सर्टबॉट: लेट्स एन्क्रिप्ट सर्टिफिकेट स्थापित करत आहे

या लेखात, आपण इन्स्टॉलेशन आणि कॉन्फिगरेशनची प्रक्रिया एक्सप्लोर करू. सर्टबॉट लिनक्स सर्व्हरवर. आपण तपशीलवार समजावून सांगू लेट्स एन्क्रिप्ट SSL/TLS प्रमाणपत्र कसे मिळवायचे तुमच्या डोमेनसाठी. आम्ही ते वेब सर्व्हरवर (जसे की Nginx किंवा Apache) कसे स्थापित करायचे आणि तुमच्या वेब संसाधनासह सतत सुरक्षित कनेक्शन सुनिश्चित करण्यासाठी स्वयंचलित प्रमाणपत्र नूतनीकरण कसे सेट करायचे याचे वर्णन करू.

सर्टबॉट हे एक मोफत, मुक्त-स्रोत साधन आहे जे स्वयंचलित संपादन आणि नूतनीकरणासाठी डिझाइन केलेले आहे SSL/TLS प्रमाणपत्रे. सर्व्हर आणि क्लायंटमधील कनेक्शन सुरक्षित करण्यात, अनधिकृत प्रवेशापासून डेटाचे संरक्षण करण्यात ते महत्त्वपूर्ण भूमिका बजावते. सर्टबॉट SSL प्रमाणपत्राची स्थापना आणि नूतनीकरण प्रक्रिया सुलभ करते. प्रमाणपत्र केवळ सुरक्षा वाढवत नाही तर ते तुमच्या वेब संसाधनावरील वापरकर्त्यांचा विश्वास देखील वाढवते, ज्यामुळे साइटची प्रतिष्ठा आणि तिचे शोध इंजिन रँकिंग दोन्ही सुधारते.

सर्टबॉट स्थापित करत आहे

बहुतेक वितरणांमध्ये Certbot डीफॉल्टनुसार समाविष्ट केले जाते, म्हणून ते स्थापित करण्यासाठी डेबियन / उबंटू सिस्टम्ससाठी, तुम्हाला फक्त पॅकेज लिस्ट अपडेट करावी लागेल:

apt update

नंतर, स्थापना प्रक्रिया सुरू करा:

apt install certbot

सर्टबॉट अशा प्लगइन्सना समर्थन देते जे वेब सर्व्हरसाठी प्रमाणपत्राचे सेटअप आणि कॉन्फिगरेशन सुलभ करतात. हे प्लगइन्स स्थापित करण्यासाठी, संबंधित कमांड वापरा:

apt install certbot python3-certbot-nginx # for Nginx
apt install certbot python3-certbot-apache # for Apache

साठी स्थापना प्रक्रिया लाल टोपी प्रणाली (जसे रहेल, CentOS, Fedora) थोडे वेगळे आहे. सुरुवातीला, तुम्हाला EPEL रिपॉझिटरी जोडावी लागेल:

yum install epel-release

नंतर टूल स्थापित करा:

yum install certbot

त्याचप्रमाणे, विशिष्ट वेब सर्व्हरसाठी प्लगइन निवडण्याचा पर्याय आहे:

yum install python3-certbot-nginx # for Nginx
yum install python3-certbot-apache # for Apache

स्थापनेनंतर, तुम्ही ताबडतोब प्रमाणपत्र मिळविण्यासाठी पुढे जाऊ शकता.

SSL प्रमाणपत्र मिळवणे

या विभागात, आपण विशिष्ट वेब सर्व्हरपासून स्वतंत्रपणे प्रमाणपत्र मिळविण्याच्या प्रक्रियेवर चर्चा करू, त्यानंतर Nginx आणि Apache साठी प्रमाणपत्र स्थापित करण्याच्या प्रक्रियेचे वर्णन करू. तथापि, प्रथम प्रोग्रामची वाक्यरचना आणि कार्यक्षमता समजून घेणे आवश्यक आहे. ते खालीलप्रमाणे दिसते:

certbot command option -d domain

मुख्य आदेशांमध्ये हे समाविष्ट आहे:

certbot certonly - प्रमाणपत्र मिळवते पण ते स्थापित करत नाही.
certbot certificates - ही कमांड सर्व स्थापित प्रमाणपत्रांची यादी प्रदर्शित करते.
certbot renew - विद्यमान प्रमाणपत्र वाढवते.
certbot revoke - विद्यमान प्रमाणपत्र रद्द करते.
certbot delete - विद्यमान प्रमाणपत्र हटवते.

