Program de afiliere Intrebari Frecvente
Revânzare datacentere Politica privind abuzurile
antet - burger
Panou de controlpanoul de control
Server pentru feedbackAdministrareSSLISPmanagerWindows VPSVPS LinuxVPS pentru VPN
Intrebari Frecvente Instrucțiuni simple pentru a lucra cu serviciul Profitserver
Principal Intrebari Frecvente Certbot: Instalarea certificatului Let's Encrypt

Certbot: Instalarea certificatului Let's Encrypt

În acest articol, vom explora procesul de instalare și configurare certbot pe un server Linux. Vom explica în detaliu cum să obțineți un certificat Let's Encrypt SSL/TLS pentru domeniul dvs. Vom descrie, de asemenea, cum să îl instalați pe un server web (cum ar fi Nginx sau Apache) și să configurați reînnoirile automate ale certificatelor pentru a asigura o conexiune sigură continuă cu resursa dvs. web.

certbot este un instrument gratuit, open-source, conceput pentru achiziția și reînnoirea automată a Certificate SSL/TLS. Joacă un rol crucial în securizarea conexiunii dintre server și client, protejând datele împotriva accesului neautorizat. Certbot simplifică procesul de instalare și reînnoire a unui certificat SSL. Certificatul nu numai că sporește securitatea, dar crește și încrederea utilizatorilor în resursa dvs. web, îmbunătățind astfel atât reputația site-ului, cât și clasamentul în motoarele de căutare.

Cuprins
Reduce la minimum

Instalarea Certbot

Certbot este inclus în majoritatea distribuțiilor în mod implicit, așa că pentru a-l instala Debian / Ubuntu sisteme, trebuie doar să actualizați lista de pachete:

apt update

Apoi, inițiați procesul de instalare:

apt install certbot

Certbot acceptă pluginuri care facilitează setarea și configurarea certificatului pentru un server web. Pentru a instala aceste plugin-uri, utilizați comanda corespunzătoare:

apt install certbot python3-certbot-nginx # for Nginx
apt install certbot python3-certbot-apache # for Apache

Procesul de instalare pentru Red Hat sisteme (cum ar fi RHEL, CentOS, Fedora) este ușor diferită. Inițial, trebuie să adăugați depozitul EPEL:

yum install epel-release

Apoi instalați instrumentul:

yum install certbot

În mod similar, există o opțiune de a selecta un plugin pentru un anumit server web:

yum install python3-certbot-nginx # for Nginx
yum install python3-certbot-apache # for Apache

După instalare, puteți trece imediat la obținerea certificatului.

Obținerea unui certificat SSL

În această secțiune, vom discuta despre procesul de obținere a unui certificat independent de un anumit server web, urmat de descrierea procesului de instalare a certificatului pentru Nginx și Apache. Cu toate acestea, este esențial să înțelegeți mai întâi sintaxa și funcționalitatea programului. Apare astfel:

certbot command option -d domain

Principalele comenzi includ:

certbot certonly - Preia certificatul, dar nu îl instalează.
certbot certificates - Această comandă afișează o listă cu toate certificatele instalate.
certbot renew - Extinde certificatul existent.
certbot revoke - Revocă certificatul existent.
certbot delete - Șterge certificatul existent.

Cele mai frecvent utilizate opțiuni sunt:

--nginx - Folosește scripturi de configurare Nginx pentru verificarea domeniului.
--apache - Folosește scripturi de configurare Apache pentru verificarea domeniului.
-d - O listă de domenii pentru care se solicită certificatul.
--standalone - Utilizează modul autonom pentru verificarea domeniului.
--manual - Efectuează verificarea manuală a domeniului.

Acesta este doar un exemplu al celor mai frecvente comenzi și opțiuni. Vă puteți familiariza cu lista completă a capabilităților programului în secțiunea de ajutor:

certbot –help
Secțiunea de ajutor a instrumentului Certbot

Acum trecem la obținerea certificatului. De exemplu, vom obține un certificat pentru a server virtual pentru un domeniu gratuit de nivel al treilea, cum ar fi numeledeutilizator.pserver.space

Mai întâi, trebuie să introduceți comanda:

certbot certonly

Ca răspuns, utilitarul vă va cere să alegeți o metodă pentru verificarea proprietății domeniului:

Cum să obțineți un certificat SSL Certbot

Prima opțiune este convenabilă dacă nu aveți un server web configurat sau nu doriți să faceți modificări unuia existent. Această metodă creează un server web temporar pentru a vă confirma dreptul la domeniu. Este ideal pentru o configurare simplă și rapidă. Atunci când alegeți această metodă, este important să păstrați portul 80 liber.

