Certbot אויף Nginx אָדער Apache. ינסטאָלינג זאל ס ענקריפּט ססל

אין דעם אַרטיקל, מיר וועלן ויספאָרשן דעם פּראָצעס פון ינסטאַלירונג און קאַנפיגיעריישאַן סערטבאָט אויף אַ לינוקס סערווער. מיר וועלן דערקלערן אין דעטאַל ווי צו באַקומען אַ Let's Encrypt SSL / TLS באַווייַזן פֿאַר דיין פעלד. מיר וועלן אויך באַשרייַבן ווי צו ינסטאַלירן עס אויף אַ וועב סערווער (אַזאַ ווי Nginx אָדער Apache) און שטעלן אַרויף אָטאַמאַטיק באַווייַזן רינואַלז צו ענשור אַ קעסיידערדיק זיכער פֿאַרבינדונג מיט דיין וועב מיטל.

סערטבאָט איז אַ פריי אָפֿן מקור געצייַג דיזיינד פֿאַר אָטאַמאַטיק אַקוואַזישאַן און רינואַל פון SSL / TLS סערטיפיקאַץ. עס פיעסעס אַ קריטיש ראָלע אין סיקיורינג די קשר צווישן די סערווער און דער קליענט, פּראַטעקטינג דאַטן פון אַנאָטערייזד אַקסעס. Certbot סימפּלאַפייז די ינסטאַלירונג און רינואַל פּראָצעס פון אַ SSL באַווייַזן. ניט בלויז טוט די סערטיפיקאַט פאַרבעסערן זיכערהייט, אָבער עס אויך בוסץ באַניצער צוטרוי אין דיין וועב מיטל, דערמיט ימפּרוווינג ביידע די פּלאַץ ס שעם און זייַן זוכן מאָטאָר ראַנגקינגז.

ינסטאָלינג Certbot

Certbot איז אַרייַנגערעכנט אין רובֿ דיסטריביושאַנז דורך פעליקייַט, אַזוי צו ינסטאַלירן עס אויף דעביאַן / ובונטו סיסטעמען, איר נאָר דאַרפֿן צו דערהייַנטיקן די פּעקל רשימה:

apt update

דערנאָך, אָנהייבן די ינסטאַלירונג פּראָצעס:

apt install certbot

Certbot שטיצט פּלוגינס וואָס פאַסילאַטייט די סעטאַפּ און קאַנפיגיעריישאַן פון די באַווייַזן פֿאַר אַ וועב סערווער. צו ינסטאַלירן די פּלוגינס, נוצן די קאָראַספּאַנדינג באַפֿעל:

apt install certbot python3-certbot-nginx # for Nginx
apt install certbot python3-certbot-apache # for Apache

דער ייַנמאָנטירונג פּראָצעס פֿאַר רויט האַט סיסטעמען (אַזאַ ווי rhel, סענטאָס, פעדאָראַ) איז אַ ביסל אַנדערש. טכילעס, איר דאַרפֿן צו לייגן די EPEL ריפּאַזאַטאָרי:

yum install epel-release

דערנאָך ינסטאַלירן די געצייַג:

yum install certbot

סימילאַרלי, עס איז אַן אָפּציע צו אויסקלייַבן אַ פּלוגין פֿאַר אַ ספּעציפיש וועב סערווער:

yum install python3-certbot-nginx # for Nginx
yum install python3-certbot-apache # for Apache

נאָך ייַנמאָנטירונג, איר קענען מיד גיינ ווייַטער צו באַקומען די באַווייַזן.

