Programi Affiliate Knowledgebase
Rishitja Server për komente Qendrat e të dhënave
header--burger
Paneli i kontrollitPaneli i kontrollit
Knowledgebase Udhëzime të thjeshta për të punuar me shërbimin Profitserver
  1. Kryesor
  2. Knowledgebase
  3. Certbot: Instalimi i Let's Encrypt Certificate

Certbot: Instalimi i Let's Encrypt Certificate

Në këtë artikull, ne do të shqyrtojmë procesin e instalimit dhe konfigurimit Çertbot në një server Linux. Ne do të shpjegojmë në detaje si të merrni një certifikatë Let's Encrypt SSL/TLS për domenin tuaj. Ne gjithashtu do të përshkruajmë se si ta instaloni atë në një server në internet (si Nginx ose Apache) dhe të konfiguroni rinovimet automatike të certifikatave për të siguruar një lidhje të vazhdueshme të sigurt me burimin tuaj të internetit.

Çertbot është një mjet falas, me burim të hapur i krijuar për blerjen dhe rinovimin automatik të Certifikatat SSL/TLS. Ai luan një rol vendimtar në sigurimin e lidhjes midis serverit dhe klientit, duke mbrojtur të dhënat nga aksesi i paautorizuar. Certbot thjeshton procesin e instalimit dhe rinovimit të një certifikate SSL. Certifikata jo vetëm që rrit sigurinë, por gjithashtu rrit besimin e përdoruesit në burimin tuaj të internetit, duke përmirësuar kështu reputacionin e sajtit dhe renditjen e motorit të kërkimit.

Përmbajtje
Minimizoj

Instalimi i Certbot

Certbot përfshihet në shumicën e shpërndarjeve si parazgjedhje, kështu që për ta instaluar atë Debian / Ubuntu sistemeve, ju duhet vetëm të përditësoni listën e paketave:

apt update

Pastaj, filloni procesin e instalimit:

apt install certbot

Certbot mbështet shtojcat që lehtësojnë konfigurimin dhe konfigurimin e certifikatës për një server në internet. Për të instaluar këto shtojca, përdorni komandën përkatëse:

apt install certbot python3-certbot-nginx # for Nginx apt install certbot python3-certbot-apache # for Apache

Procesi i instalimit për Red Hat sistemet (si p.sh RHEL, CentOS, Fedora) është pak më ndryshe. Fillimisht, duhet të shtoni depo EPEL:

yum install epel-release

Pastaj instaloni mjetin:

yum install certbot

Në mënyrë të ngjashme, ekziston një mundësi për të zgjedhur një shtojcë për një server specifik në internet:

yum install python3-certbot-nginx # for Nginx yum install python3-certbot-apache # for Apache

Pas instalimit, mund të vazhdoni menjëherë me marrjen e certifikatës.

Marrja e një Certifikate SSL

Në këtë seksion, ne do të diskutojmë procesin e marrjes së një certifikate në mënyrë të pavarur nga një server specifik në internet, i ndjekur nga përshkrimi i procesit të instalimit të certifikatës për Nginx dhe Apache. Megjithatë, së pari është thelbësore të kuptohet sintaksa dhe funksionaliteti i programit. Ajo shfaqet si më poshtë:

certbot command option -d domain

Komandat kryesore përfshijnë:

certbot certonly - Merr certifikatën por nuk e instalon.
certbot certificates - Kjo komandë shfaq një listë të të gjitha certifikatave të instaluara.
certbot renew - Zgjat certifikatën ekzistuese.
certbot revoke - Revokon certifikatën ekzistuese.
certbot delete - Fshin certifikatën ekzistuese.

Opsionet më të përdorura janë:

--nginx - Përdor skriptet e konfigurimit Nginx për verifikimin e domenit.
--apache - Përdor skriptet e konfigurimit të Apache për verifikimin e domenit.
-d - Një listë e domeneve për të cilat kërkohet certifikata.
--standalone - Përdor modalitetin e pavarur për verifikimin e domenit.
--manual - Kryen verifikimin manual të domenit.

Ky është vetëm një shembull i komandave dhe opsioneve më të shpeshta. Ju mund të njiheni me listën e plotë të aftësive të programit në seksionin e ndihmës:

certbot –help
Seksioni i ndihmës i mjetit Certbot

Tani vazhdojmë me marrjen e certifikatës. Si shembull, ne do të marrim një certifikatë për a server virtual për një domen falas të nivelit të tretë si yourusername.pserver.space

Së pari, duhet të futni komandën:

certbot certonly

Si përgjigje, programi do t'ju kërkojë të zgjidhni një metodë për verifikimin e pronësisë së domenit:

Si të merrni një certifikatë Certbot SSL

Opsioni i parë është i përshtatshëm nëse nuk keni një server në internet të konfiguruar ose nuk dëshironi të bëni ndryshime në një ekzistues. Kjo metodë krijon një server të përkohshëm në internet për të konfirmuar të drejtën tuaj për domenin. Është ideal për një konfigurim të thjeshtë dhe të shpejtë. Kur zgjidhni këtë metodë, është e rëndësishme të mbani portin 80 të lirë.

