Program partnerski Baza wiedzy
Odsprzedawanie Centra danych Polityka dotycząca nadużyć
nagłówek--burger
Panel sterowaniaPanel sterowania
Serwer do przesyłania opiniiAdministracjaSSLMenedżer ISPWindows VPSVPS LinuxVPS dla VPN
Baza wiedzy Proste instrukcje dotyczące pracy z usługą Profitserver
Główny Baza wiedzy Certbot: Instalowanie certyfikatu Let's Encrypt

Certbot: Instalowanie certyfikatu Let's Encrypt

W tym artykule przyjrzymy się procesowi instalacji i konfiguracji Certbot na serwerze Linux. Wyjaśnimy szczegółowo jak uzyskać certyfikat Let's Encrypt SSL/TLS dla Twojej domeny. Opiszemy również, jak zainstalować go na serwerze internetowym (takim jak Nginx lub Apache) i skonfigurować automatyczne odnawianie certyfikatów, aby zapewnić ciągłe bezpieczne połączenie z Twoim zasobem internetowym.

Certbot jest bezpłatnym narzędziem typu open source przeznaczonym do automatycznego nabywania i odnawiania Certyfikaty SSL/TLS. Odgrywa kluczową rolę w zabezpieczaniu połączenia między serwerem a klientem, chroniąc dane przed nieautoryzowanym dostępem. Certbot upraszcza proces instalacji i odnawiania certyfikatu SSL. Certyfikat nie tylko zwiększa bezpieczeństwo, ale także zaufanie użytkowników do Twojego zasobu internetowego, poprawiając tym samym zarówno reputację witryny, jak i jej rankingi w wyszukiwarkach.

Spis treści
Zminimalizować

Instalowanie Certbota

Certbot jest domyślnie dołączony do większości dystrybucji, więc aby go zainstalować, Debian / Ubuntu systemów, wystarczy zaktualizować listę pakietów:

apt update

Następnie rozpocznij proces instalacji:

apt install certbot

Certbot obsługuje wtyczki, które ułatwiają konfigurację certyfikatu dla serwera WWW. Aby zainstalować te wtyczki, użyj odpowiedniego polecenia:

apt install certbot python3-certbot-nginx # for Nginx
apt install certbot python3-certbot-apache # for Apache

Proces instalacji dla Red Hat systemy (takie jak RHEL, CentOS, Fedora) jest nieco inny. Na początku musisz dodać repozytorium EPEL:

yum install epel-release

Następnie zainstaluj narzędzie:

yum install certbot

Podobnie istnieje możliwość wyboru wtyczki dla konkretnego serwera WWW:

yum install python3-certbot-nginx # for Nginx
yum install python3-certbot-apache # for Apache

Po instalacji możesz od razu przystąpić do uzyskania certyfikatu.

Uzyskanie certyfikatu SSL

W tej sekcji omówimy proces uzyskiwania certyfikatu niezależnie od konkretnego serwera WWW, a następnie opiszemy proces instalowania certyfikatu dla Nginx i Apache. Jednak najpierw należy zrozumieć składnię i funkcjonalność programu. Wygląda on następująco:

certbot command option -d domain

Główne polecenia obejmują:

certbot certonly - Pobiera certyfikat, ale go nie instaluje.
certbot certificates - To polecenie wyświetla listę wszystkich zainstalowanych certyfikatów.
certbot renew - Rozszerza istniejący certyfikat.
certbot revoke - Unieważnia istniejący certyfikat.
certbot delete - Usuwa istniejący certyfikat.

Najczęściej używane opcje to:

--nginx - Wykorzystuje skrypty konfiguracyjne Nginx do weryfikacji domeny.
--apache - Wykorzystuje skrypty konfiguracyjne Apache do weryfikacji domeny.
-d - Lista domen, dla których żądany jest certyfikat.
--standalone - Używa trybu samodzielnego do weryfikacji domeny.
--manual - Wykonuje ręczną weryfikację domeny.

To tylko przykład najczęściej używanych poleceń i opcji. Możesz zapoznać się z pełną listą możliwości programu w sekcji pomocy:

certbot –help
Sekcja pomocy narzędzia Certbot

Teraz przejdziemy do uzyskania certyfikatu. Na przykład, uzyskamy certyfikat dla Serwer wirtualny za darmową domenę trzeciego poziomu, taką jak twojanazwaużytkownika.pserver.space

Najpierw musisz wpisać polecenie:

certbot certonly

W odpowiedzi narzędzie poprosi Cię o wybranie metody weryfikacji własności domeny:

Jak uzyskać certyfikat Certbot SSL

Pierwsza opcja jest wygodna, jeśli nie masz skonfigurowanego serwera WWW lub nie chcesz wprowadzać zmian w istniejącym. Ta metoda tworzy tymczasowy serwer WWW, aby potwierdzić Twoje prawa do domeny. Jest idealna do prostej i szybkiej konfiguracji. Wybierając tę ​​metodę, ważne jest, aby port 80 był wolny.

