Certbot: Inasakinisha Cheti cha Hebu Tusimbe kwa Njia Fiche

Katika makala hii, tutachunguza mchakato wa kufunga na kusanidi Certbot kwenye seva ya Linux. Tutaelezea kwa undani jinsi ya kupata cheti cha Let's Encrypt SSL/TLS kwa kikoa chako. Pia tutaelezea jinsi ya kukisakinisha kwenye seva ya wavuti (kama vile Nginx au Apache) na kusanidi usasishaji wa cheti kiotomatiki ili kuhakikisha muunganisho salama unaoendelea na rasilimali yako ya wavuti.

Certbot ni zana isiyolipishwa ya chanzo-wazi iliyoundwa kwa ajili ya kupata na kusasisha kiotomatiki Vyeti vya SSL/TLS. Inachukua jukumu muhimu katika kupata muunganisho kati ya seva na mteja, kulinda data kutoka kwa ufikiaji usioidhinishwa. Certbot hurahisisha usakinishaji na mchakato wa kusasisha cheti cha SSL. Sio tu kwamba cheti huongeza usalama, lakini pia huongeza imani ya mtumiaji katika rasilimali yako ya wavuti, na hivyo kuboresha sifa ya tovuti na viwango vyake vya injini tafuti.

Inasakinisha Certbot

Certbot imejumuishwa katika usambazaji wengi kwa chaguo-msingi, kwa hivyo kuisakinisha Debian / Ubuntu mifumo, unahitaji tu kusasisha orodha ya kifurushi:

apt update

Kisha, anza mchakato wa ufungaji:

apt install certbot

Certbot hutumia programu-jalizi zinazowezesha usanidi na usanidi wa cheti cha seva ya wavuti. Ili kusakinisha programu-jalizi hizi, tumia amri inayolingana:

apt install certbot python3-certbot-nginx # for Nginx
apt install certbot python3-certbot-apache # for Apache

Mchakato wa ufungaji kwa Red Hat mifumo (kama vile RHEL, CentOS, Fedora) ni tofauti kidogo. Hapo awali, unahitaji kuongeza hazina ya EPEL:

yum install epel-release

Kisha sakinisha chombo:

yum install certbot

Vile vile, kuna chaguo la kuchagua programu-jalizi kwa seva maalum ya wavuti:

yum install python3-certbot-nginx # for Nginx
yum install python3-certbot-apache # for Apache

Baada ya ufungaji, unaweza kuendelea mara moja kupata cheti.

Kupata Cheti cha SSL

Katika sehemu hii, tutajadili mchakato wa kupata cheti bila kutegemea seva maalum ya wavuti, ikifuatiwa na kuelezea mchakato wa kusakinisha cheti cha Nginx na Apache. Hata hivyo, ni muhimu kwanza kuelewa sintaksia na utendaji kazi wa programu. Inaonekana kama ifuatavyo:

certbot command option -d domain

Amri kuu ni pamoja na:

certbot certonly - Hurejesha cheti lakini hakisakinishi.
certbot certificates - Amri hii inaonyesha orodha ya vyeti vyote vilivyosakinishwa.
certbot renew - Inapanua cheti kilichopo.
certbot revoke - Inabatilisha cheti kilichopo.
certbot delete - Inafuta cheti kilichopo.

Chaguzi zinazotumiwa zaidi ni:

--nginx - Hutumia maandishi ya usanidi wa Nginx kwa uthibitishaji wa kikoa.
--apache - Hutumia hati za usanidi za Apache kwa uthibitishaji wa kikoa.
-d - Orodha ya vikoa ambavyo cheti kinaombwa.
--standalone - Hutumia hali ya pekee kwa uthibitishaji wa kikoa.
--manual - Hufanya uthibitishaji wa kikoa mwenyewe.

Huu ni mfano tu wa amri na chaguzi za mara kwa mara. Unaweza kujijulisha na orodha kamili ya uwezo wa programu katika sehemu ya usaidizi:

certbot –help

Sasa tunaendelea kupata cheti. Kwa mfano, tutapata cheti cha a Seva ya kawaida kwa kikoa kisicholipishwa cha kiwango cha tatu kama yourusername.pserver.space

Kwanza, unahitaji kuingiza amri:

certbot certonly

Kwa kujibu, shirika litakuuliza uchague mbinu ya kuthibitisha umiliki wa kikoa:

Chaguo la kwanza ni rahisi ikiwa huna seva ya wavuti iliyosanidiwa au hutaki kufanya mabadiliko kwa iliyopo. Njia hii huunda seva ya wavuti ya muda ili kudhibitisha haki yako ya kikoa. Ni bora kwa usanidi rahisi na wa haraka. Wakati wa kuchagua njia hii, ni muhimu kuweka bandari 80 bila malipo.

