V březnu 2018 přidala Let's Encrypt podporu pro certifikáty se zástupnými znaky. Zástupné certifikáty umožňují zabezpečit všechny subdomény první úrovně domény jediným certifikátem. Zástupné certifikáty lze získat pouze prostřednictvím ACMEv2, což je aktualizovaná verze protokolu ACME. Chcete-li použít ACMEv2 pro certifikáty se zástupnými znaky nebo bez zástupných znaků, budete potřebovat klienta, který byl aktualizován, aby podporoval ACMEv2. Jedním z takových klientů je acme.sh, což je klient protokolu ACME/ACMEv2 napsaný čistě v jazyce Shell (Unix shell) bez jakýchkoli závislostí. Kromě toho musí být domény se zástupnými znaky ověřeny pomocí typu výzvy DNS-01. To znamená, že musíte upravit záznamy DNS TXT, abyste prokázali kontrolu nad doménou, abyste získali certifikát se zástupnými znaky.
V této příručce vysvětlujeme, jak získat a nasadit bezplatné zástupné certifikáty z Let's Encrypt na Ubuntu 19.04 pomocí acme.shklienta, nástroje Lexicon pro automatickou manipulaci s DNS záznamy spotřebováním Vultr API a nasazením certifikátů na webový server Nginx.
example.comjako příklad domény.Zkontrolujte verzi Ubuntu.
lsb_release -ds
# Ubuntu 19.04
Vytvořte si nový uživatelský účet s sudopřístupem a preferovaným uživatelským jménem a přepněte na něj. používáme johndoe.
adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe
POZNÁMKA : Nahraďte johndoesvým uživatelským jménem.
Nastavte časové pásmo.
sudo dpkg-reconfigure tzdata
Ujistěte se, že váš systém Ubuntu je aktuální.
sudo apt update && sudo apt upgrade -y
Nainstalujte potřebné balíčky.
sudo apt install -y git wget curl socat
Nainstalujte webový server Nginx.
sudo apt install -y nginx
Zkontrolujte verzi.
sudo nginx -v
# nginx version: nginx/1.15.9 (Ubuntu)
Jako první krok v procesu získávání zástupných certifikátů z Let's Encrypt pomocí acme.sh a Vultr API je potřeba nainstalovat Python a Lexicon . Lexicon je balíček Pythonu, který poskytuje způsob, jak standardizovaným způsobem manipulovat se záznamy DNS u více poskytovatelů DNS.
Nainstalujte Python, pokud ještě není nainstalován ve vašem systému.
sudo apt install -y python3
Potvrďte instalaci ověřením verze.
python3 --version
# Python 3.7.3
Nainstalujte nástroj Lexicon. Lexikon je nástroj Pythonu, který vám umožňuje standardizovaným způsobem manipulovat se záznamy DNS u různých poskytovatelů DNS.
sudo apt install -y lexicon
Zkontrolujte verzi Lexicon.
lexicon --version
# lexicon 3.0.8
acme.shklientaAcme.shje klient protokolu ACME napsaný čistě v jazyce Shell (Unix shell), který automatizuje proces získání podepsaného certifikátu pomocí Let's Encrypt. Podporuje ACME v1 a ACME v2, a co je nejdůležitější, podporuje ACME v2 zástupné certifikáty. V této části nainstalujeme skript Acme.sh.
POZNÁMKA: K instalaci se doporučuje použít rootuživatele acme.sh, ačkoli to nevyžaduje root/ sudopřístup.
Přepněte na rootuživatele z běžného uživatele, pokud jste jej vytvořili.
sudo su - root
Stáhněte a nainstalujte acme.sh.
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh
./acme.sh --install --accountemail "[email protected]"
source ~/.bashrc
cd
Zkontrolujte verzi.
acme.sh --version
# v2.8.2
K získání certifikátu zástupných znaků můžeme použít pouze metodu ověření DNS. K manipulaci s TXT DNS záznamy používáme Lexicon a Vultr DNS API.
Získejte pro svou doménu certifikáty RSA a ECC se zástupnými znaky.