सर्वात सामान्यतः वापरले जाणारे पर्याय आहेत:

--nginx - डोमेन पडताळणीसाठी Nginx कॉन्फिगरेशन स्क्रिप्ट वापरते.
--apache - डोमेन पडताळणीसाठी अपाचे कॉन्फिगरेशन स्क्रिप्ट वापरते.
-d - ज्या डोमेनसाठी प्रमाणपत्राची विनंती केली आहे त्यांची यादी.
--standalone - डोमेन पडताळणीसाठी स्वतंत्र मोड वापरते.
--manual - मॅन्युअल डोमेन पडताळणी करते.

हे फक्त सर्वात वारंवार येणाऱ्या आदेशांचे आणि पर्यायांचे एक उदाहरण आहे. तुम्ही मदत विभागात प्रोग्राम क्षमतांच्या संपूर्ण यादीशी परिचित होऊ शकता:

certbot –help

आता आपण प्रमाणपत्र मिळवण्यासाठी पुढे जाऊ. उदाहरणार्थ, आपण एका प्रमाणपत्रासाठी प्रमाणपत्र मिळवू. वर्च्युअल सर्व्हर yourusername.pserver.space सारख्या मोफत तृतीय-स्तरीय डोमेनसाठी

प्रथम, तुम्हाला ही आज्ञा प्रविष्ट करावी लागेल:

certbot certonly

प्रतिसादात, युटिलिटी तुम्हाला डोमेन मालकी पडताळण्यासाठी एक पद्धत निवडण्यास सांगेल:

जर तुमच्याकडे कॉन्फिगर केलेला वेब सर्व्हर नसेल किंवा तुम्हाला अस्तित्वात असलेल्या सर्व्हरमध्ये बदल करायचे नसतील तर पहिला पर्याय सोयीस्कर आहे. डोमेनवरील तुमचा अधिकार निश्चित करण्यासाठी ही पद्धत तात्पुरती वेब सर्व्हर तयार करते. सोप्या आणि जलद सेटअपसाठी हे आदर्श आहे. ही पद्धत निवडताना, पोर्ट 80 मोकळा ठेवणे महत्त्वाचे आहे.

जर तुमच्याकडे आधीच वेब सर्व्हर कार्यरत असेल आणि तुम्हाला डोमेनचा अधिकार पडताळण्यासाठी तो वापरायचा असेल तर दुसरा पर्याय श्रेयस्कर आहे. सर्टबॉट तुमच्या सर्व्हरवरील फोल्डरमध्ये विशेष फाइल्स ठेवतो, ज्या नंतर प्रमाणन केंद्राद्वारे तपासल्या जातात.

आपण पहिला पर्याय निवडतो आणि पुढील वर क्लिक करतो. या टप्प्यावर, तुम्हाला हे करावे लागेल:

1. ईमेल पत्ता प्रविष्ट करा;
2. सेवा अटींशी सहमत आहात;
3. कंपनी आणि तिच्या भागीदारांच्या वतीने ईमेल प्राप्त करण्यास सहमती द्या किंवा नकार द्या;
4. ज्या डोमेनसाठी प्रमाणपत्र जारी केले आहे ते निर्दिष्ट करा.

सर्टबॉट टूल वापरून प्रमाणपत्र जारी करण्याची प्रक्रिया पूर्ण केल्यानंतर, ते जारी केलेले प्रमाणपत्र आणि तुमच्या खात्याचा डेटा जिथे संग्रहित केला जातो त्या निर्देशिकेचा मार्ग दर्शवेल:

तुम्हाला फक्त मिळालेले प्रमाणपत्र आवश्यक सेवेशी लिंक करायचे आहे.

Nginx किंवा Apache साठी प्रमाणपत्र स्थापित करणे

या विभागात असे गृहीत धरले आहे की काही मूलभूत अटी पूर्ण झाल्या आहेत:

1. तुम्ही आधीच Nginx किंवा Apache असा वेब सर्व्हर इन्स्टॉल आणि कॉन्फिगर केलेला आहे. ज्या डोमेन नावासाठी तुम्ही प्रमाणपत्र मिळवू इच्छिता त्या नावाद्वारे तो इंटरनेटवरून अॅक्सेस करण्यायोग्य असावा;
2. टूलच्या स्थापनेदरम्यान, तुम्ही योग्य कमांड वापरून Nginx किंवा Apache साठी प्लगइन देखील स्थापित केले;
3. फायरवॉल पोर्ट ८० आणि ४४३ वर कनेक्शनची परवानगी देतो. जर हे पोर्ट कनेक्शनसाठी बंद असतील, तर येणार्‍या कनेक्शनसाठी सेवा अनुपलब्ध असेल. फायरवॉल ऑपरेशनबद्दल अधिक माहितीसाठी, आम्ही या लेखात याबद्दल चर्चा केली आहे लिनक्सवर फायरवॉल सेट करणे.

