks apa wae. Yen sampeyan ora duwe pengalaman karo editor teks ing Linux, disaranake familiarize dhewe karo ringkesan kita saka solusi sing paling populer. Ing kasus iki, kita bakal nggunakake nano:

nano /lib/systemd/system/certbot.timer

Kabeh paramèter penting disorot:

1. Jadwal nuduhake yen layanan bakal mbukak kaping pindho dina ing 00:00 lan 12:00;
2. Nilai kapindho nuduhake wektu tundha acak ing sawetara detik sing bakal ditambahake ing wiwitan wektu. Ing kasus iki, 43,200 detik (12 jam), sing ndadekake peluncuran luwih acak lan nyebarake beban;
3. Parameter iki njamin yen wektu kudu dileksanakake sajrone sistem mati, bakal langsung diaktifake nalika wiwitan.

Sampeyan uga bisa nglakokake mriksa paksa nganyari sertifikat kanthi printah:

certbot renew --dry-run

Nggunakake printah iki, sertifikat ora bakal dianyari. Nanging, alat kasebut bakal nindakake tumindak sing padha karo entuk sertifikat nalika kadaluwarsa. Kanthi cara iki, sampeyan bisa njamin fungsi layanan babagan nganyari maneh otomatis.

Kanggo CentOS, Fedora, lan liya-liyane

Proses ngaktifake nganyari otomatis ing sistem kulawarga Red Hat rada beda. Ora kaya Debian/Ubuntu, kanggo CentOS lan sistem liyane, sampeyan kudu nambah tugas kanthi manual menyang panjadwal. Kanggo iki, kita bakal nggunakake cron alat:

crontab -e

Banjur, ing file sing mbukak, tambahake baris ing ngisor iki:

0 12 * * * /usr/bin/certbot renew --quiet

Ayo kita ngilangi argumen utama perintah kasebut:

1. Wektu eksekusi. Ing kasus iki, printah bakal kanthi otomatis mbukak ing 12:00 saben dina;
2. Printah kanggo gawe anyar sertifikat SSL / TLS nggunakake Certbot;
3. The --sepi flag suppresses output, nggawe proses luwih didhelikake lan kurang intrusive ing log sistem utawa tampilan.

Sawise nambahake perintah kasebut, sampeyan kudu nyimpen owah-owahan ing file kasebut.

Kaya Debian/Ubuntu, sampeyan uga bisa miwiti mriksa nganyari sertifikat:

certbot renew --dry-run

Asil eksekusi perintah sing sukses katon kaya ing ngisor iki:

kesimpulan

Kita wis njelajah proses lengkap nginstal lan konfigurasi Certbot ing server Linux. Kanthi nuruti instruksi sing diwenehake, sampeyan bisa entuk sertifikat SSL/TLS saka Ayo Encrypt, nginstal ing server web, lan ngatur nganyari maneh otomatis kanggo njamin pangayoman terus-terusan lan nambah kapercayan ing sumber web. Kanthi Certbot, sampeyan bisa kanthi gampang nggawe lingkungan sing dipercaya lan aman kanggo pangguna.