Chaguo la pili ni vyema ikiwa tayari una seva ya wavuti inayofanya kazi, na unataka kuitumia ili kuthibitisha haki ya kikoa. Certbot huweka faili maalum kwenye folda kwenye seva yako, ambazo huangaliwa na kituo cha uthibitishaji.

Tunachagua chaguo la kwanza na bonyeza ijayo. Katika hatua hii, utahitaji:

1. Ingiza barua pepe;
2. Kukubaliana na masharti ya huduma;
3. Kubali au kukataa kupokea barua pepe kwa niaba ya kampuni na washirika wake;
4. Bainisha jina la kikoa ambalo cheti kimetolewa.

Baada ya kukamilisha mchakato wa utoaji wa cheti kwa zana ya Certbot, itaonyesha njia ya saraka ambapo cheti kilichotolewa na data ya akaunti yako huhifadhiwa:

Kilichobaki ni wewe kuunganisha cheti kilichopatikana kwa huduma inayohitajika.

Kufunga Cheti cha Nginx au Apache

Sehemu hii inachukulia kuwa masharti fulani ya kimsingi yametimizwa:

1. Tayari umesakinisha na kusanidi seva ya wavuti, ama Nginx au Apache. Ni lazima ipatikane kutoka kwa mtandao kupitia jina la kikoa ambalo unakusudia kupata cheti;
2. Wakati wa ufungaji wa chombo, umeweka pia programu-jalizi ya Nginx au Apache kwa kutumia amri inayofaa;
3. Ngome huruhusu miunganisho kwenye milango 80 na 443. Lango hizi zikifungwa kwa miunganisho, huduma haitapatikana kwa miunganisho inayoingia. Kwa maelezo zaidi juu ya uendeshaji wa firewall, tulijadili hili katika makala juu kuanzisha firewall kwenye Linux.

Mara tu masharti yote yametimizwa, unaweza kuendelea moja kwa moja kwenye utoaji wa cheti. Tutazingatia mchakato wa kupata cheti cha SSL kwenye seva kwa kutumia Nginx kama mfano. Walakini, ikiwa unatumia seva ya wavuti ya Apache, mchakato huo unafanana kabisa.

Ili kupata cheti, unahitaji kuingiza amri:

certbot --nginx # for Nginx
certbot --apache # for Apache

Kwa kujibu, zana itaomba: anwani ya barua pepe, idhini ya sheria na masharti ya huduma ya Hebu Tusimba, na ruhusa ya kutuma barua pepe kwa niaba ya huduma na washirika wake.

Kufuatia hilo, utahitaji kutaja jina la kikoa ambalo cheti kimetolewa. Certbot inaweza kuamua kikoa kiotomatiki ikiwa ilibainishwa kwenye faili ya server_name shamba kwa Nginx usanidi au ServerName na ServerAlias kwa Apache. Ikiwa haijabainishwa, programu itakujulisha na kukuuliza uingize jina la kikoa kwa mikono. Kisha, shirika litauliza ikiwa itawezesha uelekezaji upya wa maombi kutoka kwa HTTP hadi itifaki ya HTTPS. Ili kusanidi uelekezaji upya kiotomatiki, unapaswa kuchagua chaguo la pili:

Baada ya muda, Certbot itakujulisha kuhusu upataji wa cheti uliofaulu wa kikoa kilichobainishwa. Kuanzia hatua hii kwenda mbele, miunganisho yote inayoingia itaelekezwa kwingine kutoka bandari 80 hadi 443. Zana itaonyesha saraka ambapo unaweza kupata data yote ya cheti na maelezo ya akaunti ya Hebu Tusimbe kwa Njia Fiche:

Ujumbe huo pia utabainisha muda wa uhalali wa cheti kilichopatikana na chaguo muhimu za kudhibiti vyeti vyote vinavyotumika:

1. hakika. Chaguo hili linatumika kupata au kusasisha cheti bila usanidi otomatiki wa seva ya wavuti. Certbot itaomba au kusasisha cheti pekee lakini haitafanya mabadiliko yoyote ya kiotomatiki kwenye usanidi wa seva. Hapo awali, tulitumia chaguo hili kupata cheti bila kuunganishwa na seva ya wavuti.
2. upya inatumika kwa usasishaji kiotomatiki wa vyeti vyote ambavyo vimepatikana kupitia Certbot na viko ndani ya muda wao wa uhalali. Programu itaangalia vyeti vyote, na ikiwa yoyote kati yao itaisha ndani ya siku 30 au chini, itasasishwa kiotomatiki.

