سرٽ بوٽ: اچو ته انڪرپٽ سرٽيفڪيٽ انسٽال ڪرڻ

هن آرٽيڪل ۾، اسين انسٽاليشن ۽ ترتيب ڏيڻ جي عمل کي ڳولينداسين سرٽيفڪيٽ لينڪس سرور تي. اسان تفصيل سان بيان ڪنداسين Let's Encrypt SSL/TLS سرٽيفڪيٽ ڪيئن حاصل ڪجي توهان جي ڊومين لاءِ. اسان اهو پڻ بيان ڪنداسين ته ان کي ويب سرور (جهڙوڪ Nginx يا Apache) تي ڪيئن انسٽال ڪجي ۽ خودڪار سرٽيفڪيٽ تجديد ڪيئن سيٽ اپ ڪجي ته جيئن توهان جي ويب وسيلن سان مسلسل محفوظ ڪنيڪشن کي يقيني بڻائي سگهجي.

سرٽيفڪيٽ هڪ مفت، اوپن سورس ٽول آهي جيڪو خودڪار حصول ۽ تجديد لاءِ ٺهيل آهي SSL/TLS سرٽيفڪيٽ. اهو سرور ۽ ڪلائنٽ جي وچ ۾ ڪنيڪشن کي محفوظ ڪرڻ ۾ اهم ڪردار ادا ڪري ٿو، ڊيٽا کي غير مجاز رسائي کان بچائي ٿو. سرٽ بوٽ هڪ SSL سرٽيفڪيٽ جي انسٽاليشن ۽ تجديد جي عمل کي آسان بڻائي ٿو. سرٽيفڪيٽ نه رڳو سيڪيورٽي کي وڌائي ٿو، پر اهو توهان جي ويب وسيلن ۾ صارف جي اعتماد کي پڻ وڌائي ٿو، انهي ڪري سائيٽ جي شهرت ۽ ان جي سرچ انجن جي درجه بندي ٻنهي کي بهتر بڻائي ٿو.

سرٽ بوٽ انسٽال ڪرڻ

سرٽ بوٽ ڊفالٽ طور تي گھڻن ورڇن ۾ شامل آهي، تنهنڪري ان کي انسٽال ڪرڻ لاءِ ديبين / يوبتو سسٽم، توهان کي صرف پيڪيج لسٽ کي اپڊيٽ ڪرڻ جي ضرورت آهي:

apt update

پوءِ، انسٽاليشن جو عمل شروع ڪريو:

apt install certbot

سرٽ بوٽ پلگ ان کي سپورٽ ڪري ٿو جيڪي ويب سرور لاءِ سرٽيفڪيٽ جي سيٽ اپ ۽ ترتيب کي آسان بڻائين ٿا. انهن پلگ ان کي انسٽال ڪرڻ لاءِ، لاڳاپيل حڪم استعمال ڪريو:

apt install certbot python3-certbot-nginx # for Nginx
apt install certbot python3-certbot-apache # for Apache

انسٽاليشن جي عمل لاء ڳاڙهو Hat Hat سسٽم (جهڙوڪ رڇيل, CentOS, بيدل) ٿورو مختلف آهي. شروعات ۾، توهان کي EPEL مخزن شامل ڪرڻ جي ضرورت آهي:

yum install epel-release

پوءِ اوزار انسٽال ڪريو:

yum install certbot

ساڳئي طرح، هڪ مخصوص ويب سرور لاءِ پلگ ان چونڊڻ جو آپشن آهي:

yum install python3-certbot-nginx # for Nginx
yum install python3-certbot-apache # for Apache

انسٽاليشن کان پوءِ، توهان فوري طور تي سرٽيفڪيٽ حاصل ڪرڻ لاءِ اڳتي وڌي سگهو ٿا.

