پدې مقاله کې، موږ به د نصب او تنظیم کولو پروسه وپلټو سند په لینکس سرور کې. موږ به په تفصیل سره تشریح کړو د راځئ چې د SSL/TLS سند ترلاسه کولو څرنګوالی ستاسو د ډومین لپاره. موږ به دا هم تشریح کړو چې څنګه دا په ویب سرور (لکه Nginx یا Apache) کې نصب کړو او د اتوماتیک سند نوي کول تنظیم کړو ترڅو ستاسو د ویب سرچینې سره دوامداره خوندي اړیکه ډاډمنه کړو.
سند یوه وړیا، پرانیستې سرچینه وسیله ده چې د اتوماتیک استملاک او نوي کولو لپاره ډیزاین شوې ده د SSL/TLS سندونه. دا د سرور او مراجعینو ترمنځ د اړیکې په خوندي کولو کې مهم رول لوبوي، د غیر مجاز لاسرسي څخه معلومات ساتي. Certbot د SSL سند د نصب او نوي کولو پروسه ساده کوي. سند نه یوازې امنیت لوړوي، بلکې دا ستاسو په ویب سرچینې کې د کاروونکو باور هم زیاتوي، په دې توګه د سایټ شهرت او د هغې د لټون انجن درجه بندي دواړه ښه کوي.
د سیرټ بوټ نصب کول
سیرټ بوټ په ډیری توزیعونو کې په ډیفالټ ډول شامل دی، نو د دې نصبولو لپاره Debian / Ubuntu سیسټمونه، تاسو یوازې د بسته بندۍ لیست تازه کولو ته اړتیا لرئ:
apt update
بیا، د نصبولو پروسه پیل کړئ:
apt install certbot
سیرټ بوټ د هغو پلگ انونو ملاتړ کوي چې د ویب سرور لپاره د سند تنظیم او تنظیم اسانه کوي. د دې پلگ انونو نصبولو لپاره، اړونده کمانډ وکاروئ:
apt install certbot python3-certbot-nginx # for Nginx
apt install certbot python3-certbot-apache # for Apache
لپاره د نصبولو پروسه سره خولۍ سیسټمونه (لکه RHEL, CentOS, فیډورا) یو څه توپیر لري. په پیل کې، تاسو اړتیا لرئ چې د EPEL ذخیره اضافه کړئ:
yum install epel-release
بیا وسیله نصب کړئ:
yum install certbot
په ورته ډول، د یو ځانګړي ویب سرور لپاره د پلگ ان غوره کولو اختیار شتون لري:
yum install python3-certbot-nginx # for Nginx
yum install python3-certbot-apache # for Apache
د نصبولو وروسته، تاسو کولی شئ سمدلاسه د سند ترلاسه کولو لپاره لاړ شئ.
د SSL سند ترلاسه کول
پدې برخه کې، موږ به د یو ځانګړي ویب سرور څخه په خپلواکه توګه د سند ترلاسه کولو پروسې په اړه بحث وکړو، وروسته به د Nginx او Apache لپاره د سند نصبولو پروسې تشریح کړو. په هرصورت، دا اړینه ده چې لومړی د پروګرام ترکیب او فعالیت پوه شو. دا په لاندې ډول ښکاري:
certbot command option -d domain
اصلي حکمونه عبارت دي له:
certbot certonly - سند ترلاسه کوي مګر نه نصب کوي.certbot certificates - دا قومانده د ټولو نصب شوي سندونو لیست ښیې.certbot renew - موجوده سند غځوي.certbot revoke - موجوده سند لغوه کوي.certbot delete - موجوده سند حذف کوي.
تر ټولو عام کارول شوي انتخابونه دي:
--nginx - د ډومین تصدیق لپاره د Nginx ترتیب سکریپټونه کاروي.--apache - د ډومین تصدیق لپاره د اپاچي ترتیب سکریپټونه کاروي.-d - د هغو ډومینونو لیست چې د سند غوښتنه یې شوې ده.--standalone - د ډومین تصدیق لپاره په خپلواک حالت کې کار اخلي.--manual - د ډومین لاسي تصدیق ترسره کوي.
