За детаљно објашњење о томе како функционише изазов Лет’с Енцрипт ДНС-01 (или провера ваљаности ДНС-а), прочитајте чланак под насловом Шта је Лет’с Енцрипт ДНС-01 Цхалленге и како га користити за добијање ССЛ сертификата.
У овом чланку ћемо вам показати како да користите Лет’с Енцрипт ДНС валидацију да бисте добили ССЛ сертификат за име вашег домена користећи Цертбот и Цертбот ЦлоудФларе ДНС додатак.
Тема садржаја:
- Управљање вашим доменом помоћу ЦлоудФларе ДНС-а
- Инсталирање додатка Цертбот и Цертбот ЦлоудФларе на Убунту/Дебиан
- Инсталирање Цертбота и Цертбот ЦлоудФларе додатка на Федора
- Инсталирање Цертбота и Цертбот ЦлоудФларе додатка на РХЕЛ/АлмаЛинук/Роцки Линук/ЦентОС стреам
- Провера да ли су Цертбот и Цертбот ЦлоудФларе додатак правилно инсталирани
- Генерисање ЦлоудФларе АПИ токена
- Безбедно складиштење ЦлоудФларе АПИ токена на рачунару/серверу
- Генерисање ССЛ сертификата помоћу Цертбот ЦлоудФларе ДНС валидације
- Навођење Лет’с Енцрипт ССЛ сертификата користећи Цертбот
- Обнављање Лет’с Енцрипт ССЛ сертификата помоћу Цертбота
- Закључак
- Референце
Управљање вашим доменом помоћу ЦлоудФларе ДНС-а
Да бисте добили Лет’с Енцрипт ССЛ сертификат користећи ЦлоудФларе ДНС валидацију, морате имати ЦлоудФларе налог и ваш домен мора да користи ЦлоудФларе ДНС. Можете креирајте ЦлоудФларе налог бесплатно а ЦлоудФларе ДНС услуга је такође бесплатна за коришћење.
Да бисте управљали својим доменом помоћу ЦлоудФларе ДНС-а, можете да урадите једно од следећег:
- Региструјте свој домен на ЦлоудФларе-у
- Пренесите свој домен на ЦлоудФларе
- Промените ДНС сервер имена вашег имена домена у ЦлоудФларе ДНС сервер имена са контролне табле вашег регистратора домена
Не морате да купујете домен од ЦлоудФларе-а или да преносите домен на ЦлоудФларе да бисте њиме управљали помоћу ЦлоудФларе ДНС услуге. Можете једноставно да промените сервер имена вашег домена у ЦлоудФларе ДНС сервер имена са контролне табле вашег регистратора домена (од кога сте купили домен) и управљате својим доменом са ЦлоудФларе-а. За више информација о промени сервера имена вашег домена у ЦлоудФларе ДНС сервер имена, прочитајте овај чланак.
Инсталирање додатка Цертбот и Цертбот ЦлоудФларе на Убунту/Дебиан
Додатак Цертбот и Цертбот ЦлоудФларе доступни су у званичном спремишту пакета Убунту/Дебиан. Дакле, можете их врло лако инсталирати на Убунту/Дебиан.
Прво, ажурирајте кеш спремишта АПТ пакета следећом командом:
$ судо апт упдате
Да бисте инсталирали Цертбот и Цертбот ЦлоудФларе ДНС додатак, покрените следећу команду:
$ судо погодан инсталирај цертбот питхон3-цертбот-днс-цлоудфлареДа бисте потврдили инсталацију, притисните „И“, а затим притисните <Ентер> .
Цертбот и Цертбот ЦлоудФларе ДНС додатак се инсталирају. Потребно је неко време да се заврши.
У овом тренутку, Цертбот и Цертбот ЦлоудФларе ДНС додатак треба да буду инсталирани.
Инсталирање Цертбота и Цертбот ЦлоудФларе додатка на Федора
Цертбот и Цертбот ЦлоудФларе додатак су доступни у званичном спремишту пакета Федора и могу се врло лако инсталирати на Федора.
Прво, ажурирајте базу података ДНФ пакета следећом командом:
$ судо днф макецацхе 
Да бисте инсталирали Цертбот и Цертбот ЦлоудФларе ДНС додатак на Федора, покрените следећу команду:
$ судо днф инсталирај цертбот питхон3-цертбот-днс-цлоудфлареДа бисте потврдили инсталацију, притисните „И“, а затим притисните <Ентер> .