SSL سرٽيفڪيٽ حاصل ڪرڻ

هن حصي ۾، اسين هڪ مخصوص ويب سرور کان آزاد طور تي سرٽيفڪيٽ حاصل ڪرڻ جي عمل تي بحث ڪنداسين، جنهن کان پوءِ Nginx ۽ Apache لاءِ سرٽيفڪيٽ انسٽال ڪرڻ جي عمل کي بيان ڪنداسين. بهرحال، پروگرام جي نحو ۽ ڪارڪردگي کي سمجهڻ لاءِ پهريان ضروري آهي. اهو هيٺ ڏنل طور تي ظاهر ٿئي ٿو:

certbot command option -d domain

مکيه حڪمن ۾ شامل آهن:

certbot certonly - سرٽيفڪيٽ حاصل ڪري ٿو پر ان کي انسٽال نٿو ڪري.
certbot certificates - هي حڪم سڀني نصب ٿيل سرٽيفڪيٽن جي فهرست ڏيکاري ٿو.
certbot renew - موجوده سرٽيفڪيٽ کي وڌائي ٿو.
certbot revoke - موجوده سرٽيفڪيٽ کي رد ڪري ٿو.
certbot delete - موجوده سرٽيفڪيٽ کي ختم ڪري ٿو.

سڀ کان وڌيڪ استعمال ٿيندڙ آپشن آهن:

--nginx - ڊومين جي تصديق لاءِ Nginx ترتيب واري اسڪرپٽ استعمال ڪري ٿو.
--apache - ڊومين جي تصديق لاءِ اپاچي ترتيب واري اسڪرپٽ استعمال ڪري ٿو.
-d - ڊومينز جي هڪ فهرست جنهن لاءِ سرٽيفڪيٽ جي درخواست ڪئي وئي آهي.
--standalone - ڊومين جي تصديق لاءِ اسٽينڊ اڪيلو موڊ استعمال ڪري ٿو.
--manual - دستي ڊومين جي تصديق ڪري ٿو.

هي صرف اڪثر استعمال ٿيندڙ حڪمن ۽ اختيارن جو هڪ مثال آهي. توهان مدد واري حصي ۾ پروگرام جي صلاحيتن جي مڪمل فهرست سان پاڻ کي واقف ڪري سگهو ٿا:

certbot –help

هاڻي اسين سرٽيفڪيٽ حاصل ڪرڻ لاءِ اڳتي وڌون ٿا. مثال طور، اسان هڪ لاءِ سرٽيفڪيٽ حاصل ڪنداسين مجازي سرور هڪ مفت ٽئين سطح جي ڊومين لاءِ جيئن yourusername.pserver.space

پهرين، توهان کي حڪم داخل ڪرڻ جي ضرورت آهي:

certbot certonly

جواب ۾، يوٽيلٽي توهان کان ڊومين جي ملڪيت جي تصديق لاءِ هڪ طريقو چونڊڻ لاءِ چوندي:

پهرين آپشن آسان آهي جيڪڏهن توهان وٽ ترتيب ڏنل ويب سرور نه آهي يا توهان موجوده ۾ تبديليون ڪرڻ نٿا چاهيو. هي طريقو ڊومين تي توهان جي حق جي تصديق ڪرڻ لاءِ هڪ عارضي ويب سرور ٺاهي ٿو. اهو هڪ سادي ۽ جلدي سيٽ اپ لاءِ مثالي آهي. جڏهن هي طريقو چونڊيو وڃي، پورٽ 80 کي مفت رکڻ ضروري آهي.

ٻيو آپشن بهتر آهي جيڪڏهن توهان وٽ اڳ ۾ ئي هڪ ويب سرور هلندڙ آهي، ۽ توهان ان کي ڊومين جي حق جي تصديق ڪرڻ لاءِ استعمال ڪرڻ چاهيو ٿا. سرٽ بوٽ توهان جي سرور تي هڪ فولڊر ۾ خاص فائلون رکي ٿو، جيڪي پوءِ تصديق ڪندڙ مرڪز پاران چيڪ ڪيون وينديون آهن.

اسان پهريون آپشن چونڊيو ۽ اڳيون تي ڪلڪ ڪريو. هن مرحلي تي، توهان کي ضرورت پوندي:

1. اي ميل پتو داخل ڪريو؛
2. خدمت جي شرطن سان متفق ٿيو؛
3. ڪمپني ۽ ان جي ڀائيوارن جي طرفان اي ميلون وصول ڪرڻ تي متفق يا انڪار ڪرڻ؛
4. ڊومين جو نالو بيان ڪريو جنهن لاءِ سرٽيفڪيٽ جاري ڪيو ويو آهي.

