Certbot: Rakibaadda Aynu Sirin Shahaadada

Maqaalkan, waxaanu sahamin doonaa habka rakibidda iyo habaynta Certbot on server Linux ah. Waxaan si faahfaahsan u sharxi doonaa sida loo helo Aan Encryption SSL/TLS shahaado domainkaaga. Waxaan sidoo kale sharxi doonaa sida loogu rakibo server-ka shabakadda (sida Nginx ama Apache) oo aan dejineyno cusbooneysiinta shahaadada tooska ah si aan u hubinno xiriir sugan oo joogto ah oo lala yeesho ilahaaga shabakadda.

Certbot waa bilaash, qalab il furan oo loogu talagalay in si toos ah loo helo iyo dib u cusboonaysiinta Shahaadooyinka SSL/TLS. Waxay door muhiim ah ka ciyaartaa sugidda xidhiidhka ka dhexeeya server-ka iyo macmiilka, iyada oo ka ilaalinaysa xogta gelitaanka aan la oggolayn. Certbot waxa ay fududaynaysaa rakibaadda iyo nidaamka cusboonaysiinta ee shahaadada SSL. Ma aha oo kaliya in ay shahaadodu kor u qaado amniga, laakiin waxa ay sidoo kale kor u qaadaysaa kalsoonida isticmaalaha ee ilahaaga mareegaha, taas oo kor u qaadaysa labadaba sumcadda goobta iyo darajada mashiinka raadinta.

Ku rakibida Certbot

Certbot waxa lagu daraa inta badan qaybinta si caadi ah, si loogu rakibo Debian / Ubuntu Nidaamyada, kaliya waxaad u baahan tahay inaad cusboonaysiiso liiska xirmada:

apt update

Kadibna, bilow habka rakibida:

apt install certbot

Certbot waxay taageertaa plugins fududeeya habaynta iyo habaynta shahaadada server-ka shabakada. Si aad u rakibto plugins-kan, isticmaal amarka u dhigma:

apt install certbot python3-certbot-nginx # for Nginx
apt install certbot python3-certbot-apache # for Apache

Habka rakibaadda ee Red Hat nidaamyada (sida RHEL, CentOS, Fedora) wax yar bay ka duwan tahay. Marka hore, waxaad u baahan tahay inaad ku darto kaydka EPEL:

yum install epel-release

Kadibna ku rakib qalabka:

yum install certbot

Sidoo kale, waxaa jira ikhtiyaar lagu dooranayo plugin server shabakad gaar ah:

yum install python3-certbot-nginx # for Nginx
yum install python3-certbot-apache # for Apache

Ka dib markii la rakibo, waxaad isla markiiba sii wadi kartaa si aad u hesho shahaadada.

Helitaanka Shahaadada SSL

Qaybtan, waxaan ka wada hadli doonaa habka loo helo shahaado si ka madax banaan server web gaar ah, oo ay ku xigto sharaxaadda habka loo rakibo shahaadada Nginx iyo Apache. Si kastaba ha ahaatee, waxaa lama huraan ah marka hore in la fahmo syntax iyo shaqeynta barnaamijka. Waxay u muuqataa sida soo socota:

certbot command option -d domain

Awaamiirta ugu muhiimsan waxaa ka mid ah:

certbot certonly - Soo ceshanaya shahaadada laakiin ma rakibo.
certbot certificates - Amarkani wuxuu muujinayaa liiska dhammaan shahaadooyinka la rakibay.
certbot renew - Waxay kordhisaa shahaadada jirta.
certbot revoke - Waxay burinaysaa shahaadada jirta.
certbot delete - Tirtiraya shahaadada jirta.