A doua opțiune este de preferat dacă aveți deja un server web care funcționează și doriți să îl utilizați pentru a verifica dreptul la domeniu. Certbot plasează fișiere speciale într-un folder de pe serverul dvs., care sunt apoi verificate de centrul de certificare.

Alegem prima opțiune și facem clic pe următorul. În această etapă, va trebui să:

  1. Introduceți o adresă de e-mail;
  2. Sunteți de acord cu termenii și condițiile;
  3. Sunteți de acord sau refuzați să primiți e-mailuri în numele companiei și al partenerilor săi;
  4. Specificați numele de domeniu pentru care este emis certificatul.
Date pentru obținerea unui certificat SSL

După finalizarea procesului de emitere a certificatului cu instrumentul Certbot, acesta va indica calea către directorul în care sunt stocate certificatul emis și datele pentru contul dvs.:

Datele certificatului SSL obținut

Tot ce rămâne este să legați certificatul obținut la serviciul necesar.

Instalarea certificatului pentru Nginx sau Apache

Această secțiune presupune că au fost îndeplinite anumite condiții fundamentale:

  1. Ați instalat și configurat deja un server web, fie Nginx, fie Apache. Acesta trebuie să fie accesibil de pe internet prin numele domeniului pentru care intenționați să obțineți certificatul;
  2. În timpul instalării instrumentului, ați instalat și un plugin pentru Nginx sau Apache folosind comanda corespunzătoare;
  3. Firewall-ul permite conexiuni pe porturile 80 și 443. Dacă aceste porturi sunt închise pentru conexiuni, serviciul va fi indisponibil pentru conexiunile de intrare. Pentru mai multe detalii despre funcționarea firewall-ului, am discutat acest lucru în articolul despre configurarea unui firewall pe Linux.

Odată ce toate condițiile sunt îndeplinite, puteți trece direct la eliberarea certificatului. Vom lua în considerare procesul de obținere a unui certificat SSL pe un server folosind Nginx ca exemplu. Cu toate acestea, dacă utilizați un server web Apache, procesul este complet identic.

Pentru a obține certificatul, trebuie să introduceți comanda:

certbot --nginx # for Nginx
certbot --apache # for Apache

Ca răspuns, instrumentul va solicita: o adresă de e-mail, acordul cu termenii de utilizare a serviciului Let's Encrypt și permisiunea de a trimite e-mailuri în numele serviciului și al partenerilor săi.

Obținerea unui certificat SSL pentru Nginx și Apache

După aceea, va trebui să specificați numele de domeniu pentru care este emis certificatul. Certbot poate determina automat domeniul dacă a fost specificat în numele serverului câmp pentru nginx configurație sau Numele serverului și ServerAliases pentru Apache. Dacă nu este specificat, programul vă va anunța și vă va cere să introduceți manual numele domeniului. Apoi, utilitarul va întreba dacă se activează redirecționarea solicitărilor de la protocolul HTTP la HTTPS. Pentru a configura redirecționarea automată, ar trebui să alegeți a doua opțiune:

Redirecționarea solicitărilor de la HTTP la HTTPS

După ceva timp, Certbot vă va informa cu privire la achiziția cu succes a certificatului pentru domeniul specificat. Din acest moment înainte, toate conexiunile de intrare vor fi redirecționate de la portul 80 la 443. Instrumentul va afișa directoarele în care puteți găsi toate datele certificatului și detaliile contului Let's Encrypt:

Eliberarea cu succes a certificatului Certbot

Mesajul va specifica, de asemenea, perioada de valabilitate a certificatului obținut și opțiuni importante pentru gestionarea tuturor certificatelor active:

  1. sigur. Această opțiune este utilizată pentru obținerea sau actualizarea certificatului fără configurarea automată a serverului web. Certbot va solicita sau actualiza doar certificatul, dar nu va face modificări automate în configurația serverului. Anterior, am folosit această opțiune pentru a obține un certificat fără a fi legat de un server web.
  2. reînnoi este utilizat pentru reînnoirea automată a tuturor certificatelor care au fost obținute prin Certbot și se află în perioada de valabilitate a acestora. Programul va verifica toate certificatele, iar dacă oricare dintre ele expiră în 30 de zile sau mai puțin, va fi reînnoit automat.