Druga opcja jest lepsza, jeśli masz już działający serwer WWW i chcesz go użyć do weryfikacji prawa do domeny. Certbot umieszcza specjalne pliki w folderze na Twoim serwerze, które są następnie sprawdzane przez centrum certyfikujące.

Wybieramy pierwszą opcję i klikamy dalej. Na tym etapie będziesz musiał:

  1. Wprowadź adres e-mail;
  2. Wyrażam zgodę na warunki korzystania z usługi;
  3. Wyrażanie zgody lub odmowa otrzymywania wiadomości e-mail w imieniu firmy i jej partnerów;
  4. Podaj nazwę domeny, dla której wydano certyfikat.
Dane do uzyskania certyfikatu SSL

Po zakończeniu procesu wydawania certyfikatu za pomocą narzędzia Certbot zostanie wyświetlona ścieżka do katalogu, w którym przechowywane są wydany certyfikat i dane Twojego konta:

Dane uzyskanego certyfikatu SSL

Pozostaje jedynie powiązać uzyskany certyfikat z wymaganą usługą.

Instalowanie certyfikatu dla Nginx lub Apache

W tej sekcji zakłada się, że spełnione zostały pewne podstawowe warunki:

  1. Zainstalowałeś i skonfigurowałeś już serwer WWW, Nginx lub Apache. Musi być dostępny z Internetu za pośrednictwem nazwy domeny, dla której zamierzasz uzyskać certyfikat;
  2. Podczas instalacji narzędzia zainstalowałeś również wtyczkę dla Nginx lub Apache, korzystając z odpowiedniego polecenia;
  3. Zapora sieciowa zezwala na połączenia na portach 80 i 443. Jeśli te porty są zamknięte dla połączeń, usługa będzie niedostępna dla połączeń przychodzących. Aby uzyskać więcej szczegółów na temat działania zapory sieciowej, omówiliśmy to w artykule na Konfigurowanie zapory sieciowej w systemie Linux.

Gdy wszystkie warunki zostaną spełnione, możesz przejść bezpośrednio do wydania certyfikatu. Rozważymy proces uzyskiwania certyfikatu SSL na serwerze przy użyciu Nginx jako przykładu. Jednak jeśli używasz serwera internetowego Apache, proces jest całkowicie identyczny.

Aby uzyskać certyfikat należy wpisać polecenie:

certbot --nginx # for Nginx
certbot --apache # for Apache

W odpowiedzi narzędzie poprosi o podanie adresu e-mail, wyrażenie zgody na warunki korzystania z usługi Let's Encrypt oraz pozwolenie na wysyłanie wiadomości e-mail w imieniu usługi i jej partnerów.

Uzyskanie certyfikatu SSL dla Nginx i Apache

Następnie musisz określić nazwę domeny, dla której certyfikat jest wystawiony. Certbot może automatycznie określić domenę, jeśli została ona określona w server_name pole dla nginx konfiguracja lub Nazwa serwera oraz ServerAlias dla Apache. Jeśli nie jest określona, ​​program powiadomi Cię i poprosi o ręczne wprowadzenie nazwy domeny. Następnie narzędzie zapyta, czy włączyć przekierowanie żądań z protokołu HTTP na protokół HTTPS. Aby skonfigurować automatyczne przekierowanie, należy wybrać drugą opcję:

Przekierowywanie żądań z HTTP na HTTPS

Po pewnym czasie Certbot poinformuje Cię o pomyślnym uzyskaniu certyfikatu dla określonej domeny. Od tego momentu wszystkie połączenia przychodzące będą przekierowywane z portu 80 na 443. Narzędzie wyświetli katalogi, w których znajdziesz wszystkie dane certyfikatu i szczegóły konta Let's Encrypt:

Pomyślne wydanie certyfikatu Certbot

W wiadomości podany będzie również okres ważności uzyskanego certyfikatu oraz ważne opcje dotyczące zarządzania wszystkimi aktywnymi certyfikatami:

  1. z pewnością. Ta opcja jest używana do uzyskania lub aktualizacji certyfikatu bez automatycznej konfiguracji serwera WWW. Certbot będzie tylko żądał lub aktualizował certyfikat, ale nie będzie wprowadzał żadnych automatycznych zmian w konfiguracji serwera. Wcześniej używaliśmy tej opcji do uzyskania certyfikatu bez wiązania się z serwerem WWW.
  2. odnawiać służy do automatycznego odnawiania wszystkich certyfikatów, które zostały uzyskane za pośrednictwem Certbot i są w okresie ważności. Program sprawdzi wszystkie certyfikaty i jeśli którykolwiek z nich wygaśnie w ciągu 30 dni lub krócej, zostanie automatycznie odnowiony.