دا یوازې د ډیری مکرر امرونو او اختیارونو یوه بیلګه ده. تاسو کولی شئ د مرستې برخه کې د پروګرام وړتیاو بشپړ لیست سره ځان وپیژنئ:
certbot –help
اوس موږ د سند ترلاسه کولو ته دوام ورکوو. د مثال په توګه، موږ به د یو لپاره سند ترلاسه کړو مجازی پالنګر د وړیا دریمې کچې ډومین لپاره لکه yourusername.pserver.space
لومړی، تاسو باید دا کمانډ دننه کړئ:
certbot certonly
په ځواب کې، یوټیلټي به له تاسو څخه وغواړي چې د ډومین ملکیت تصدیق کولو لپاره یوه طریقه غوره کړئ:
لومړی انتخاب ګټور دی که تاسو یو ترتیب شوی ویب سرور نلرئ یا تاسو نه غواړئ چې په موجوده سرور کې بدلونونه رامینځته کړئ. دا طریقه یو لنډمهاله ویب سرور رامینځته کوي ترڅو ستاسو د ډومین حق تایید کړي. دا د ساده او ګړندي تنظیم لپاره مثالی دی. کله چې دا طریقه غوره کوئ، نو دا مهمه ده چې پورټ 80 وړیا وساتئ.
دوهم انتخاب غوره دی که تاسو دمخه یو ویب سرور کار کوئ، او تاسو غواړئ چې د ډومین حق تاییدولو لپاره یې وکاروئ. سیرټ بوټ ستاسو د سرور په فولډر کې ځانګړي فایلونه ځای په ځای کوي، کوم چې بیا د تصدیق مرکز لخوا چیک کیږي.
موږ لومړی انتخاب غوره کوو او بل کلیک کوو. پدې مرحله کې، تاسو به اړتیا ولرئ:
- د برېښنالیک پته دننه کړئ؛
- د خدماتو شرایطو سره موافقه وکړئ؛
- د شرکت او د هغې د شریکانو په استازیتوب د بریښنالیکونو ترلاسه کولو سره موافقه وکړئ یا یې رد کړئ؛
- د هغه ډومین نوم مشخص کړئ چې سند یې صادر شوی دی.
د Certbot وسیلې سره د سند صادرولو پروسې بشپړولو وروسته، دا به هغه لارښود ته لاره په ګوته کړي چیرې چې صادر شوی سند او ستاسو د حساب لپاره معلومات زیرمه شوي دي:
یوازې دا پاتې ده چې تاسو ترلاسه شوی سند د اړین خدمت سره وصل کړئ.
د نګینکس یا اپاچي لپاره د سند نصب کول
دا برخه فرض کوي چې ځینې اساسي شرایط پوره شوي دي:
- تاسو دمخه یو ویب سرور نصب او تنظیم کړی دی، یا نګینکس یا اپاچي. دا باید د انټرنیټ څخه د هغه ډومین نوم له لارې لاسرسی ولري چې تاسو یې د سند ترلاسه کولو اراده لرئ؛
- د وسیلې د نصبولو په جریان کې، تاسو د مناسب کمانډ په کارولو سره د Nginx یا Apache لپاره یو پلگ ان هم نصب کړ؛
- فایر وال په ۸۰ او ۴۴۳ پورټونو کې د اړیکو اجازه ورکوي. که چیرې دا پورټونه د اړیکو لپاره تړل شوي وي، نو خدمت به د راتلونکو اړیکو لپاره شتون ونلري. د فایر وال عملیاتو په اړه د نورو جزیاتو لپاره، موږ دا په مقاله کې بحث وکړ په لینکس کې د فایر وال تنظیم کول.
