Získanie TLS certifikátu cez ACME protokol na Linuxe

Nasledujúci návod vám pomôže s automatickým vydaním a následnou inštaláciou certifikátov na váš linuxový server pomocou automatizovaného nastroja pre správu a odoberanie certifikátov Certbot. Návod je písaný pre webový server Apache, však Certbot možné použiť aj pre Nginx, Haproxy a Plesk. Jedná sa o otvorený softvér, teda voľne dostupný.

Príprava pre získanie certifikátu

Pred automatizáciou získanie a nasadenie certifikátu je potreba spojiť sa s našou podporou a vykonať jednoduchú individuálnu prípravu pre každého zákazníka.

  • Ako prvý krok je pred overenie vašej spoločnosti a domén, ktoré budete chcieť zabezpečiť. To je potrebné urobiť v spolupráci s podporou SSLmarketu, ktorá to zariadi.
  • Po úspešnom overení vytvoríme vaš unikátny ACME Directory URL u autority. Túto URL bude využívať váš ACME klient (v tomto prípade Certbot) pre získanie certifikátu.
  • ACME Directory URL je unikátny pre každého zákazníka a produkt. Nedá sa použiť jedno URL pre viac zákazníkov.

Príprava Certbotu na serveri:

Nainštalujte si Certbot na svoj server, odporúčame nainštalovať moduly podľa typu webservera. Moduly následne uľahčujú výber cieľového webu pre nasadenie certifikátu a vie priamo pracovať s konfiguráciou servera (uľahčí vám prácu s inštaláciou).

Poznámka: Na oficiálnych stránkach Certbotu si môžete zvoliť priamo váš operačný systém servera, kde máte k dispozícii popis inštalácie krok za krokom.

Získanie a inštalácia certifikátu

V termináli požiadajte o certifikát pomocou nižšie uvedeného príkazu:
sudo certbot --apache --register-unsafely-without-email --server “Vaše ACME Directory URL” -d www.nazovvasejdomeny.sk -d nazovvasejdomeny.sk
Voliteľné parametre príkazu:

  • Certbot - spustí vám Certbot
  • --apache - vyberá na použitie plugin Apache Certbot, ktorý vám certifikát nainštaluje.
  • --register-unsafely-without-email - umožní preskočenie vytvorenie účtu ACME.
  • --server - určí, ktorý server ACME by mal splniť vašu požiadavku. Teda definuje ACME Directory URL
  • --d - Celý názov domény, pre ktorú chcete certifikát vystaviť. Ak túto možnosť nevyplníte, tak vás Certbot na základe nakonfigurovaných vhostov na serveri požiada o potvrdenie, ktoré domény chcete do požiadavky zahrnúť.

Po zadaní príkazu dostanete ponuku či chcete na danej doméne rovnú zapnúť vynútené presmerovaný na https: Output
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------- -----------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you are confident your site works on HTTPS. You can undo this
change by editing your web server 's configuration.
-------------------------------------------------- -----------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Vyberte svoju voľbu a stlačte kláves ENTER. Vami vybraná konfigurácia bude nastavená a po reštarte webového servera sa načíta. Následne dostanete záverečnú správu informujúcu o tom, že proces bol úspešný a kde sú vaše certifikáty uložené: Output
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
   expire on 2017-10-23. To obtain a new or Tweaked version of this
   certificate in the future, simply run certbot again with the
   "Certonly" option. To non-interactively renew * all * of your
   certificates, run "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at / etc / letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:
   Donating to ISRG / Let 'Encrypt: https://letsencrypt.org/donate
   Donating to EFF: https://eff.org/donate-le

Certbot zároveň nainštaluje aj potrebný Intermediate certifikát , pre kontrolu správnosti inštalácie následne použite náš online nástroj na kontrolu inštalácie certifikátu .  

Všeobecné poznámky

Pre automatizáciu vydanie certifikátov platí niekoľko pravidiel, preto venujte pozornosť aj nasledujúcim bodom:

  • DV certifikáty zatiaľ nie sú podporované
  • Pred vydávaním certifikátu musí prebehnúť overenie firmy a následne domén
  • U domén sa musí urobiť preveting. Ten má dve fázy:
    • 1. DCV čiže potvrdenie domény (e-mail, DNS, TXT)
    • 2. Overená doména sa priradí k overenej firme a tá ju môže začať využívať
  • ACME URL platí pre konkrétny produkt a konkrétnu spoločnosť, pravdepodobne ich budete potrebovať viac.
    Návod je orientačny, záleží aj na individuálnom nastavení vášho servera.