Вступление
Let’s Encrypt - это сервис, предлагающий бесплатные SSL-сертификаты через автоматизированный API. Самый популярный клиент Let Encrypt - это EFF's Certbot.
Certbot предлагает различные способы проверки вашего домена, получения сертификатов и автоматической настройки Apache и Nginx. В этом руководстве мы обсудим режим standalone компании Certbot и его использование для защиты других типов служб, таких как почтовый сервер или брокер сообщений, такой как RabbitMQ.
Мы не будем обсуждать детали конфигурации SSL, но когда вы закончите, у вас будет действительный сертификат, который автоматически обновляется. Кроме того, вы сможете автоматизировать перезагрузку службы для получения обновленного сертификата.
Предпосылки
Перед началом этого урока вам понадобится:
-
Сервер Debian 9 с пользователем без полномочий root, пользователем sudo и базовым брандмауэром, как описано в https://www.digitalocean.com/community/tutorials/initial-server-setup-with-debian-9[this Учебное пособие по настройке сервера Debian 9.
-
Доменное имя указывало на ваш сервер, что можно сделать, следуя «https://www.digitalocean.com/community/tutorials/how-to-set-up-a-host-name-with-digitalocean[How to Set Создайте имя хоста с помощью DigitalOcean]. »В этом руководстве будет использоваться` ++ `.
-
Порт 80 * или * 443 должен быть не использован на вашем сервере. Если служба, которую вы пытаетесь защитить, находится на компьютере с веб-сервером, который занимает оба этих порта, вам необходимо использовать другой режим, например https://certbot.eff.org/docs/using в Certbot. html # webroot [webroot mode] или режим вызова на основе DNS.
Шаг 1 - Установка Certbot
Debian 9 включает клиент Certbot в свой репозиторий по умолчанию, и он должен быть достаточно современным для базового использования. Если вам нужно выполнить задачи на основе DNS или использовать другие новые функции Certbot, вам следует вместо этого установить из репозитория + stretch-backports + в соответствии с инструкциями https://certbot.eff.org/lets-encrypt/debianstretch-other [ официальная документация Certbot.
Используйте + apt + для установки пакета + certbot +:
sudo apt install certbotВы можете проверить вашу установку, попросив + certbot + вывести ее номер версии:
certbot --versionOutputcertbot 0.28.0Теперь, когда у нас установлен Certbot, давайте запустим его, чтобы получить наш сертификат.
Шаг 2 - Запуск Certbot
Certbot должен ответить на криптографический вызов, выпущенный API Let Encrypt, чтобы доказать, что мы контролируем наш домен. Для этого используются порты + 80 + (HTTP) или + 443 + (HTTPS). Откройте соответствующий порт в брандмауэре:
sudo ufw allowЗамените + 443 + выше, если это порт, который вы используете. + ufw + выведет подтверждение, что ваше правило было добавлено:
OutputRule added
Rule added (v6)Теперь мы можем запустить Certbot, чтобы получить наш сертификат. Мы будем использовать опцию + - standalone +, чтобы сообщить Certbot о необходимости справиться с проблемой, используя собственный встроенный веб-сервер. Параметр + - предпочитаемый-вызов + указывает Certbot использовать порт 80 или порт 443. Если вы используете порт 80, вы хотите + - предпочитаемый-http '. Для порта 443 это будет `+ - предпочитаемый-вызов tls-sni +. Наконец, флаг + -d + используется для указания домена, для которого вы запрашиваете сертификат. Вы можете добавить несколько опций + -d + для покрытия нескольких доменов в одном сертификате.
sudo certbot certonly --standalone --preferred-challenges -dПри запуске команды вам будет предложено ввести адрес электронной почты и принять условия обслуживания. После этого вы должны увидеть сообщение о том, что процесс прошел успешно и где хранятся ваши сертификаты:
OutputIMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live//fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live//privkey.pem
Your cert will expire on 2019-08-28. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-leМы получили наши сертификаты. Давайте посмотрим, что мы скачали и как использовать файлы с нашим программным обеспечением.