În continuare, în instrucțiuni, vom discuta despre cum să configurați reînnoirea automată a certificatelor fără intervenția utilizatorului la fiecare trei luni.

Reînnoire automată a certificatului în Certbot

Pentru Debian/Ubuntu

Când utilizați aceste sisteme de operare, Certbot adaugă automat un script la lista de activități pentru reînnoirea automată a certificatelor instalate. Puteți verifica funcționalitatea scriptului cu următoarea comandă:

systemctl status certbot.timer
Verificarea stării serviciului certbot.timer

Răspunsul va afișa starea serviciului, precum și directorul care conține fișierul de configurare. Puteți deschide acest lucru folosind orice editor de text. Dacă nu aveți experiență cu editorii de text în Linux, vă recomandăm să vă familiarizați cu prezentarea noastră de ansamblu dintre cele mai populare soluții. În acest caz, vom folosi nano:

nano /lib/systemd/system/certbot.timer
Vizualizarea configurației certbot.timer

Toți parametrii importanți sunt evidențiați:

  1. Programul indică faptul că serviciul va funcționa de două ori pe zi la 00:00 și 12:00;
  2. O a doua valoare indică o întârziere aleatorie în secunde care va fi adăugată la pornirea temporizatorului. În acest caz, este de 43,200 de secunde (12 ore), ceea ce face lansarea mai aleatorie și răspândește sarcina;
  3. Acest parametru asigură că, dacă cronometrul ar fi trebuit să fie executat în timpul unei opriri a sistemului, acesta va fi activat imediat după pornire.

De asemenea, puteți executa o verificare forțată a reînnoirii certificatului cu comanda:

certbot renew --dry-run

Folosind această comandă, certificatele nu vor fi actualizate. În schimb, instrumentul va efectua acțiuni similare cu obținerea unui certificat la expirarea acestuia. Astfel, puteți asigura funcționalitatea serviciului în ceea ce privește reînnoirea automată.

Pentru CentOS, Fedora și altele

Procesul de activare a actualizărilor automate pe sistemele familiei Red Hat diferă ușor. Spre deosebire de Debian/Ubuntu, pentru CentOS și alte sisteme, trebuie să adăugați manual o sarcină la planificator. Pentru aceasta, vom folosi cron instrument:

crontab -e

Apoi, în fișierul care se deschide, adăugați următoarea linie:

0 12 * * * /usr/bin/certbot renew --quiet

Să defalcăm principalele argumente ale comenzii:

  1. Timpul de execuție. În acest caz, comanda va rula automat la ora 12:00 în fiecare zi;
  2. Comanda de reînnoire a certificatelor SSL/TLS utilizând Certbot;
  3. --Liniște flag suprimă ieșirea, făcând procesul mai ascuns și mai puțin intruziv în jurnalele de sistem sau afișaj.

După adăugarea comenzii, trebuie să salvați modificările în fișier.

La fel ca și în cazul Debian/Ubuntu, puteți iniția și o verificare forțată a reînnoirilor de certificate:

certbot renew --dry-run

Rezultatul executării cu succes a comenzii arată după cum urmează:

Rezultatul unei verificări cu succes a comenzii de reînnoire

Concluzie

Am explorat procesul cuprinzător de instalare și configurare Certbot pe un server Linux. Urmând instrucțiunile furnizate, puteți obține cu succes un certificat SSL/TLS de la Let's Encrypt, îl puteți instala pe serverul dvs. web și puteți configura reînnoirea automată pentru a asigura o protecție continuă și o încredere sporită în resursa dvs. web. Cu Certbot, puteți crea cu ușurință un mediu de încredere și sigur pentru utilizatori.

❮ Articolul precedent Reducerea încărcării serverului
Articolul următor ❯ Managerii pachetelor Linux

Întrebați-ne despre VPS

Suntem întotdeauna gata să vă răspundem la întrebări la orice oră din zi sau din noapte.
ProfitServer
@profitserver
Alăturați-vă pe canal