Ifuatayo katika maagizo, tutajadili jinsi ya kuanzisha upyaji wa moja kwa moja wa vyeti bila kuingilia kati kwa mtumiaji kila baada ya miezi mitatu.

Upyaji wa Cheti Kiotomatiki katika Certbot

Kwa Debian/Ubuntu

Wakati wa kutumia mifumo hii ya uendeshaji, Certbot huongeza hati kiotomatiki kwenye orodha ya kazi kwa usasishaji kiotomatiki wa vyeti vilivyosakinishwa. Unaweza kuangalia utendaji wa hati kwa amri ifuatayo:

systemctl status certbot.timer

Jibu litaonyesha hali ya huduma, pamoja na saraka iliyo na faili ya usanidi. Unaweza kufungua hii kwa kutumia kihariri chochote cha maandishi. Ikiwa huna uzoefu na wahariri wa maandishi katika Linux, tunapendekeza ujifahamishe muhtasari wetu ya suluhisho maarufu zaidi. Katika kesi hii, tutatumia nano:

nano /lib/systemd/system/certbot.timer

Vigezo vyote muhimu vinaonyeshwa:

1. Ratiba inaonyesha kuwa huduma itaendeshwa mara mbili kwa siku saa 00:00 na 12:00;
2. Thamani ya pili inaonyesha ucheleweshaji wa nasibu katika sekunde ambao utaongezwa kwenye kuanza kwa kipima muda. Katika kesi hii, ni sekunde 43,200 (masaa 12), ambayo inafanya uzinduzi zaidi wa random na kueneza mzigo;
3. Kigezo hiki kinahakikisha kwamba ikiwa kipima muda kilipaswa kutekelezwa wakati wa kuzima kwa mfumo, kitaamilishwa mara moja baada ya kuanza.

Unaweza pia kuendesha ukaguzi wa kulazimishwa wa kusasisha cheti kwa amri:

certbot renew --dry-run

Kwa kutumia amri hii, vyeti havitasasishwa. Badala yake, zana itafanya vitendo sawa na kupata cheti baada ya muda wake kuisha. Kwa njia hii, unaweza kuhakikisha utendakazi wa huduma kuhusu usasishaji kiotomatiki.

Kwa CentOS, Fedora, na wengine

Mchakato wa kuwezesha masasisho ya kiotomatiki kwenye mifumo ya familia ya Red Hat hutofautiana kidogo. Tofauti na Debian/Ubuntu, kwa CentOS na mifumo mingine, unahitaji kuongeza kazi kwa kipanga ratiba. Kwa hili, tutatumia cron chombo:

crontab -e

Kisha, katika faili inayofungua, ongeza mstari ufuatao:

0 12 * * * /usr/bin/certbot renew --quiet

Wacha tugawanye hoja kuu za amri:

1. Muda wa utekelezaji. Katika kesi hii, amri itaendesha moja kwa moja saa 12:00 kila siku;
2. Amri ya kufanya upya vyeti vya SSL/TLS kwa kutumia Certbot;
3. The --kimya bendera hukandamiza pato, na kufanya mchakato kuwa siri zaidi na usiingiliane sana na kumbukumbu za mfumo au onyesho.

Baada ya kuongeza amri, unahitaji kuokoa mabadiliko katika faili.

Kama vile Debian/Ubuntu, unaweza pia kuanzisha ukaguzi wa kulazimishwa wa usasishaji wa cheti:

certbot renew --dry-run

Matokeo ya utekelezaji mzuri wa amri inaonekana kama ifuatavyo:

Hitimisho

Tumechunguza mchakato wa kina wa kusakinisha na kusanidi Certbot kwenye seva ya Linux. Kwa kufuata maagizo yaliyotolewa, unaweza kupata cheti cha SSL/TLS kwa mafanikio kutoka kwa Let's Encrypt, kisakinishe kwenye seva yako ya wavuti, na usanidi usasishaji kiotomatiki ili kuhakikisha ulinzi unaoendelea na kuongezeka kwa imani katika rasilimali yako ya wavuti. Ukiwa na Certbot, unaweza kuunda kwa urahisi mazingira ya kuaminika na salama kwa watumiaji.