באַקומען אַ SSL סערטיפיקאַט

אין דעם אָפּטיילונג, מיר וועלן דיסקוטירן דעם פּראָצעס פון קריגן אַ באַווייַזן ינדיפּענדאַנטלי פון אַ ספּעציפיש וועב סערווער, נאכגעגאנגען דורך דיסקרייבינג דעם פּראָצעס פון ינסטאָלינג די באַווייַזן פֿאַר Nginx און Apache. אָבער, עס איז יקערדיק ערשטער צו פֿאַרשטיין די סינטאַקס און פאַנגקשאַנאַליטי פון די פּראָגראַם. עס איז ווי גייט:

certbot command option -d domain

די הויפּט קאַמאַנדז אַרייַננעמען:

certbot certonly - ריטריווז די באַווייַזן אָבער טוט נישט ינסטאַלירן עס.
certbot certificates - דעם באַפֿעל דיספּלייז אַ רשימה פון אַלע אינסטאַלירן סערטיפיקאַץ.
certbot renew - עקסטענדז די יגזיסטינג באַווייַזן.
certbot revoke - ריוואָוקס די יגזיסטינג באַווייַזן.
certbot delete - דיליץ די יגזיסטינג באַווייַזן.

די מערסט פאָלקס אָפּציעס זענען:

--nginx - ניצט Nginx קאַנפיגיעריישאַן סקריפּס פֿאַר פעלד וועראַפאַקיישאַן.
--apache - ניצט אַפּאַטשי קאַנפיגיעריישאַן סקריפּס פֿאַר פעלד וועראַפאַקיישאַן.
-d - א רשימה פון דאָומיינז פֿאַר וואָס די באַווייַזן איז פארלאנגט.
--standalone - ניצט סטאַנדאַלאָנע מאָדע פֿאַר פעלד וועראַפאַקיישאַן.
--manual - פּערפאָרמס מאַנואַל פעלד וועראַפאַקיישאַן.

דאָס איז בלויז אַ ביישפּיל פון די מערסט אָפט קאַמאַנדז און אָפּציעס. איר קענט באקענען זיך מיט די פול רשימה פון פּראָגראַם קייפּאַבילאַטיז אין די הילף אָפּטיילונג:

certbot –help

מיר איצט גיינ ווייַטער צו קריגן די באַווייַזן. ווי אַ בייַשפּיל, מיר וועלן באַקומען אַ באַווייַזן פֿאַר אַ ווירטואַל סערווער פֿאַר אַ פריי דריט-מדרגה פעלד ווי yourusername.pserver.space

ערשטער, איר דאַרפֿן צו אַרייַן די באַפֿעל:

certbot certonly

אין ענטפער, די נוצן וועט פרעגן איר צו קלייַבן אַ אופֿן פֿאַר וועראַפייינג פעלד אָונערשיפּ:

ווי צו באַקומען אַ Certbot SSL סערטיפיקאַט

דער ערשטער אָפּציע איז באַקוועם אויב איר טאָן ניט האָבן אַ קאַנפיגיערד וועב סערווער אָדער איר טאָן נישט וועלן צו מאַכן ענדערונגען צו אַ יגזיסטינג. דער אופֿן קריייץ אַ צייַטווייַליק וועב סערווער צו באַשטעטיקן דיין רעכט צו די פעלד. עס איז ידעאַל פֿאַר אַ פּשוט און שנעל סעטאַפּ. ווען טשוזינג דעם אופֿן, עס איז וויכטיק צו האַלטן פּאָרט 80 פריי.

די רגע אָפּציע איז בילכער אויב איר שוין האָבן אַ וועב סערווער אַפּערייטינג, און איר ווילן צו נוצן עס צו באַשטעטיקן די רעכט צו די פעלד. Certbot לייגט ספּעציעלע טעקעס אין אַ טעקע אויף דיין סערווער, וואָס זענען דאַן אָפּגעשטעלט דורך די סערטאַפייינג צענטער.

מיר קלייַבן די ערשטער אָפּציע און גיט ווייַטער. אין דעם בינע, איר וועט דאַרפֿן צו:

אַרייַן אַ בליצפּאָסט אַדרעס;
שטימען צו די טערמינען פון דינסט;
שטימען אָדער אָפּזאָגן צו באַקומען ימיילז אויף ביכאַף פון די פירמע און זייַן פּאַרטנערס;
ספּעציפיצירן די פעלד נאָמען פֿאַר וואָס די באַווייַזן איז ארויס.