سرٽ بوٽ ٽول سان سرٽيفڪيٽ جاري ڪرڻ جي عمل کي مڪمل ڪرڻ کان پوءِ، اهو ڊاريڪٽري ڏانهن رستو ڏيکاريندو جتي جاري ڪيل سرٽيفڪيٽ ۽ توهان جي اڪائونٽ لاءِ ڊيٽا محفوظ ٿيل آهي:

باقي رهي ٿو ته توهان حاصل ڪيل سرٽيفڪيٽ کي گهربل سروس سان ڳنڍيو.

نينگڪس يا اپاچي لاءِ سرٽيفڪيٽ انسٽال ڪرڻ

هي حصو فرض ڪري ٿو ته ڪجهه بنيادي شرطون پوريون ڪيون ويون آهن:

1. توهان اڳ ۾ ئي هڪ ويب سرور انسٽال ۽ ترتيب ڏنو آهي، يا ته Nginx يا Apache. اهو انٽرنيٽ تان ڊومين نالي ذريعي رسائي لائق هجڻ گهرجي جنهن لاءِ توهان سرٽيفڪيٽ حاصل ڪرڻ چاهيو ٿا؛
2. ٽول جي انسٽاليشن دوران، توهان مناسب ڪمانڊ استعمال ڪندي Nginx يا Apache لاءِ هڪ پلگ ان پڻ انسٽال ڪيو؛
3. فائر وال پورٽ 80 ۽ 443 تي ڪنيڪشن جي اجازت ڏئي ٿو. جيڪڏهن اهي پورٽ ڪنيڪشن لاءِ بند آهن، ته سروس ايندڙ ڪنيڪشن لاءِ دستياب نه هوندي. فائر وال آپريشن بابت وڌيڪ تفصيل لاءِ، اسان هن تي مضمون ۾ بحث ڪيو لينڪس تي فائر وال قائم ڪرڻ.

هڪ دفعو سڀئي شرطون پوريون ٿي وڃن، توهان سڌو سنئون سرٽيفڪيٽ جاري ڪرڻ ڏانهن اڳتي وڌي سگهو ٿا. اسان مثال طور Nginx استعمال ڪندي سرور تي SSL سرٽيفڪيٽ حاصل ڪرڻ جي عمل تي غور ڪنداسين. جڏهن ته، جيڪڏهن توهان Apache ويب سرور استعمال ڪري رهيا آهيو، ته عمل مڪمل طور تي هڪجهڙو آهي.

سرٽيفڪيٽ حاصل ڪرڻ لاءِ، توهان کي حڪم داخل ڪرڻ جي ضرورت آهي:

certbot --nginx # for Nginx
certbot --apache # for Apache

جواب ۾، ٽول درخواست ڪندو: هڪ اي ميل پتو، Let's Encrypt سروس جي استعمال جي شرطن جي رضامندي، ۽ سروس ۽ ان جي ڀائيوارن جي طرفان اي ميلون موڪلڻ جي اجازت.

ان کان پوءِ، توهان کي ڊومين جو نالو بيان ڪرڻ جي ضرورت پوندي جنهن لاءِ سرٽيفڪيٽ جاري ڪيو ويو آهي. سرٽ بوٽ خودڪار طريقي سان ڊومين جو تعين ڪري سگهي ٿو جيڪڏهن اهو سرور_ئيٽ لاءِ ميدان نينڪس ترتيب يا سرور نام ۽ سروريوالس لاء Apache. جيڪڏهن اهو بيان نه ڪيو ويو آهي، ته پروگرام توهان کي اطلاع ڏيندو ۽ توهان کي دستي طور تي ڊومين نالو داخل ڪرڻ لاءِ چوندو. پوءِ، يوٽيلٽي پڇندي ته ڇا HTTP کان HTTPS پروٽوڪول ڏانهن درخواستن جي ريڊائريڪشن کي فعال ڪجي. خودڪار ريڊائريڪشن سيٽ اپ ڪرڻ لاءِ، توهان کي ٻيو آپشن چونڊڻ گهرجي:

ڪجهه وقت کان پوءِ، سرٽ بوٽ توهان کي مخصوص ڊومين لاءِ سرٽيفڪيٽ جي ڪامياب حصول جي خبر ڏيندو. هن نقطي کان اڳتي، سڀئي ايندڙ ڪنيڪشن پورٽ 80 کان 443 ڏانهن ريڊائريڪٽ ڪيا ويندا. ٽول ڊائريڪٽريز ڏيکاريندو جنهن ۾ توهان سڀ سرٽيفڪيٽ ڊيٽا ۽ Let's Encrypt اڪائونٽ تفصيل ڳولي سگهو ٿا:

پيغام ۾ حاصل ڪيل سرٽيفڪيٽ جي صحيح مدت ۽ سڀني فعال سرٽيفڪيٽن کي منظم ڪرڻ لاءِ اهم آپشن پڻ بيان ڪيا ويندا:

1. يقيني طور تي. هي آپشن خودڪار ويب سرور جي ترتيب کان سواءِ سرٽيفڪيٽ حاصل ڪرڻ يا اپڊيٽ ڪرڻ لاءِ استعمال ڪيو ويندو آهي. سرٽ بوٽ صرف سرٽيفڪيٽ جي درخواست يا اپڊيٽ ڪندو پر سرور جي ترتيب ۾ ڪا به خودڪار تبديلي نه ڪندو. اڳي، اسان ويب سرور سان ڳنڍيل هجڻ کان سواءِ سرٽيفڪيٽ حاصل ڪرڻ لاءِ هي آپشن استعمال ڪندا هئاسين.
2. تجديد اهو سڀني سرٽيفڪيٽن جي خودڪار تجديد لاءِ استعمال ڪيو ويندو آهي جيڪي سرٽ بوٽ ذريعي حاصل ڪيا ويا آهن ۽ انهن جي صحيح مدت اندر آهن. پروگرام سڀني سرٽيفڪيٽن جي جانچ ڪندو، ۽ جيڪڏهن انهن مان ڪو به 30 ڏينهن يا گهٽ اندر ختم ٿي ويندو آهي، ته اهو خودڪار طريقي سان تجديد ڪيو ويندو.

هدايتن ۾ اڳتي، اسين بحث ڪنداسين ته هر ٽن مهينن ۾ صارف جي مداخلت کان سواءِ سرٽيفڪيٽن جي خودڪار تجديد ڪيئن قائم ڪجي.

سرٽ بوٽ ۾ خودڪار سرٽيفڪيٽ تجديد

ڊيبين/اوبنٽو لاءِ

جڏهن اهي آپريٽنگ سسٽم استعمال ڪندا آهن، ته Certbot خودڪار طريقي سان نصب ٿيل سرٽيفڪيٽن جي خودڪار تجديد لاءِ ٽاسڪ لسٽ ۾ هڪ اسڪرپٽ شامل ڪندو آهي. توهان هيٺ ڏنل حڪم سان اسڪرپٽ جي ڪارڪردگي کي چيڪ ڪري سگهو ٿا:

systemctl status certbot.timer

جواب سروس جي حيثيت ڏيکاريندو، انهي سان گڏ ڊائريڪٽري جنهن ۾ ڪنفگريشن فائل هوندي. توهان هن کي ڪنهن به ٽيڪسٽ ايڊيٽر استعمال ڪندي کولي سگهو ٿا. جيڪڏهن توهان کي لينڪس ۾ ٽيڪسٽ ايڊيٽرن سان تجربو نه آهي، ته اسان صلاح ڏيون ٿا ته پاڻ کي واقف ڪرايو. اسان جو جائزو سڀ کان وڌيڪ مشهور حلن مان. هن صورت ۾، اسان نانو استعمال ڪنداسين:

nano /lib/systemd/system/certbot.timer

سڀ اهم پيرا ميٽر نمايان ٿيل آهن:

1. شيڊول ۾ چيو ويو آهي ته سروس ڏينهن ۾ ٻه ڀيرا 00:00 ۽ 12:00 تي هلندي؛
2. هڪ ٻيو قدر سيڪنڊن ۾ بي ترتيب دير کي ظاهر ڪري ٿو جيڪو ٽائمر جي شروعات ۾ شامل ڪيو ويندو. هن صورت ۾، اهو 43,200 سيڪنڊ (12 ڪلاڪ) آهي، جيڪو لانچ کي وڌيڪ بي ترتيب بڻائي ٿو ۽ لوڊ کي پکيڙي ٿو؛
3. هي پيرا ميٽر يقيني بڻائي ٿو ته جيڪڏهن ٽائمر کي سسٽم بند ٿيڻ دوران عمل ۾ آڻڻو هو، ته اهو شروع ٿيڻ تي فوري طور تي چالو ٿي ويندو.

توهان هيٺ ڏنل حڪم سان سرٽيفڪيٽ جي تجديد جي جبري چيڪ پڻ هلائي سگهو ٿا:

certbot renew --dry-run

هن حڪم کي استعمال ڪندي، سرٽيفڪيٽ اپڊيٽ نه ڪيا ويندا. ان جي بدران، اوزار ان جي ختم ٿيڻ تي سرٽيفڪيٽ حاصل ڪرڻ وانگر ڪارروايون ڪندو. هن طريقي سان، توهان خودڪار تجديد جي حوالي سان سروس جي ڪارڪردگي کي يقيني بڻائي سگهو ٿا.

CentOS، فيڊورا، ۽ ٻين لاءِ

ريڊ هيٽ فيملي سسٽم تي خودڪار اپڊيٽس کي فعال ڪرڻ جو عمل ٿورو مختلف آهي. ڊيبين/اوبنٽو جي برعڪس، سينٽوس ۽ ٻين سسٽم لاءِ، توهان کي دستي طور تي شيڊولر ۾ هڪ ڪم شامل ڪرڻ جي ضرورت آهي. ان لاءِ، اسان استعمال ڪنداسين کلون اوزار

crontab -e

پوءِ، جيڪو فائل کلي ٿو، ان ۾ هيٺ ڏنل لائن شامل ڪريو:

0 12 * * * /usr/bin/certbot renew --quiet

اچو ته حڪم جي مکيه دليلن کي ٽوڙي ڇڏيون:

1. عملدرآمد جو وقت. هن صورت ۾، ڪمانڊ خودڪار طريقي سان هر روز 12:00 تي هلندو؛
2. Certbot استعمال ڪندي SSL/TLS سرٽيفڪيٽن جي تجديد جو حڪم؛
3. هن -- خاموش فليگ آئوٽ پُٽ کي دٻائي ٿو، عمل کي وڌيڪ لڪيل ۽ سسٽم لاگ يا ڊسپلي ۾ گهٽ مداخلت ڪندڙ بڻائي ٿو.

ڪمانڊ شامل ڪرڻ کان پوءِ، توهان کي فائل ۾ تبديليون محفوظ ڪرڻيون پونديون.

جيئن ڊيبين/اوبنٽو سان، توهان سرٽيفڪيٽ جي تجديد جي جبري جانچ پڻ شروع ڪري سگهو ٿا:

certbot renew --dry-run

حڪم جي ڪامياب عملدرآمد جو نتيجو هن ريت نظر اچي ٿو:

ٿڪل

اسان لينڪس سرور تي سرٽ بوٽ کي انسٽال ڪرڻ ۽ ترتيب ڏيڻ جي جامع عمل جي ڳولا ڪئي آهي. ڏنل هدايتن تي عمل ڪندي، توهان ڪاميابي سان Let's Encrypt مان SSL/TLS سرٽيفڪيٽ حاصل ڪري سگهو ٿا، ان کي پنهنجي ويب سرور تي انسٽال ڪري سگهو ٿا، ۽ خودڪار تجديد کي ترتيب ڏئي سگهو ٿا ته جيئن مسلسل تحفظ ۽ توهان جي ويب وسيلن ۾ وڌندڙ اعتماد کي يقيني بڻائي سگهجي. سرٽ بوٽ سان، توهان آساني سان استعمال ڪندڙن لاءِ هڪ قابل اعتماد ۽ محفوظ ماحول ٺاهي سگهو ٿا.