सर्व अटी पूर्ण झाल्यानंतर, तुम्ही थेट प्रमाणपत्र जारी करण्यासाठी पुढे जाऊ शकता. आम्ही Nginx वापरून सर्व्हरवर SSL प्रमाणपत्र मिळविण्याच्या प्रक्रियेचा उदाहरण म्हणून विचार करू. तथापि, जर तुम्ही Apache वेब सर्व्हर वापरत असाल, तर प्रक्रिया पूर्णपणे सारखीच आहे.

प्रमाणपत्र मिळविण्यासाठी, तुम्हाला ही आज्ञा प्रविष्ट करावी लागेल:

certbot --nginx # for Nginx
certbot --apache # for Apache

प्रतिसादात, टूल विनंती करेल: एक ईमेल पत्ता, लेट्स एन्क्रिप्ट सेवेच्या वापराच्या अटींना संमती आणि सेवा आणि तिच्या भागीदारांच्या वतीने ईमेल पाठविण्याची परवानगी.

त्यानंतर, तुम्हाला ज्या डोमेनसाठी प्रमाणपत्र जारी केले आहे ते नाव निर्दिष्ट करावे लागेल. जर ते मध्ये निर्दिष्ट केले असेल तर सर्टबॉट स्वयंचलितपणे डोमेन निश्चित करू शकते सर्व्हर_नाव साठी फील्ड Nginx कॉन्फिगरेशन किंवा सर्व्हरनेम आणि सर्व्हरअलीअस साठी अपाचे. जर ते निर्दिष्ट केले नसेल, तर प्रोग्राम तुम्हाला सूचित करेल आणि तुम्हाला डोमेन नाव मॅन्युअली प्रविष्ट करण्यास सांगेल. त्यानंतर, युटिलिटी HTTP वरून HTTPS प्रोटोकॉलवर विनंत्यांची पुनर्निर्देशने सक्षम करायची की नाही हे विचारेल. स्वयंचलित पुनर्निर्देशन सेट करण्यासाठी, तुम्ही दुसरा पर्याय निवडावा:

काही काळानंतर, सर्टबॉट तुम्हाला निर्दिष्ट डोमेनसाठी प्रमाणपत्र यशस्वीरित्या प्राप्त झाल्याची माहिती देईल. या टप्प्यापासून, सर्व येणारे कनेक्शन पोर्ट 80 वरून 443 वर पुनर्निर्देशित केले जातील. हे टूल तुम्हाला सर्व प्रमाणपत्र डेटा आणि लेट्स एन्क्रिप्ट खाते तपशील शोधू शकणाऱ्या निर्देशिका प्रदर्शित करेल:

संदेशात प्राप्त प्रमाणपत्राचा वैधता कालावधी आणि सर्व सक्रिय प्रमाणपत्रे व्यवस्थापित करण्यासाठी महत्त्वाचे पर्याय देखील निर्दिष्ट केले जातील:

1. निश्चितपणे. हा पर्याय स्वयंचलित वेब सर्व्हर कॉन्फिगरेशनशिवाय प्रमाणपत्र मिळविण्यासाठी किंवा अद्यतनित करण्यासाठी वापरला जातो. सर्टबॉट केवळ प्रमाणपत्राची विनंती करेल किंवा अद्यतनित करेल परंतु सर्व्हर कॉन्फिगरेशनमध्ये कोणतेही स्वयंचलित बदल करणार नाही. पूर्वी, आम्ही वेब सर्व्हरशी जोडलेले नसताना प्रमाणपत्र मिळविण्यासाठी हा पर्याय वापरत होतो.
2. नूतनीकरण Certbot द्वारे मिळवलेल्या आणि त्यांच्या वैधतेच्या कालावधीत असलेल्या सर्व प्रमाणपत्रांचे स्वयंचलित नूतनीकरण करण्यासाठी वापरले जाते. हा कार्यक्रम सर्व प्रमाणपत्रे तपासेल आणि जर त्यापैकी कोणतेही प्रमाणपत्र 30 दिवस किंवा त्यापेक्षा कमी कालावधीत कालबाह्य झाले तर ते स्वयंचलितपणे नूतनीकरण केले जाईल.

सूचनांमध्ये पुढे, आपण दर तीन महिन्यांनी वापरकर्त्याच्या हस्तक्षेपाशिवाय प्रमाणपत्रांचे स्वयंचलित नूतनीकरण कसे सेट करायचे याबद्दल चर्चा करू.