Цертбот и Цертбот ЦлоудФларе ДНС додатак се инсталирају. Потребно је неко време да се заврши.
У овом тренутку, Цертбот и Цертбот ЦлоудФларе ДНС додатак би требало да буду инсталирани на Федора.
Инсталирање Цертбота и Цертбот ЦлоудФларе додатка на РХЕЛ/АлмаЛинук/Роцки Линук/ЦентОС стреам
Цертбот ЦлоудФларе ДНС додатак није доступан у званичним репозиторијумима пакета РХЕЛ/АлмаЛинук/Роцки Линук/ЦентОС Стреам-а. Цертбот ЦлоудФларе ДНС додатак је доступан у спремишту ЕПЕЛ пакета. Можете омогућити складиште ЕПЕЛ пакета на РХЕЛ/АлмаЛинук/Роцки Линук/ЦентОС Стреам-у и одатле инсталирати Цертбот ЦлоудФларе ДНС додатак.
Када омогућите спремиште ЕПЕЛ пакета, ажурирајте кеш ДНФ базе података следећом командом:
$ судо днф макецацхе 
Затим инсталирајте Цертбот и Цертбот ЦлоудФларе ДНС додатак на ваш РХЕЛ/АлмаЛинук/Роцки Линук/ЦентОС Стреам систем са следећом командом:
$ судо днф инсталирај цертбот питхон3-цертбот-днс-цлоудфлареДа бисте потврдили инсталацију, притисните „И“, а затим притисните <Ентер> .
Цертбот и Цертбот ЦлоудФларе ДНС додатак се инсталирају. Потребно је неко време да се заврши.
Да бисте прихватили ГПГ кључ ЕПЕЛ спремишта, притисните „И“, а затим притисните <Ентер> .
У овом тренутку, Цертбот и Цертбот ЦлоудФларе ДНС додатак треба да буду инсталирани.
Провера да ли су Цертбот и Цертбот ЦлоудФларе додатак правилно инсталирани
Да бисте проверили да ли је Цертбот инсталиран на вашем рачунару, покрените следећу команду:
$ цертбот --версионАко је Цертбот инсталиран, команда треба да одштампа број верзије инсталираног Цертбота на вашем рачунару.
Као што видите, имамо инсталиран Цертбот 2.1.0 на нашој Дебиан машини.
Да бисте проверили да ли је Цертбот ЦлоудФларе ДНС додатак инсталиран на вашем рачунару, покрените следећу команду:
$ судо цертбот плугинсАко је инсталиран Цертбот ЦлоудФларе ДНС додатак, требало би да пронађете „днс-цлоудфларе“ на листи додатака као што је означено на следећем снимку екрана:
Генерисање ЦлоудФларе АПИ токена
Да би потврдио власништво над доменом, Цертбот треба да дода ТКСТ запис на домену којим управља ЦлоудФларе ДНС сервер. За то, Цертбот-у је потребан приступ ЦлоудФларе АПИ токену. Можете да креирате АПИ токен за свој домен са ЦлоудФларе контролне табле.
Прво се пријавите на свој ЦлоудФларе налог. Затим кликните на икону вашег профила
> Мој профил из горњег десног угла странице.
Кликните на „Користи шаблон“ у одељку „Уреди ДНС зоне“.
У одељку „Дозвола“ дозволите дозволу „Уређивање“ за „ДНС зону“ тако што ћете изабрати означене опције из падајућих менија.
Ако управљате више домена помоћу ЦлоудФларе-а, можете дозволити модификацију „Специфичне зоне“ из одељка „Ресурси зоне“. Дозволити АПИ токену да измени само једну зону је безбедније него дозволити АПИ токену да мења све зоне. То је зато што ако је АПИ токен компромитован, површина напада ће бити мања и биће учињена мања штета.
Ако желите да користите један АПИ кључ за измену свих домена којима управља ЦлоудФларе, изаберите „Све зоне“ у одељку „Ресурс зоне“.
Када завршите са конфигурисањем свог АПИ токена, кликните на „Настави на резиме“.
Биће приказан резиме радњи које можете да извршите на својим доменима којима управља ЦлоудФларе помоћу АПИ токена. Кликните на „Креирај токен“.