Xulashada ugu badan ee la isticmaalo waa:

--nginx - Waxay u isticmaashaa qoraalada qaabeynta Nginx xaqiijinta domainka.
--apache - Waxay u isticmaashaa qoraalada qaabeynta Apache ee xaqiijinta domainka.
-d - Liiska domains kuwaas oo shahaadada la codsaday.
--standalone - Wuxuu u adeegsadaa hab kaligiis xaqiijinta bogga
--manual - Wuxuu sameeyaa xaqiijinta bogga gacanta.

Kani waa tusaale uun amarrada iyo fursadaha ugu badan. Waxaad naftaada ku baran kartaa liiska buuxa ee awoodaha barnaamijka ee qaybta caawimada:

certbot –help

Hadda waxaan sii wadnaa inaan helno shahaadada. Tusaale ahaan, waxaan heli doonaa shahaadada a server-ka si bilaash ah oo heer saddexaad ah sida yourusername.pserver.space

Marka hore, waxaad u baahan tahay inaad geliso amarka:

certbot certonly

Iyada oo laga jawaabayo, utility ayaa ku weydiin doona inaad doorato habka lagu xaqiijinayo lahaanshaha bogga:

Doorashada koowaad waa ku habboon tahay haddii aadan haysan server-webeedka habaysan ama aadan rabin inaad wax ka beddesho mid jira. Habkani waxa uu abuuraa mareegaha ku meel gaadhka ah si loo xaqiijiyo xaqa aad u leedahay domainka. Waxay ku habboon tahay habayn fudud oo degdeg ah. Markaad dooranayso habkan, waxaa muhiim ah inaad ka ilaaliso dekedda 80 bilaash.

Doorashada labaad waa la door bidaa haddii aad hore u leedahay server-ka shabakadda oo shaqeynaya, oo aad rabto inaad isticmaasho si aad u xaqiijiso xuquuqda domainka. Certbot waxa ay gelisaa faylal gaar ah galka server-kaaga, ka dibna ay hubiso xarunta caddaynta.

Waxaan dooranaa ikhtiyaarka koowaad oo guji kan xiga. Marxaladdan, waxaad u baahan doontaa:

1. Geli ciwaanka iimaylka;
2. Ogow shuruudaha adeegga;
3. Ogow ama diido in la helo iimaylo adiga oo ka wakiil ah shirkadda iyo la-hawlgalayaasheeda;
4. Sheeg magaca domainka kaas oo shahaadada la soo saaray.

Ka dib marka la dhamaystiro nidaamka bixinta shahaadada qalabka Certbot, waxay tilmaami doontaa dariiqa loo maro hagaha halka lagu kaydiyo shahaadada la soo saaray iyo xogta akoonkaaga:

Waxa hadhay oo dhan waa inaad ku xidho shahaadada la helay iyo adeega loo baahan yahay.

Ku rakibida shahaadada Nginx ama Apache

Qaybtani waxay u malaynaysaa in shuruudo aasaasi ah oo gaar ah la buuxiyay:

1. Waxaad horay u rakibtay oo aad habaysay server-ka shabakadda, Nginx ama Apache midkood. Waa in laga heli karaa internetka iyada oo loo marayo magaca domainka oo aad doonayso inaad ku hesho shahaadada;
2. Inta lagu jiro rakibidda qalabka, waxaad sidoo kale ku rakibtay plugin Nginx ama Apache adoo isticmaalaya amarka ku habboon;
3. Firewall-ku wuxuu ogol yahay isku xirka dekedaha 80 iyo 443. Haddii dekedahani ay xidhidhiyaan isku xidhka, adeeggu ma heli doono xidhiidhada soo socda. Faahfaahin dheeraad ah oo ku saabsan hawlgalka firewall, waxaan kaga hadalnay qodobkan samaynta firewall Linux.

Marka dhammaan shuruudaha la buuxiyo, waxaad si toos ah ugu gudbi kartaa bixinta shahaadada. Waxaan tixgelin doonaa habka lagu helo shahaadada SSL ee server-ka iyadoo la adeegsanayo Nginx tusaale ahaan. Si kastaba ha noqotee, haddii aad isticmaaleyso server-ka Apache, nidaamku gabi ahaanba waa isku mid.