Шаг 3 - Настройка вашего приложения
Настройка вашего приложения для SSL выходит за рамки этой статьи, поскольку у каждого приложения есть свои требования и параметры конфигурации, но давайте посмотрим, что Certbot загрузил для нас. Используйте + ls для вывода списка каталога, в котором хранятся ваши ключи и сертификаты:
sudo ls /etc/letsencrypt/live/Outputcert.pem chain.pem fullchain.pem privkey.pem READMEФайл + README + в этом каталоге содержит больше информации о каждом из этих файлов. Чаще всего вам понадобятся только два из этих файлов:
-
+ privkey.pem +: это закрытый ключ для сертификата. Это необходимо сохранить в секрете, поэтому большая часть каталога+ / etc / letsencrypt +имеет очень ограниченные разрешения и доступна только пользователю * root *. Большая часть конфигурации программного обеспечения будет ссылаться на это как нечто вроде+ ssl-certificate-key +или+ ssl-certificate-key-file +. -
+ fullchain.pem +: это наш сертификат, связанный со всеми промежуточными сертификатами. Большая часть программного обеспечения будет использовать этот файл для фактического сертификата и будет ссылаться на него в своей конфигурации с именем, подобным «ssl-Certificate».
Для получения дополнительной информации о других имеющихся файлах обратитесь к разделу «https://certbot.eff.org/docs/using.html#where-are-my-certificates[Where are Мои сертификаты]» документов Certbot.
Некоторому программному обеспечению потребуются его сертификаты в других форматах, в других местах или с другими разрешениями пользователя. Лучше всего оставить все в каталоге + letsencrypt + и не изменять там никаких разрешений (разрешения будут перезаписаны при обновлении в любом случае), но иногда это просто не вариант. В этом случае вам нужно будет написать скрипт для перемещения файлов и изменения прав доступа по мере необходимости. Этот скрипт нужно будет запускать всякий раз, когда Certbot обновляет сертификаты, о чем мы поговорим позже.
Шаг 4 - Обработка автоматических продлений Certbot
Сертификаты Let’s Encrypt действительны только в течение девяноста дней. Это должно стимулировать пользователей автоматизировать процесс обновления их сертификатов. Пакет + certbot +, который мы установили, позаботится об этом, добавив скрипт обновления в + / etc / cron.d +. Этот скрипт запускается два раза в день и обновляет любой сертификат, срок действия которого истекает в течение тридцати дней.
Поскольку наши сертификаты обновляются автоматически, нам все еще нужен способ запускать другие задачи после обновления. Нам нужно, по крайней мере, перезапустить или перезагрузить наш сервер, чтобы получить новые сертификаты, и, как уже упоминалось в шаге 3, нам может потребоваться каким-то образом манипулировать файлами сертификатов, чтобы они работали с программным обеспечением, которое мы используем. В этом и заключается цель Certbot + renew_hook +.
Чтобы добавить + renew_hook +, мы обновляем файл конфигурации продления Certbot. Certbot запоминает все детали того, как вы впервые получили сертификат, и будет работать с теми же параметрами при обновлении. Нам просто нужно добавить в наш крючок. Откройте файл конфигурации в вашем любимом редакторе:
sudo nano /etc/letsencrypt/renewal/example.com.confОткроется текстовый файл с некоторыми параметрами конфигурации. Добавьте свой крючок в последнюю строку:
/etc/letsencrypt/renewal/example.com.conf
renew_hook =Измените приведенную выше команду на все, что вам нужно, чтобы перезагрузить сервер или запустить собственный скрипт проверки файлов. Обычно в Debian вы чаще всего используете + systemctl + для перезагрузки сервиса. Сохраните и закройте файл, затем выполните пробный запуск Certbot, чтобы убедиться, что синтаксис в порядке:
sudo certbot renew --dry-runЕсли вы не видите ошибок, все готово. Certbot настроен на обновление при необходимости и запуск любых команд, необходимых для получения вашего сервиса с использованием новых файлов.
Заключение
В этом руководстве мы установили клиент Certbot Let Encrypt, загрузили сертификат SSL в автономном режиме и включили автоматическое продление с помощью перехватчиков возобновления. Это должно дать вам хорошее начало для использования сертификатов Let Encrypt с сервисами, отличными от вашего обычного веб-сервера.
Для получения дополнительной информации, пожалуйста, обратитесь к Certbot документации.