נאָך קאַמפּליטינג די סערטיפיקאַט ישואַנס פּראָצעס מיט די Certbot געצייַג, עס וועט אָנווייַזן דעם דרך צו דער וועגווייַזער ווו די ארויס באַווייַזן און די דאַטן פֿאַר דיין חשבון זענען סטאָרד:

אַלע וואָס בלייבט איז פֿאַר איר צו פאַרבינדן די באקומען באַווייַזן צו די פארלאנגט דינסט.

ינסטאָלינג די סערטיפיקאַט פֿאַר Nginx אָדער Apache

דער אָפּטיילונג אַסומז אַז עטלעכע פונדאַמענטאַל טנאָים זענען באגעגנט:

איר האָט שוין אינסטאַלירן און קאַנפיגיערד אַ וועב סערווער, אָדער Nginx אָדער Apache. עס מוזן זיין צוטריטלעך פֿון די אינטערנעט דורך די פעלד נאָמען פֿאַר וואָס איר בדעה צו באַקומען די באַווייַזן;
בעשאַס די ייַנמאָנטירונג פון די געצייַג, איר אויך אינסטאַלירן אַ פּלוגין פֿאַר נגינקס אָדער אַפּאַטשי ניצן די צונעמען באַפֿעל;
די פיירוואַל אַלאַוז קאַנעקשאַנז אויף פּאָרץ 80 און 443. אויב די פּאָרץ זענען פארמאכט צו קאַנעקשאַנז, די דינסט וועט זיין אַנאַוויילאַבאַל פֿאַר ינקאַמינג קאַנעקשאַנז. פֿאַר מער דעטאַילס וועגן פירעוואַלל אָפּעראַציע, מיר דיסקאַסט דעם אין דעם אַרטיקל אויף באַשטעטיקן אַ פיירוואַל אויף לינוקס.

אַמאָל אַלע באדינגונגען זענען צופֿרידן, איר קענען גיינ ווייַטער גלייַך צו די סערטיפיקאַט ישואַנס. מיר וועלן באַטראַכטן דעם פּראָצעס פון קריגן אַ SSL באַווייַזן אויף אַ סערווער ניצן Nginx ווי אַ בייַשפּיל. אָבער, אויב איר נוצן אַ אַפּאַטשי וועב סערווער, דער פּראָצעס איז גאָר יידעניקאַל.

צו באַקומען די באַווייַזן, איר דאַרפֿן צו אַרייַן די באַפֿעל:

certbot --nginx # for Nginx
certbot --apache # for Apache

אין ענטפער, די געצייַג וועט בעטן: אַן E- בריוו אַדרעס, צושטימען צו די טערמינען פון נוצן פון די Let's Encrypt סערוויס און דערלויבעניש צו שיקן E- בריוו אין ביכאַף פון די סערוויס און זיין פּאַרטנערס.

באַקומען אַן SSL סערטיפיקאַט פֿאַר Nginx און Apache

נאָך דעם, איר וועט דאַרפֿן צו ספּעציפיצירן די פעלד נאָמען פֿאַר וואָס די באַווייַזן איז ארויס. Certbot קענען אויטאָמאַטיש באַשטימען די פעלד אויב עס איז געווען ספּעסיפיעד אין די סערווער_נאַמע פעלד פֿאַר נגינקס קאַנפיגיעריישאַן אָדער סערווערנאַמע און סערווירער אַליאַס פֿאַר אַפּאַטשי. אויב עס איז נישט ספּעסיפיעד, די פּראָגראַם וועט געבנ צו וויסן איר און פרעגן איר צו אַרייַן די פעלד נאָמען מאַניואַלי. דערנאָך, די נוצן וועט פרעגן צי צו געבן רידערעקשאַן פון ריקוועס פֿון הטטפּ צו הטטפּס פּראָטאָקאָל. צו שטעלן אָטאַמאַטיק רידערעקשאַן, איר זאָל קלייַבן די רגע אָפּציע:

נאָך עטלעכע מאָל, Certbot וועט מיטטיילן איר וועגן די געראָטן אַקוואַזישאַן פון די באַווייַזן פֿאַר די ספּעסיפיעד פעלד. פֿון דעם פונט פאָרויס, אַלע ינקאַמינג קאַנעקשאַנז וועט זיין רידערעקטיד פון פּאָרט 80 צו 443. די געצייַג וועט ווייַזן די דירעקטעריז אין וואָס איר קענען געפֿינען אַלע די באַווייַזן דאַטן און די זאל ס ענקריפּט חשבון דעטאַילס:

געראָטן ישואַנס פון די Certbot סערטיפיקאַט

דער אָנזאָג וועט אויך ספּעציפיצירן די גילטיקייַט צייַט פון די באקומען באַווייַזן און וויכטיק אָפּציעס פֿאַר אָנפירונג אַלע אַקטיוו סערטיפיקאַץ:

אַוודאי. דער אָפּציע איז געניצט פֿאַר באקומען אָדער אַפּדייטינג די באַווייַזן אָן אָטאַמאַטיק וועב סערווער קאַנפיגיעריישאַן. Certbot וועט בלויז בעטן אָדער דערהייַנטיקן די באַווייַזן אָבער וועט נישט מאַכן קיין אָטאַמאַטיק ענדערונגען צו די סערווער קאַנפיגיעריישאַן. ביז אַהער, מיר געוויינט דעם אָפּציע צו באַקומען אַ באַווייַזן אָן זיין טייד צו אַ וועב סערווער.
באַנייַען איז געניצט פֿאַר די אָטאַמאַטיק רינואַל פון אַלע סערטיפיקאַץ וואָס זענען באקומען דורך Certbot און זענען אין זייער גילטיקייַט צייַט. דער פּראָגראַם וועט קאָנטראָלירן אַלע סערטיפיקאַץ, און אויב איינער פון זיי ויסגיין אין 30 טעג אָדער ווייניקער, עס וועט זיין אויטאָמאַטיש באנייט.

ווייַטער אין די ינסטראַקשאַנז, מיר וועלן דיסקוטירן ווי צו שטעלן די אָטאַמאַטיק רינואַל פון סערטיפיקאַץ אָן באַניצער ינטערווענטיאָן יעדער דריי חדשים.

אָטאַמאַטיק סערטיפיקאַט רינואַל אין Certbot

פֿאַר דעביאַן / ובונטו

ווען ניצן די אָפּערייטינג סיסטעמען, Certbot מוסיף אויטאָמאַטיש אַ שריפט צו די אַרבעט רשימה פֿאַר די אָטאַמאַטיק רינואַל פון אינסטאַלירן סערטיפיקאַץ. איר קענען קאָנטראָלירן די פאַנגקשאַנאַליטי פון די שריפט מיט די פאלגענדע באַפֿעל:

systemctl status certbot.timer

קאָנטראָלירן די סטאַטוס פון די certbot.timer סערוויס

דער ענטפער וועט ווייַזן די סטאַטוס פון די דינסט, ווי געזונט ווי די וועגווייַזער מיט די קאַנפיגיעריישאַן טעקע. איר קענען עפֿענען דעם מיט קיין טעקסט רעדאַקטאָר. אויב איר זענט נישט יקספּיריאַנסט מיט טעקסט רעדאקציע אין לינוקס, מיר רעקאָמענדירן צו באַקענען זיך מיט אונדזער איבערבליק פון די מערסט פאָלקס סאַלושאַנז. אין דעם פאַל, מיר וועלן נוצן נאַנאָ:

nano /lib/systemd/system/certbot.timer

וויוינג די קאַנפיגיעריישאַן פון certbot.timer

אַלע וויכטיק פּאַראַמעטערס זענען כיילייטיד:

דער פּלאַן ינדיקייץ אַז די דינסט וועט לויפן צוויי מאָל אַ טאָג בייַ 00:00 און 12:00;
א צווייטע ווערט ינדיקייץ אַ טראַפ - פאַרהאַלטן אין סעקונדעס וואָס וועט זיין מוסיף צו די אָנהייב פון די טייַמער. אין דעם פאַל, עס איז 43,200 סעקונדעס (12 שעה), וואָס מאכט די קאַטער מער טראַפ און פאַרשפּרייטן די מאַסע;
דער פּאַראַמעטער ינשורז אַז אויב די טייַמער איז געווען געמיינט צו זיין עקסאַקיוטאַד בעשאַס אַ סיסטעם שאַטדאַון, עס וועט זיין אַקטיווייטיד מיד נאָך סטאַרטאַפּ.