Si aad u hesho shahaadada, waxaad u baahan tahay inaad geliso amarka:

certbot --nginx # for Nginx
certbot --apache # for Apache

Iyada oo laga jawaabayo, qalabku wuxuu codsan doonaa: ciwaanka iimaylka, ogolaanshaha shuruudaha isticmaalka adeega Aynu Sirino, iyo ogolaanshaha dirida iimaylada iyagoo ka wakiil ah adeega iyo la-hawlgalayaasheeda.

Taas ka dib, waxaad u baahan doontaa inaad sheegto magaca domainka kaas oo shahaadada la soo saaray. Certbot si toos ah ayuu u go'aamin karaa domainka haddii lagu cayimay bogga server_name garoonka loogu talagalay Nginx qaabeynta ama Magaca Server iyo ServerAlias waayo, Apache. Haddii aan la cayimin, barnaamijka ayaa ku ogeysiin doona oo ku weydiin doona inaad geliso magaca domainka gacanta. Kadibna, utility-gu wuxuu ku weydiin doonaa in la suurtageliyo dib u habeynta codsiyada HTTP ilaa borotokoolka HTTPS. Si aad u dejiso dib u habeyn toos ah, waa inaad doorataa ikhtiyaarka labaad:

Muddo ka bacdi, Certbot waxa ay ku wargelin doontaa sida guusha leh ee aad u heshay shahaadada qaybta la cayimay. Laga bilaabo bartan hore, dhammaan xiriirada soo galaya waxaa laga wareejin doonaa dekedda 80 ilaa 443. Qalabku wuxuu soo bandhigi doonaa hagayaasha kuwaas oo aad ka heli karto dhammaan xogta shahaadada iyo faahfaahinta akoontiga Aynu sirno:

Farriinta ayaa sidoo kale qeexi doonta muddada ansaxinta shahaadada la helay iyo xulashooyinka muhiimka ah ee maaraynta dhammaan shahaadooyinka firfircoon:

1. run ahaantii. Doorashadan waxa loo isticmaalaa in lagu helo ama lagu cusboonaysiiyo shahaadada iyada oo aan si toos ah loo habayn server webka. Certbot ayaa kaliya codsan doona ama cusboonaysiin doona shahaadada laakiin ma samayn doono wax isbedel ah oo toos ah qaabaynta serferka. Markii hore, waxaan u isticmaalnay doorashadan si aan u helno shahaado iyadoon lagu xirin server-ka shabakadda.
2. cusboonaysiin waxaa loo istcimaalaa cusboonaysiinta tooska ah ee dhammaan shahaadooyinka lagu helay Certbot oo ku jira muddadii ay shaqaynayeen. Barnaamijku wuxuu hubin doonaa dhammaan shahaadooyinka, iyo haddii mid ka mid ah uu dhaco 30 maalmood gudahood ama ka yar, si toos ah ayaa loo cusbooneysiin doonaa.

Marka xigta ee tilmaamaha, waxaan ka wada hadli doonaa sida loo dejiyo cusboonaysiinta tooska ah ee shahaadooyinka iyada oo aan la faragelin isticmaale saddexdii biloodba mar.

Cusbooneysiinta Shahaadada Toos ah ee Certbot

Loogu talagalay Debian/Ubuntu

Markaad isticmaalayso nidaamyadan hawlgalka, Certbot si toos ah ugu daraa qoraal liiska hawsha dib u cusboonaysiinta tooska ah ee shahaadooyinka rakiban. Waxaad ku hubin kartaa shaqeynta qoraalka amarka soo socda:

systemctl status certbot.timer

Jawaabtu waxay soo bandhigi doontaa heerka adeegga, iyo sidoo kale hagaha ku jira faylka qaabeynta. Waxaad ku furi kartaa tan adigoo isticmaalaya tifaftiraha qoraalka kasta. Haddii aadan khibrad u lahayn tafatirayaasha qoraalka Linux, waxaan kugula talineynaa inaad barato naftaada dulmarkeena ee xalalka ugu caansan. Xaaladdan, waxaan isticmaali doonaa nano:

nano /lib/systemd/system/certbot.timer

Dhammaan xuduudaha muhiimka ah ayaa la muujiyey:

1. Jadwalka ayaa tilmaamaya in adeeggu uu socon doono laba jeer maalintii 00:00 iyo 12:00;
2. Qiimaha labaad waxa uu tilmaamayaa dib u dhac random ilbiriqsiyo ah oo lagu dari doono bilawga saacada. Xaaladdan oo kale, waa 43,200 ilbiriqsi (12 saacadood), taas oo ka dhigaysa bilaabista mid aan kala sooc lahayn oo fidisa culeyska;
3. Halbeeggani waxa uu hubinayaa in haddii saacadeeyaha la rabay in la fuliyo inta lagu jiro nidaamka xidhitaanka, isla markiiba la hawlgelin doono marka la bilaabo.

Waxa kale oo aad samayn kartaa jeeg qasab ah ee cusboonaysiinta shahaadada amarka:

certbot renew --dry-run

Isticmaalka amarkan, shahaadooyinka lama cusboonaysiin doono. Taa baddalkeeda, qalabku wuxuu samayn doonaa ficillo la mid ah helitaanka shahaado marka uu dhacayo. Sidan, waxaad ku hubin kartaa shaqeynta adeegga ee ku saabsan dib u cusbooneysiinta tooska ah.

Loogu talagalay CentOS, Fedora, iyo kuwa kale

Habka awood siinta cusboonaysiinta tooska ah ee nidaamyada qoyska Koofiyada Cas wax yar ayaa ka duwan. Si ka duwan Debian/Ubuntu, ee CentOS iyo nidaamyada kale, waxaad u baahan tahay inaad gacanta ku darto hawl jadwalaha. Tan, waxaan u isticmaali doonaa text qalab:

crontab -e

Kadib, faylka furmaya, ku dar xariiqda soo socota:

0 12 * * * /usr/bin/certbot renew --quiet

Aynu kala jebinno dooda ugu muhiimsan ee amarka:

1. Waqtiga dilka. Xaaladdan oo kale, amarku wuxuu si toos ah u shaqeyn doonaa 12:00 maalin kasta;
2. Amarka lagu cusboonaysiiyo shahaadooyinka SSL/TLS iyadoo la isticmaalayo Certbot;
3. The -- aamusnaan calanku waxa uu xakameyaa wax soo saarka, isaga oo ka dhigaya geedi socodku mid qarsoon oo aan faragelinayn nidaamka diiwaanka ama bandhiga.

Kadib markaad ku darto amarka, waxaad u baahan tahay inaad kaydiso isbeddelada faylka.

Si la mid ah Debian/Ubuntu, waxaad sidoo kale bilaabi kartaa hubinta qasabka ah ee cusboonaysiinta shahaadada:

certbot renew --dry-run

Natiijadii ku guulaysatey fulinta amarku waxay u egtahay sidan soo socota:

Ugu Dambeyn

Waxaan sahaminay habka dhamaystiran ee ku rakibida iyo habaynta Certbot ee server Linux ah. Markaad raacdo tilmaamaha la bixiyay, waxaad si guul leh uga heli kartaa shahaadada SSL/TLS Aan Encrypt, ku rakibno server-kaaga, oo aad u habayso cusboonaysiinta tooska ah si loo hubiyo ilaalinta joogtada ah iyo kordhinta kalsoonida ilahaaga shabakadda. Iyadoo Certbot, waxaad si fudud u abuuri kartaa jawi la isku halayn karo oo ammaan ah isticmaalayaasha.