Opsioni i dytë preferohet nëse tashmë keni një server në internet që funksionon dhe dëshironi ta përdorni për të verifikuar të drejtën e domenit. Certbot vendos skedarë të veçantë në një dosje në serverin tuaj, të cilët më pas kontrollohen nga qendra e certifikimit.

Ne zgjedhim opsionin e parë dhe klikojmë tjetër. Në këtë fazë, do t'ju duhet:

  1. Futni një adresë emaili;
  2. Pajtohuni me kushtet e shërbimit;
  3. Pranoni ose refuzoni marrjen e emaileve në emër të kompanisë dhe partnerëve të saj;
  4. Specifikoni emrin e domenit për të cilin është lëshuar certifikata.
Të dhënat për marrjen e një certifikate SSL

Pas përfundimit të procesit të lëshimit të certifikatës me mjetin Certbot, ai do të tregojë rrugën drejt drejtorisë ku ruhen certifikata e lëshuar dhe të dhënat për llogarinë tuaj:

Të dhënat e certifikatës SSL të marrë

Mbetet vetëm që ju të lidhni certifikatën e marrë me shërbimin e kërkuar.

Instalimi i certifikatës për Nginx ose Apache

Ky seksion supozon se disa kushte themelore janë përmbushur:

  1. Ju keni instaluar dhe konfiguruar tashmë një server në internet, ose Nginx ose Apache. Ai duhet të jetë i aksesueshëm nga interneti nëpërmjet emrit të domenit për të cilin keni ndërmend të merrni certifikatën;
  2. Gjatë instalimit të mjetit, keni instaluar gjithashtu një shtojcë për Nginx ose Apache duke përdorur komandën e duhur;
  3. Muri i zjarrit lejon lidhjet në portat 80 dhe 443. Nëse këto porte janë të mbyllura për lidhje, shërbimi nuk do të jetë i disponueshëm për lidhjet hyrëse. Për më shumë detaje mbi funksionimin e murit të zjarrit, ne e diskutuam këtë në artikullin mbi vendosja e një muri zjarri në Linux.

Pasi të plotësohen të gjitha kushtet, mund të vazhdoni drejtpërdrejt në lëshimin e certifikatës. Ne do të shqyrtojmë procesin e marrjes së një certifikate SSL në një server duke përdorur Nginx si shembull. Sidoqoftë, nëse jeni duke përdorur një server në internet Apache, procesi është plotësisht identik.

Për të marrë certifikatën, duhet të futni komandën:

certbot --nginx # for Nginx certbot --apache # for Apache

Si përgjigje, mjeti do të kërkojë: një adresë emaili, pëlqim për kushtet e përdorimit të shërbimit Let's Encrypt dhe leje për të dërguar email në emër të shërbimit dhe partnerëve të tij.

Marrja e një Certifikate SSL për Nginx dhe Apache

Pas kësaj, do t'ju duhet të specifikoni emrin e domenit për të cilin është lëshuar certifikata. Certbot mund të përcaktojë automatikisht domenin nëse është specifikuar në Emri i serverit fushë për nginx konfigurimi ose Emri i serverit Emrat e Serverit për Apache. Nëse nuk specifikohet, programi do t'ju njoftojë dhe do t'ju kërkojë të vendosni manualisht emrin e domenit. Më pas, programi do të pyesë nëse do të mundësojë ridrejtimin e kërkesave nga protokolli HTTP në HTTPS. Për të konfiguruar ridrejtimin automatik, duhet të zgjidhni opsionin e dytë:

Ridrejtimi i kërkesave nga HTTP në HTTPS

Pas ca kohësh, Certbot do t'ju informojë për blerjen e suksesshme të certifikatës për domenin e specifikuar. Nga kjo pikë e tutje, të gjitha lidhjet hyrëse do të ridrejtohen nga porti 80 në 443. Mjeti do të shfaqë drejtoritë në të cilat mund të gjeni të gjitha të dhënat e certifikatës dhe detajet e llogarisë Let's Encrypt:

Lëshimi me sukses i Certifikatës Certbot

Mesazhi do të specifikojë gjithashtu periudhën e vlefshmërisë së certifikatës së marrë dhe opsionet e rëndësishme për menaxhimin e të gjitha certifikatave aktive:

  1. sigurisht. Ky opsion përdoret për marrjen ose përditësimin e certifikatës pa konfigurim automatik të serverit në internet. Certbot do të kërkojë ose përditësojë vetëm certifikatën, por nuk do të bëjë asnjë ndryshim automatik në konfigurimin e serverit. Më parë, ne e përdornim këtë opsion për të marrë një certifikatë pa u lidhur me një server në internet.
  2. përtërij përdoret për rinovimin automatik të të gjitha certifikatave që janë marrë përmes Certbot dhe janë brenda periudhës së vlefshmërisë së tyre. Programi do të kontrollojë të gjitha certifikatat dhe nëse ndonjë prej tyre skadon brenda 30 ditëve ose më pak, ai do të rinovohet automatikisht.