# Configure your API key and username
export PROVIDER=vultr
export LEXICON_VULTR_USERNAME="[email protected]"
export LEXICON_VULTR_TOKEN="XXXXXXXXXXXXXXX"
# RSA 2048
acme.sh --issue --dns dns_lexicon -d example.com -d '*.example.com' --keylength 2048
# ECC 256
acme.sh --issue --dns dns_lexicon -d example.com -d '*.example.com' --keylength ec-256
POZNÁMKA : Nezapomeňte nahradit example.comnázvem vaší domény a nahraďte zástupné hodnoty rozhraní API Vultr svými vlastními.
Po spuštění předchozích příkazů jsou vaše certifikáty a klíče v:
~/.acme.sh/example.comadresář.~/.acme.sh/example.com_eccadresář.POZNÁMKA : Soubory certifikátů ve ~/.acme.sh/složce byste neměli používat , jsou pouze pro interní použití, struktura adresářů se může v budoucnu změnit.
Chcete-li vypsat své certifikáty, můžete spustit:
acme.sh --list
Vytvořte složku pro ukládání certifikátů v produkci. Používáme /etc/letsencryptadresář.
sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc
Nainstalujte/zkopírujte certifikáty pro produkční použití na vašem serveru.
# RSA
acme.sh --install-cert -d example.com \
--cert-file /etc/letsencrypt/example.com/cert.pem \
--key-file /etc/letsencrypt/example.com/private.key \
--fullchain-file /etc/letsencrypt/example.com/fullchain.pem \
--reloadcmd "sudo systemctl reload nginx.service"
# ECC/ECDSA
acme.sh --install-cert -d example.com --ecc \
--cert-file /etc/letsencrypt/example.com_ecc/cert.pem \
--key-file /etc/letsencrypt/example.com_ecc/private.key \
--fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem \
--reloadcmd "sudo systemctl reload nginx.service"
Nyní, když jsme úspěšně získali certifikáty zástupných znaků z Let's Encrypt, musíme nakonfigurovat webový server Nginx. Všechny certifikáty se automaticky obnovují každých 60 dní.
Po získání a instalaci certifikátů do preferovaného umístění se můžete odhlásit od rootuživatele k běžnému sudouživateli a v sudopřípadě potřeby pokračovat ve správě serveru pomocí .
exit
Spusťte sudo vim /etc/nginx/sites-available/example.com.confa naplňte soubor následujícím obsahem. Nahraďte všechny výskyty řetězce example.comsvým vlastním názvem domény.
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name example.com *.example.com;
root /var/www/example.com;
# RSA
ssl_certificate /etc/letsencrypt/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/example.com/private.key;
# ECDSA
ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key;
}
Aktivujte novou example.com.confkonfiguraci propojením souboru s sites-enabledadresářem.
sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/
Otestujte konfiguraci Nginx.
sudo nginx -t
Znovu načtěte Nginx.
sudo systemctl reload nginx.service
A je to. Nasadili jsme zástupné certifikáty do Nginx pomocí acme.sh, Lexicon a Vultr API. Zástupné certifikáty mohou být užitečné, když chcete zabezpečit více dynamicky generovaných subdomén první úrovně.
Návod, jak zabránit nechtěnému vytočení čísla ("butt-dialing") na vašem smartphonu s Androidem. Tipy a triky pro uzamčení obrazovky, nastavení zabezpečení a další opatření.
Jak nakonfigurovat nastavení blokování reklam pro Brave na Androidu podle těchto kroků, které zvládnete za méně než minutu. Chraňte se před vtíravými reklamami pomocí těchto nastavení blokovače reklam v prohlížeči Brave pro Android.
Odstraňte uložené informace z automatického vyplňování Firefoxu podle těchto rychlých a jednoduchých kroků pro zařízení Windows a Android.
Zjistěte, jak opravit chybu OneDrive s kódem 0x8004de88, abyste mohli znovu spustit své cloudové úložiště.
Pokud pracujete se staršími aplikacemi nebo nechcete dostávat upozornění na aplikace, které se pokoušejí provést změny, můžete UAC ve Windows 10 zakázat. Zde se dozvíte, jak na to.
Pokud jste zapomněli heslo, ale víte, že bylo někde uloženo ve vašem počítači, můžete získat přístup k heslům uloženým ve Windows a zjistit, zda tam jsou. Systém Windows ve skutečnosti vede seznam všech vašich uložených hesel a umožňuje vám k nim přistupovat, když chcete.
Zůstaňte přihlášeni na Facebooku! Objevte 10 osvědčených metod, jak se vyhnout neustálnímu odhlašování z vašeho účtu na Facebooku.
