TLS tanúsítvány megszerzése Linuxra az ACME protokoll által

Az alábbi bejegyzés segít a tanúsítvány automatikus kiállításban és annak telepítésében a linux szerverére, köszönhetően a tanúsítvány kezelését szolgáló Certbot automatizált eszköznek. A leírás az Apacha webszerverre szól, de a Certbot használható Nginx, Haproxy és Plesk platformokon is. Ez egy nyílt forráskódú szoftver, ezért könnyen megszerezhető.

A tanúsítvány megszerzésének előkészítése

A tanúsítvány automatikus kiállításához és telepítéséhez fel kell vennie a kapcsolatot ügyfélszolgálatunkkal és végre kell hajtania egy egyszerű és egyedi előkészületet minden ügyfélnek.

  • Az első lépésként a vállalat és domain hitelesítésére van szükség, amelyet biztonságossá szeretne tenni. Ezt az SSLmarket támogatásával tudja véghezvinni, amely segít ennek véghezvitelében.
  • A sikeres hitelesítés után létrehozzuk az egyedi ACME Directory URL-t a hitelesítő hatóságnál. Ezt az URL-t fogja használni az ACME kliens (ebben az esetben a Certbot) a tanúsítvány megszerzéséhez.
  • Az ACME Directory URL egyedi minden felhasználó és termék számára. Egy URL-t nem tud több felhasználó használni.

A Certbot előkészítése a szerveren:

Telepítse a Certbotot a szerverén, ajánljuk a webszerver szerinti modulok telepítését. A modulok ezután megkönnyítik a tanúsítvány telepítési célhelyének kiválasztását, és közvetlenül működhetnek a kiszolgáló konfigurációjával (megkönnyíti a telepítés elvégzését).

Megjegyzés: A Certbot hivatalos oldalán kiválaszhatják egyenesen szervere operációs rendszer, és itt megtalálja a telepítés leírását is lépésről lépésre.

Tanúsítvány megszerzése és telepítése

A terminálban kérvényezze a tanúsítványt az alábbi paranccsal:
sudo certbot --apache --register-unsafely-without-email --server “Ön ACME Directory URL-ja” -d www.domainjeneve.hu -d domainjeneve.hu
Parancs választható paraméterei:

  • Certbot – elindítja a Certbot-pt
  • --apache – kiválassza a Apache Certbot plugint, amely telepíti a tanúsítványt az Ön számára.
  • --register-unsafely-without-email – lehetővé teszi átugorni az ACME fiók létrehozását
  • --server – meghatározzá, hogy az ACME mely szerverre érvényesüljön a kérelme alapján. Tehát definálja az ACME Directory URL-t
  • - d – A teljes domain név, amelyre a tanúsítványt szeretné kiadni. Ha nem jelöli ki ezt az opciót, úgy a Certbot a szerver koönfigurált vhost alapján kéri a megerősítést arról, hogy mely domaineket érintsen a kérelem.

A parancs megadása után felajánlja, hogy engedélyezi-e a https-re történő átirányítást az adott domainen: Output
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Jelölje be a választását és nyomjon ENTER-t. Az Ön által válaszott kinfiguráció beállítódik és a webszerver újraindítása után beolvasódik. Ezután megkapja az üzenetet az információkról arról, hogy a folyamat sikeres volt és hogy hol vannak a tanúsítványai elhelyezve: Output
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
expire on 2017-10-23. To obtain a new or tweaked version of this
certificate in the future, simply run certbot again with the
"certonly" option. To non-interactively renew *all* of your
certificates, run "certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

A Certbot ráadásul telepíti a szükséges Intermediate tanúsítványt, a telepítés helyességének ellenőrzéséhez pedig használhatja az online eszközünket, az SSL tanúsítványok ellenőrzését.

Általános megjegyzések

A tanúsítványok kiállításának automatizálásához tartozik néhány szabály, ezért ajánljuk figyelmébe az alábbi pontokat:

  • A DV tanúsítványok jelenleg nem támogatottak
  • A tanúsítvány kiállítása előtt szükséges a vállalati hitelesítés végigfutásának, utána pedig a domain hitelesítésnek
  • A domain esetében szükséges megcsinálni a preveting-et. Ennek két fázisa van:
    • 1. DCV a domain megerősítéséhez (e-mail, DNS, TXT)
    • 2. A hitelesített domain besorolódik a hitelesített vállalathoz, amely el is kezdheti használni azt.
  • ACME URL konkrét termékre és konkrét vállalatra vonatkozik, valószínűleg többre lesz szüksége
A leírás iránymutató, függ a szervere egyéni beállításaitól.