איר קענען אויך לויפן אַ געצווונגען טשעק פון באַווייַזן רינואַל מיט די באַפֿעל:

certbot renew --dry-run

ניצן דעם באַפֿעל, די סערטיפיקאַץ וועט נישט זיין דערהייַנטיקט. אַנשטאָט, די געצייַג וועט דורכפירן אַקשאַנז ענלעך צו קריגן אַ באַווייַזן אויף די עקספּעריישאַן. דעם וועג, איר קענען ענשור די פאַנגקשאַנאַליטי פון די סערוויס וועגן אָטאַמאַטיק רינואַל.

פֿאַר CentOS, Fedora און אנדערע

דער פּראָצעס פון געבן אָטאַמאַטיק דערהייַנטיקונגען אויף Red Hat משפּחה סיסטעמען איז אַ ביסל אַנדערש. ניט ענלעך דעביאַן / ובונטו, פֿאַר CentOS און אנדערע סיסטעמען, איר דאַרפֿן צו מאַניואַלי לייגן אַ אַרבעט צו די סקעדזשולער. פֿאַר דעם, מיר וועלן נוצן די קראַן געצייַג:

crontab -e

דערנאָך, אין דער טעקע וואָס אָפּענס, לייגן די פאלגענדע שורה:

0 12 * * * /usr/bin/certbot renew --quiet

זאל ס ברעכן אַראָפּ די הויפּט אַרגומענטן פון די באַפֿעל:

די דורכפירונג צייט. אין דעם פאַל, די באַפֿעל וועט אויטאָמאַטיש לויפן בייַ 12:00 יעדער טאָג;
דער באַפֿעל צו באַנייַען ססל / טלס סערטיפיקאַץ ניצן Certbot;
די — שטיל פאָן סאַפּרעסיז רעזולטאַט, מאכן דעם פּראָצעס מער פאַרבאָרגן און ווייניקער ינטרוסיוו אין סיסטעם לאָגס אָדער אַרויסווייַזן.

נאָך אַדינג די באַפֿעל, איר דאַרפֿן צו ראַטעווען די ענדערונגען אין דער טעקע.

פּונקט ווי מיט דעביאַן / ובונטו, איר קענען אויך אָנהייבן אַ געצווונגען טשעק פון באַווייַזן רינואַלז:

certbot renew --dry-run

דער רעזולטאַט פון אַ מצליח דורכפירונג פון די באַפֿעל קוקט ווי גייט:

דער רעזולטאַט פון אַ געראָטן טשעק פון די באַנייַען באַפֿעל

סאָף

מיר האָבן יקספּלאָרד די פולשטענדיק פּראָצעס פון ינסטאָלינג און קאַנפיגיער Certbot אויף אַ לינוקס סערווער. דורך נאָכפאָלגן די צוגעשטעלט אינסטרוקציעס, איר קענען הצלחה באַקומען אַן SSL / TLS באַווייַזן פון Let's Encrypt, ינסטאַלירן עס אויף דיין וועב סערווער און קאַנפיגיער אָטאַמאַטיק רינואַל צו ענשור קעסיידערדיק שוץ און געוואקסן צוטרוי אין דיין וועב מיטל. מיט Certbot, איר קענען לייכט שאַפֿן אַ פאַרלאָזלעך און זיכער סוויווע פֿאַר יוזערז.

❮ פריערדיגער אַרטיקל רידוסינג סערווער מאַסע

נעקסטער אַרטיקל ❯ לינוקס פּאַקקאַגע מאַנאַגערס

Certbot: ינסטאָלינג זאל ס ענקריפּט סערטיפיקאַט