W dalszej części instrukcji omówimy, jak skonfigurować automatyczne odnawianie certyfikatów co trzy miesiące bez ingerencji użytkownika.

Automatyczne odnawianie certyfikatu w Certbot

Dla Debiana/Ubuntu

Podczas korzystania z tych systemów operacyjnych Certbot automatycznie dodaje skrypt do listy zadań w celu automatycznego odnowienia zainstalowanych certyfikatów. Funkcjonalność skryptu można sprawdzić za pomocą następującego polecenia:

systemctl status certbot.timer
Sprawdzanie statusu usługi certbot.timer

Odpowiedź wyświetli status usługi, a także katalog zawierający plik konfiguracyjny. Możesz go otworzyć za pomocą dowolnego edytora tekstu. Jeśli nie masz doświadczenia w korzystaniu z edytorów tekstu w systemie Linux, zalecamy zapoznanie się z Nasz przegląd z najpopularniejszych rozwiązań. W tym przypadku użyjemy nano:

nano /lib/systemd/system/certbot.timer
Wyświetlanie konfiguracji certbot.timer

Podświetlono wszystkie ważne parametry:

  1. Z rozkładu wynika, że ​​pociągi będą kursować dwa razy dziennie o godzinie 00:00 i 12:00;
  2. Druga wartość wskazuje losowe opóźnienie w sekundach, które zostanie dodane do startu timera. W tym przypadku jest to 43,200 12 sekund (XNUMX godzin), co sprawia, że ​​start jest bardziej losowy i rozkłada obciążenie;
  3. Ten parametr zapewnia, że ​​jeśli timer miałby zostać uruchomiony podczas wyłączania systemu, zostanie on aktywowany natychmiast po uruchomieniu.

Można również uruchomić wymuszone sprawdzenie odnowienia certyfikatu za pomocą polecenia:

certbot renew --dry-run

Za pomocą tego polecenia certyfikaty nie zostaną zaktualizowane. Zamiast tego narzędzie wykona czynności podobne do uzyskania certyfikatu po jego wygaśnięciu. W ten sposób możesz zapewnić funkcjonalność usługi w zakresie automatycznego odnawiania.

Dla systemów CentOS, Fedora i innych

Proces włączania automatycznych aktualizacji w systemach z rodziny Red Hat różni się nieznacznie. W przeciwieństwie do systemów Debian/Ubuntu, w przypadku CentOS i innych systemów należy ręcznie dodać zadanie do harmonogramu. W tym celu użyjemy cron Narzędzie:

crontab -e

Następnie w otwartym pliku dodaj następujący wiersz:

0 12 * * * /usr/bin/certbot renew --quiet

Przyjrzyjmy się głównym argumentom polecenia:

  1. Czas wykonania. W tym przypadku polecenie będzie automatycznie uruchamiane o 12:00 każdego dnia;
  2. Polecenie odnawiania certyfikatów SSL/TLS za pomocą Certbot;
  3. --cichy Flaga blokuje dane wyjściowe, dzięki czemu proces staje się bardziej ukryty i mniej nachalny w logach systemowych lub na wyświetlaczu.

Po dodaniu polecenia należy zapisać zmiany w pliku.

Podobnie jak w przypadku dystrybucji Debian/Ubuntu, można także zainicjować wymuszone sprawdzanie odnawiania certyfikatów:

certbot renew --dry-run

Wynik pomyślnego wykonania polecenia wygląda następująco:

Wynik pomyślnej kontroli polecenia odnowienia

Podsumowanie

Przeanalizowaliśmy kompleksowy proces instalacji i konfiguracji Certbota na serwerze Linux. Postępując zgodnie z podanymi instrukcjami, możesz pomyślnie uzyskać certyfikat SSL/TLS od Let's Encrypt, zainstalować go na swoim serwerze internetowym i skonfigurować automatyczne odnawianie, aby zapewnić ciągłą ochronę i zwiększone zaufanie do swojego zasobu internetowego. Dzięki Certbot możesz łatwo stworzyć niezawodne i bezpieczne środowisko dla użytkowników.

❮ Poprzedni artykuł Zmniejszanie obciążenia serwera
Następny artykuł ❯ Menedżerowie pakietów Linux

Zapytaj nas o VPS

Jesteśmy zawsze gotowi odpowiedzieć na Państwa pytania o każdej porze dnia i nocy.
ZyskSerwer
@serwerzyzyski
Dołącz do kanału