کله چې ټول شرایط پوره شي، تاسو کولی شئ په مستقیم ډول د سند صادرولو ته لاړ شئ. موږ به د مثال په توګه د Nginx په کارولو سره په سرور کې د SSL سند ترلاسه کولو پروسه په پام کې ونیسو. په هرصورت، که تاسو د اپاچي ویب سرور کاروئ، نو پروسه په بشپړ ډول ورته ده.
د سند ترلاسه کولو لپاره، تاسو باید دا امر دننه کړئ:
certbot --nginx # for Nginx
certbot --apache # for Apache
په ځواب کې، وسیله به غوښتنه وکړي: د بریښنالیک پته، د Let's Encrypt خدمت د کارولو شرایطو سره رضایت، او د خدماتو او د هغې شریکانو په استازیتوب د بریښنالیکونو لیږلو اجازه.
له هغې وروسته، تاسو به اړتیا ولرئ چې د هغه ډومین نوم مشخص کړئ چې سند یې صادر شوی دی. سرټ بوټ کولی شي په اتوماتيک ډول ډومین وټاکي که چیرې دا په server_name لپاره ساحه نګینکس ترتیب یا پالنګر نوم او پالنګر ایلیس لپاره اپاپي. که چیرې دا مشخص شوی نه وي، نو پروګرام به تاسو ته خبر درکړي او له تاسو څخه به وغواړي چې د ډومین نوم په لاسي ډول دننه کړئ. بیا، یوټیلټي به پوښتنه وکړي چې ایا د HTTP څخه HTTPS پروتوکول ته د غوښتنو بیا رغونه فعاله کړي. د اتوماتیک بیا رغونه تنظیم کولو لپاره، تاسو باید دوهم انتخاب غوره کړئ:
یو څه وخت وروسته، Certbot به تاسو ته د ټاکل شوي ډومین لپاره د سند د بریالي ترلاسه کولو خبر درکړي. له دې ځایه، ټول راتلونکي اړیکې به د پورټ 80 څخه 443 ته واستول شي. دا وسیله به هغه لارښودونه وښيي چې تاسو پکې د سند ټول معلومات او د "راځئ چې انکرپټ کړو" حساب توضیحات موندلی شئ:
پیغام به د ترلاسه شوي سند د اعتبار موده او د ټولو فعال سندونو د مدیریت لپاره مهم انتخابونه هم مشخص کړي:
- په یقیني ډول. دا اختیار د اتوماتیک ویب سرور ترتیب پرته د سند ترلاسه کولو یا تازه کولو لپاره کارول کیږي. سرټ بوټ به یوازې د سند غوښتنه وکړي یا تازه کړي مګر د سرور ترتیب کې به هیڅ اتوماتیک بدلونونه ونه کړي. مخکې، موږ دا اختیار د ویب سرور سره تړلي پرته د سند ترلاسه کولو لپاره کارولی و.
- نوی کول د ټولو هغو سندونو د اتوماتیک نوي کولو لپاره کارول کیږي چې د Certbot له لارې ترلاسه شوي او د دوی د اعتبار موده کې دي. دا پروګرام به ټول سندونه وګوري، او که چیرې کوم یو یې د 30 ورځو یا لږ وخت کې پای ته ورسیږي، نو دا به په اتوماتيک ډول نوي شي.
په لارښوونو کې وروسته، موږ به په هرو دریو میاشتو کې د کارونکي مداخلې پرته د سندونو اتوماتیک نوي کولو څرنګوالي په اړه بحث وکړو.