Më tej në udhëzimet, ne do të diskutojmë se si të vendosni rinovimin automatik të certifikatave pa ndërhyrjen e përdoruesit çdo tre muaj.

Rinovimi automatik i certifikatës në Certbot

Për Debian/Ubuntu

Kur përdorni këto sisteme operative, Certbot automatikisht shton një skript në listën e detyrave për rinovimin automatik të certifikatave të instaluara. Ju mund të kontrolloni funksionalitetin e skriptit me komandën e mëposhtme:

systemctl status certbot.timer
Kontrollimi i statusit të shërbimit certbot.timer

Përgjigja do të shfaq statusin e shërbimit, si dhe drejtorinë që përmban skedarin e konfigurimit. Ju mund ta hapni këtë duke përdorur çdo redaktues teksti. Nëse nuk keni përvojë me redaktuesit e tekstit në Linux, ju rekomandojmë të njiheni me pasqyra jonë nga zgjidhjet më të njohura. Në këtë rast, ne do të përdorim nano:

nano /lib/systemd/system/certbot.timer
Duke parë konfigurimin e certbot.timer

Të gjithë parametrat e rëndësishëm janë theksuar:

  1. Orari tregon se shërbimi do të funksionojë dy herë në ditë në orën 00:00 dhe 12:00;
  2. Një vlerë e dytë tregon një vonesë të rastësishme në sekonda që do t'i shtohet fillimit të kohëmatësit. Në këtë rast, është 43,200 sekonda (12 orë), gjë që e bën lëshimin më të rastësishëm dhe shpërndan ngarkesën;
  3. Ky parametër siguron që nëse kohëmatësi supozohej të ekzekutohej gjatë një mbylljeje të sistemit, ai do të aktivizohet menjëherë pas nisjes.

Ju gjithashtu mund të kryeni një kontroll të detyruar të rinovimit të certifikatës me komandën:

certbot renew --dry-run

Duke përdorur këtë komandë, certifikatat nuk do të përditësohen. Në vend të kësaj, mjeti do të kryejë veprime të ngjashme me marrjen e një certifikate pas skadimit të saj. Në këtë mënyrë, ju mund të siguroni funksionalitetin e shërbimit në lidhje me rinovimin automatik.

Për CentOS, Fedora dhe të tjerë

Procesi i aktivizimit të përditësimeve automatike në sistemet e familjes Red Hat ndryshon paksa. Ndryshe nga Debian/Ubuntu, për CentOS dhe sisteme të tjera, ju duhet të shtoni manualisht një detyrë në planifikues. Për këtë, ne do të përdorim cron mjet:

crontab -e

Pastaj, në skedarin që hapet, shtoni rreshtin e mëposhtëm:

0 12 * * * /usr/bin/certbot renew --quiet

Le të zbërthejmë argumentet kryesore të komandës:

  1. Koha e ekzekutimit. Në këtë rast, komanda do të ekzekutohet automatikisht në orën 12:00 çdo ditë;
  2. Komanda për të rinovuar certifikatat SSL/TLS duke përdorur Certbot;
  3. La -- i qetë flamuri shtyp daljen, duke e bërë procesin më të fshehur dhe më pak ndërhyrës në regjistrat ose shfaqjen e sistemit.

Pas shtimit të komandës, duhet të ruani ndryshimet në skedar.

Ashtu si me Debian/Ubuntu, ju gjithashtu mund të filloni një kontroll të detyruar të rinovimeve të certifikatave:

certbot renew --dry-run

Rezultati i një ekzekutimi të suksesshëm të komandës duket si më poshtë:

Rezultati i një kontrolli të suksesshëm të komandës së rinovimit

Përfundim

Ne kemi eksploruar procesin gjithëpërfshirës të instalimit dhe konfigurimit të Certbot në një server Linux. Duke ndjekur udhëzimet e dhëna, mund të merrni me sukses një certifikatë SSL/TLS nga Let's Encrypt, ta instaloni atë në serverin tuaj të internetit dhe të konfiguroni rinovimin automatik për të siguruar mbrojtje të vazhdueshme dhe rritje të besimit në burimin tuaj të internetit. Me Certbot, ju mund të krijoni lehtësisht një mjedis të besueshëm dhe të sigurt për përdoruesit.

⮜ Artikulli i mëparshëm Reduktimi i ngarkesës së serverit
Artikulli tjetër ⮞ Linux Menaxherët e Paketave

Na pyesni për VPS

Ne jemi gjithmonë të gatshëm t'u përgjigjemi pyetjeve tuaja në çdo kohë të ditës apo natës.
ProfitServer
@profitserver
Bashkohuni në kanal