सर्टबॉटमध्ये स्वयंचलित प्रमाणपत्र नूतनीकरण

डेबियन/उबंटू साठी

या ऑपरेटिंग सिस्टीम वापरताना, स्थापित प्रमाणपत्रांच्या स्वयंचलित नूतनीकरणासाठी सर्टबॉट स्वयंचलितपणे कार्य सूचीमध्ये एक स्क्रिप्ट जोडते. तुम्ही खालील आदेश वापरून स्क्रिप्टची कार्यक्षमता तपासू शकता:

systemctl status certbot.timer

प्रतिसाद सेवेची स्थिती तसेच कॉन्फिगरेशन फाइल असलेली निर्देशिका प्रदर्शित करेल. तुम्ही हे कोणत्याही टेक्स्ट एडिटर वापरून उघडू शकता. जर तुम्हाला Linux मध्ये टेक्स्ट एडिटरचा अनुभव नसेल, तर आम्ही शिफारस करतो की तुम्ही स्वतःला परिचित करा. आमचा आढावा सर्वात लोकप्रिय उपायांपैकी. या प्रकरणात, आपण नॅनो वापरू:

nano /lib/systemd/system/certbot.timer

सर्व महत्त्वाचे पॅरामीटर्स हायलाइट केले आहेत:

1. वेळापत्रकानुसार ही सेवा दिवसातून दोनदा ००:०० आणि १२:०० वाजता धावेल;
2. दुसरे मूल्य सेकंदांमध्ये होणारा यादृच्छिक विलंब दर्शवते जो टाइमरच्या सुरुवातीस जोडला जाईल. या प्रकरणात, ते ४३,२०० सेकंद (१२ तास) आहे, जे प्रक्षेपण अधिक यादृच्छिक बनवते आणि भार पसरवते;
3. हे पॅरामीटर सुनिश्चित करते की जर सिस्टम शटडाउन दरम्यान टायमर कार्यान्वित करायचा असेल तर तो स्टार्टअपवर लगेच सक्रिय होईल.

तुम्ही खालील आदेश वापरून प्रमाणपत्र नूतनीकरणाची सक्तीची तपासणी देखील करू शकता:

certbot renew --dry-run

या आदेशाचा वापर करून, प्रमाणपत्रे अपडेट केली जाणार नाहीत. त्याऐवजी, हे साधन त्याच्या मुदतीनंतर प्रमाणपत्र मिळवण्यासारख्या क्रिया करेल. अशा प्रकारे, तुम्ही स्वयंचलित नूतनीकरणाबाबत सेवेची कार्यक्षमता सुनिश्चित करू शकता.

CentOS, Fedora आणि इतरांसाठी

रेड हॅट फॅमिली सिस्टीमवर ऑटोमॅटिक अपडेट्स सक्षम करण्याची प्रक्रिया थोडी वेगळी आहे. डेबियन/उबंटूच्या विपरीत, CentOS आणि इतर सिस्टीमसाठी, तुम्हाला शेड्यूलरमध्ये मॅन्युअली टास्क जोडावे लागेल. यासाठी, आम्ही वापरू क्रोन साधन:

crontab -e

नंतर, उघडणाऱ्या फाईलमध्ये, खालील ओळ जोडा:

0 12 * * * /usr/bin/certbot renew --quiet

चला कमांडचे मुख्य आर्ग्युमेंट्स खंडित करूया:

1. अंमलबजावणी वेळ. या प्रकरणात, कमांड दररोज १२:०० वाजता आपोआप चालू होईल;
2. Certbot वापरून SSL/TLS प्रमाणपत्रे नूतनीकरण करण्याची आज्ञा;
3. The --शांत फ्लॅग आउटपुट दाबतो, ज्यामुळे प्रक्रिया अधिक लपलेली आणि सिस्टम लॉग किंवा डिस्प्लेमध्ये कमी घुसखोरी करणारी बनते.

कमांड जोडल्यानंतर, तुम्हाला फाइलमधील बदल सेव्ह करावे लागतील.

डेबियन/उबंटू प्रमाणेच, तुम्ही प्रमाणपत्र नूतनीकरणाची सक्तीची तपासणी देखील सुरू करू शकता:

certbot renew --dry-run

कमांडच्या यशस्वी अंमलबजावणीचा परिणाम खालीलप्रमाणे दिसतो:

निष्कर्ष

आम्ही Linux सर्व्हरवर Certbot स्थापित आणि कॉन्फिगर करण्याची व्यापक प्रक्रिया एक्सप्लोर केली आहे. दिलेल्या सूचनांचे पालन करून, तुम्ही Let's Encrypt कडून SSL/TLS प्रमाणपत्र यशस्वीरित्या मिळवू शकता, ते तुमच्या वेब सर्व्हरवर स्थापित करू शकता आणि तुमच्या वेब संसाधनावर सतत संरक्षण आणि वाढलेला विश्वास सुनिश्चित करण्यासाठी स्वयंचलित नूतनीकरण कॉन्फिगर करू शकता. Certbot सह, तुम्ही वापरकर्त्यांसाठी सहजपणे एक विश्वासार्ह आणि सुरक्षित वातावरण तयार करू शकता.