په سیرټ بوټ کې د سند اتوماتیک تجدید
د ډیبیان/اوبنټو لپاره
کله چې دا عملیاتي سیسټمونه کاروئ، سرټ بوټ په اتوماتيک ډول د نصب شوي سندونو د اتوماتیک نوي کولو لپاره د دندې لیست ته سکریپټ اضافه کوي. تاسو کولی شئ د لاندې قوماندې سره د سکریپټ فعالیت وګورئ:
systemctl status certbot.timer
ځواب به د خدماتو حالت، او همدارنګه هغه لارښود چې د ترتیب فایل لري ښکاره کړي. تاسو کولی شئ دا د هر متن ایډیټر په کارولو سره خلاص کړئ. که تاسو په لینکس کې د متن ایډیټرونو سره تجربه نه لرئ، موږ سپارښتنه کوو چې ځان د زموږ کتنه د خورا مشهور حلونو څخه. پدې حالت کې، موږ به نانو وکاروو:
nano /lib/systemd/system/certbot.timer
ټول مهم پیرامیټرې روښانه شوي دي:
- مهالویش ښیي چې خدمت به په ورځ کې دوه ځله په 00:00 او 12:00 بجو پیل شي؛
- دوهم ارزښت په ثانیو کې یو ناڅاپي ځنډ په ګوته کوي چې د ټایمر پیل ته به اضافه شي. پدې حالت کې، دا 43,200 ثانیې (12 ساعته) دي، کوم چې لانچ ډیر ناڅاپي کوي او بار خپروي؛
- دا پیرامیټر ډاډ ورکوي چې که ټایمر د سیسټم بندیدو پرمهال اجرا شي، نو دا به د پیل سره سمدلاسه فعال شي.
تاسو کولی شئ د دې قوماندې سره د سند نوي کولو جبري چیک هم ترسره کړئ:
certbot renew --dry-run
د دې قوماندې په کارولو سره، سندونه به نوي نشي. پرځای یې، وسیله به د خپل پای ته رسیدو وروسته د سند ترلاسه کولو ته ورته کړنې ترسره کړي. پدې توګه، تاسو کولی شئ د اتوماتیک نوي کولو په اړه د خدماتو فعالیت ډاډمن کړئ.
د CentOS، Fedora، او نورو لپاره
د Red Hat کورنۍ سیسټمونو کې د اتوماتیک تازه معلوماتو فعالولو پروسه یو څه توپیر لري. د Debian/Ubuntu برعکس، د CentOS او نورو سیسټمونو لپاره، تاسو اړتیا لرئ چې په لاسي ډول مهالویش کونکي ته دنده اضافه کړئ. د دې لپاره، موږ به وکاروو cron وسیله:
crontab -e
بیا، په هغه فایل کې چې خلاصیږي، لاندې کرښه اضافه کړئ:
0 12 * * * /usr/bin/certbot renew --quiet
راځئ چې د قوماندې اصلي دلیلونه مات کړو:
- د اجرا وخت. په دې حالت کې، قومانده به په اتوماتيک ډول هره ورځ په ۱۲:۰۰ بجو چلیږي؛
- د Certbot په کارولو سره د SSL/TLS سندونو نوي کولو امر؛
- د -- ارام بيرغ د محصول مخه نيسي، چې پروسه نوره پټه او د سيسټم په لاګونو يا ښودنه کې لږ مداخله کوونکې کوي.
د قوماندې اضافه کولو وروسته، تاسو اړتیا لرئ چې په فایل کې بدلونونه خوندي کړئ.
لکه څنګه چې د Debian/Ubuntu سره، تاسو کولی شئ د سند نوي کولو جبري چک هم پیل کړئ:
certbot renew --dry-run
د قوماندې د بریالي اجرا پایله په لاندې ډول ښکاري:
پایله
موږ د لینکس سرور کې د Certbot نصب او تنظیم کولو جامع پروسه سپړلې ده. د ورکړل شویو لارښوونو په تعقیب سره، تاسو کولی شئ په بریالیتوب سره د Let's Encrypt څخه د SSL/TLS سند ترلاسه کړئ، دا په خپل ویب سرور کې نصب کړئ، او اتوماتیک تجدید تنظیم کړئ ترڅو دوامداره محافظت او ستاسو په ویب سرچینې کې باور زیات شي. د Certbot سره، تاسو کولی شئ په اسانۍ سره د کاروونکو لپاره یو باوري او خوندي چاپیریال رامینځته کړئ.