Требало би да се креира АПИ токен. Копирајте АПИ токен негде на сигурно да га не бисте изгубили. Када напустите ову страницу, нећете моћи поново да пронађете овај АПИ токен. Морате да генеришете нови АПИ токен у случају да га изгубите:
ЛиПЦАцОБигКс1УМХвцсвБФо41аИтм2цЦВкњлоЗј5
Безбедно складиштење ЦлоудФларе АПИ токена на рачунару/серверу
Цертбот треба да користи ЦлоудФларе АПИ токен да би додао нови ТКСТ запис за ваш домен на ЦлоудФларе ДНС сервер. Дакле, морате да ускладиштите ЦлоудФларе АПИ токен на свом рачунару/серверу. Чување АПИ токена без обезбеђивања одговарајућих дозвола за приступ датотеци може омогућити другим програмима/корисницима приступ АПИ токену. Ово није оно што желите из безбедносних разлога. У овом одељку ћемо вам показати како да безбедно складиштите ЦлоудФларе АПИ токен у систему датотека.
Прво направите директоријум (тј. ~/.сецретс/цертбот) у који желите да сачувате ЦлоудФларе АПИ кључ на следећи начин:
$ мкдир -пв ~ / .тајне / цертбот 
Направите датотеку „цлоудфларе.ини“ у новокреираном директоријуму (тј. ~/.сецретс/цертбот) и отворите је помоћу свог омиљеног уређивача текста (тј. нано) на следећи начин:
$ нано ~ / .тајне / цертбот / цлоудфларе.иниУнесите следећи ред у датотеку „цлоудфларе.ини“ и притисните <Цтрл> + Икс праћено „И“ и <Ентер> да бисте га сачували (ако користите уређивач нано текста).
днс_цлоудфларе_апи_токен = < иоур-цлоудфларе-апи-токен > 
Да бисте обезбедили одговарајућу дозволу за приступ за датотеку „цлоудфларе.ини“, покрените следеће команде да бисте били сигурни да само роот корисник има приступ за читање и писање у датотеку:
$ судо цховн роот:роот ~ / .тајне / цертбот / цлоудфларе.ини$ судо цхмод 0600 ~ / .тајне / цертбот / цлоудфларе.ини
Као што видите, само роот корисник има дозволе за читање и писање у датотеку „цлоудфларе.ини“.
$ лс -лх ~ / .тајне / цертбот / цлоудфларе.ини 
Други корисници који покушају да прочитају датотеку „цлоудфларе.ини“ добиће поруку о грешци „Дозвола одбијена“.
$ мачка ~ / .тајне / цертбот / цлоудфларе.ини 
Генерисање ССЛ сертификата помоћу Цертбот ЦлоудФларе ДНС валидације
Да бисте генерисали Лет’с Енцрипт ССЛ сертификат за џокер име домена „*.нодеките.цом“ користећи ЦлоудФларе ДНС валидацију, покрените команду цербот на следећи начин:
$ судо цертбот цертонли --днс-цлоудфларе --днс-цлоудфларе-цредентиалс ~ / .тајне / цертбот / цлоудфларе.ини -д * .нодеките.цомДа бисте генерисали Лет’с Енцрипт ССЛ сертификат за имена домена „нодеките.цом“ и „2Д52А17654БАА0АЦ2ЦЕЕ76ФБЕ7ФАДБ177Ц649ДД7:
$ судо цертбот цертонли --днс-цлоудфларе --днс-цлоудфларе-цредентиалс ~ / .тајне / цертбот / цлоудфларе.ини -д БА1Д8Б04ЦФ4Ф58ДБЕФ6БЦ490Д2083ДЦ167Ц3643Б -д нодеките.цомАко је потребно много времена да се промене ДНС-а прошире на популарне ДНС сервере имена широм света, можете да користите опцију „–днс-цлоудфларе-пропагатион-сецондс“ за Цертбот да бисте подесили број секунди које желите да Цертбот чека пре ДНС валидације је извођен.
$ судо цертбот цертонли --днс-цлоудфларе --днс-цлоудфларе-цредентиалс ~ / .тајне / цертбот / цлоудфларе.ини --днс-цлоудфларе-пропагатион-сецондс 60 -д * .нодеките.цомКада покренете команду Цертбот, од вас ће се тражити да унесете своју адресу е-поште. Унесите своју адресу е-поште и притисните <Ентер> наставиће се.
Притисните „И“, а затим притисните <Ентер> да прихватите „Услове коришћења услуге“ Лет’с Енцрипт.