V systému Windows 10 existuje více způsobů, jak se přihlásit k počítači, než kdy dříve. Můžete se rozhodnout použít heslo, PIN kód nebo použít Windows Hello a jeho biometrii
Existuje několik způsobů, jak uzamknout počítač se systémem Windows 10, ale věděli jste, že to uděláte pomocí vytvořeného zástupce na obrazovce? Vytvoření zástupce pro uzamčení vašeho
V systému Windows 10 vám funkce Historie souborů umožňuje zálohovat kopie souborů a složek do bezpečných umístění pro případ, že byste něco omylem smazali. Podle
Počítače jsou integrovány do našich životů více než kdy jindy, a proto výrobci hledají nové způsoby, jak ušetřit energii na vašich mobilních zařízeních. Nicméně osvědčený manuál Sleep w…
V dnešním světě jsou informace moc a v případě odcizení vašich osobních počítačových zařízení by to znamenalo přístup k mnoha vašim informacím.
Zabezpečení Windows (dříve známé jako Centrum zabezpečení Windows Defender) je skvělý začátek, abyste zjistili, že vaše zařízení s Windows 10 běží hladce. Pod Windows
Uživatelé Android a Apple mají způsob, jak sledovat a zamykat své gadgety na dálku. Totéž můžete udělat s jakýmkoli počítačem s Windows 10. Funkce Najít moje zařízení v systému Windows 10 používá
Používáte jiný systém? TLS 1.3 je verze protokolu Transport Layer Security (TLS), který byl publikován v roce 2018 jako navrhovaný standard v RFC 8446.
Linux Malware Detect a ClamAV jsou dva účinné nástroje pro snadné vyhledávání malwaru a virů na serveru VPS. V tomto článku se chystáme nainstalovat bota
VPS servery jsou často cílem útočníků. Běžný typ útoku se objevuje v systémových protokolech jako stovky neoprávněných pokusů o přihlášení přes ssh. Nastavení
No, ve volné přírodě je další zranitelnost SSL. Technicky to ve skutečnosti není zranitelnost, je to jen díra uvnitř protokolu, na kterou se spoléháme
Úvod Jakákoli služba, která je připojena k internetu, je potenciálním cílem pro útoky hrubou silou nebo neoprávněný přístup. Existují nástroje jako fail2ba
Poté, co jste zabezpečili svůj server rutinními úkoly, jako je změna portu SSH a nastavení pravidel brány firewall, jste většinou v bezpečí. I když šance tu je
Umělá inteligence není v budoucnosti, je zde přímo v současnosti V tomto blogu si přečtěte, jak aplikace umělé inteligence ovlivnily různé sektory.
Jste také obětí DDOS útoků a nemáte jasno v metodách prevence? Chcete-li vyřešit své dotazy, přečtěte si tento článek.
Možná jste slyšeli, že hackeři vydělávají spoustu peněz, ale napadlo vás někdy, jak takové peníze vydělávají? Pojďme diskutovat.
Chcete vidět revoluční vynálezy Google a jak tyto vynálezy změnily život každého dnešního člověka? Pak si přečtěte na blogu a podívejte se na vynálezy od Googlu.
Koncept aut s vlastním pohonem, která vyrazí na silnice s pomocí umělé inteligence, je snem, který už nějakou dobu máme. Ale přes několik slibů nejsou nikde vidět. Přečtěte si tento blog a dozvíte se více…
Jak se věda vyvíjí rychlým tempem a přebírá mnoho našeho úsilí, stoupá také riziko, že se vystavíme nevysvětlitelné singularitě. Přečtěte si, co pro nás může znamenat singularita.
Způsoby ukládání dat se mohou vyvíjet od narození dat. Tento blog se zabývá vývojem ukládání dat na základě infografiky.
Přečtěte si blog, abyste co nejjednodušším způsobem poznali různé vrstvy v architektuře velkých dat a jejich funkce.
V tomto digitálním světě se chytrá domácí zařízení stala klíčovou součástí života. Zde je několik úžasných výhod chytrých domácích zařízení o tom, jak náš život stojí za to žít a zjednodušit jej.
Apple nedávno vydal doplňkovou aktualizaci macOS Catalina 10.15.4, která opravuje problémy, ale zdá se, že aktualizace způsobuje další problémy, které vedou k zablokování počítačů mac. Přečtěte si tento článek a dozvíte se více