Притисните „И“, а затим притисните <Ентер> .
Издаје се Лет’с Енцрипт ССЛ сертификат. Потребно је неко време да се заврши.
У овом тренутку се издаје Лет’с Енцрипт ССЛ сертификат. Требало би да се прикаже пуна путања на којој се чувају датотеке ССЛ сертификата. Требало би да буде приказан и датум истека ССЛ сертификата.
Навођење Лет’с Енцрипт ССЛ сертификата користећи Цертбот
Можете навести све Лет’с Енцрипт ССЛ сертификате које сте генерисали помоћу Цертбот-а помоћу следеће команде:
$ судо цертбот сертификатиКао што видите, генерисани Лет’с Енцрипт ССЛ сертификат за домен „нодеките.цом“ је наведен [1] . За „нодеките.цом“ се издаје џокер ССЛ сертификат [2] назив домена. Датум истека сертификата је 2024-03-20 (важи 89 дана) [3] . Путања сертификата и приватног кључа су такође наведени овде [4] .
Цертбот складишти све ССЛ сертификате које сте генерисали за своје домене у директоријуму „/етц/летсенцрипт/ливе“ у њиховој одговарајућој фасцикли.
$ судо лс -Рлх / итд / летсенцрипт / ливе / 
Обнављање Лет’с Енцрипт ССЛ сертификата помоћу Цертбота
Цертбот аутоматски обнавља све Лет’с Енцрипт ССЛ сертификате које сте генерисали коришћењем ЦлоудФларе ДНС валидације.
Да бисте тестирали да ли функција аутоматског обнављања Лет’с Енцрипт ССЛ сертификата ради, покрените следећу команду:
$ судо цертбот ренев --дри-рунАкција аутоматског обнављања се симулира за сваки од Лет’с Енцрипт ССЛ сертификата који сте генерисали.
Ако тестови буду успешни, биће вам честитамо. Успешан тест значи да ће ССЛ сертификати бити аутоматски обновљени пре него што истекну. Нећете морати да радите ништа друго.
Да би функција Цертбот аутоматског обнављања функционисала, системски тајмер „цербот.тимер“ мора бити омогућен и активан на вашем рачунару/серверу.
Можете проверити да ли је системски тајмер „цербот.тимер“ омогућен и активан помоћу следеће команде:
$ судо системцтл статус цертбот.тимерКао што видите, системски тајмер „цертбот.тимер“ је омогућен (аутоматски се покреће у време покретања) [1] и активни [2] . Цертбот проверава да ли постоји потреба да се обнови било који ССЛ сертификат након само 11 минута (према следећем снимку екрана) и обнавља ССЛ сертификате који ускоро истичу [3] .
Да бисте ручно проверили да ли ће неки ССЛ сертификат ускоро истећи и обновили ССЛ сертификате који истичу, покрените следећу команду:
$ судо цертбот реневУ нашем случају, ниједан ССЛ сертификат неће истећи. Дакле, Цертбот није покушао да обнови ниједан ССЛ сертификат.
Да бисте присилили Цертбот да обнови ССЛ сертификат одређеног домена (рецимо *.нодеките.цом), покрените следећу команду:
$ судо цертбот цертонли --присилно обновити -д * .нодеките.цомПритисните “1” и притисните <Ентер> да изаберете прву опцију (за проверу ДНС-а помоћу ЦлоудФларе ДНС-а).
ССЛ сертификат треба обновити.
Закључак
Да бисте добили Лет’с Енцрипт ССЛ сертификат користећи ЦлоудФларе ДНС валидацију помоћу Цертбота, потребан вам је приступ ЦлоудФларе АПИ токену. У овом чланку смо вам показали како да креирате ЦлоудФларе АПИ токен за свој домен и да га безбедно складиштите на свом рачунару/серверу тако да можете да му приступите помоћу Цертбота када је то потребно. Такође смо вам показали како да инсталирате Цертбот и Цертбот ЦлоудФларе ДНС додатак на најпопуларнијим Линук дистрибуцијама. Показали смо вам како да генеришете џокер ССЛ сертификате Лет’с Енцрипт, као и ССЛ сертификате за појединачне домене користећи Цертбот и ЦлоудФларе ДНС валидацију. Коначно, показали смо вам како да аутоматски и ручно обновите Лет’с Енцрипт ССЛ сертификате користећи Цертбот.