SSL ইস্যু স্বয়ংক্রিয় করার দিকে

প্রায়শই আমাদের SSL সার্টিফিকেট নিয়ে কাজ করতে হয়। আসুন একটি শংসাপত্র তৈরি এবং ইনস্টল করার প্রক্রিয়াটি মনে রাখি (বেশিরভাগ ক্ষেত্রে সাধারণ ক্ষেত্রে)।

• একটি প্রদানকারী খুঁজুন (একটি সাইট যেখানে আমরা SSL কিনতে পারি)।
• সিএসআর তৈরি করুন।
• আপনার প্রদানকারীর কাছে পাঠান।
• ডোমেনের মালিকানা যাচাই করুন।
• একটি সার্টিফিকেট পান।
• শংসাপত্রটিকে প্রয়োজনীয় ফর্মে রূপান্তর করুন (ঐচ্ছিক)। উদাহরণস্বরূপ, pem থেকে PKCS #12 পর্যন্ত।
• ওয়েব সার্ভারে সার্টিফিকেট ইনস্টল করুন।

তুলনামূলকভাবে দ্রুত, জটিল এবং বোধগম্য নয়। আমাদের সর্বাধিক দশটি প্রকল্প থাকলে এই বিকল্পটি বেশ উপযুক্ত। যদি তাদের আরও বেশি থাকে এবং তাদের কমপক্ষে তিনটি পরিবেশ থাকে তবে কী হবে? ক্লাসিক ডেভ - স্টেজিং - প্রোডাকশন। এই ক্ষেত্রে, এই প্রক্রিয়াটি স্বয়ংক্রিয় করার বিষয়ে চিন্তা করা মূল্যবান। আমি সমস্যাটির আরও গভীরে অনুসন্ধান করার এবং একটি সমাধান খুঁজে বের করার প্রস্তাব করছি যা শংসাপত্র তৈরি এবং রক্ষণাবেক্ষণে ব্যয় করা সময়কে আরও কমিয়ে দেবে। নিবন্ধটিতে সমস্যাটির বিশ্লেষণ এবং পুনরাবৃত্তির জন্য একটি ছোট গাইড থাকবে।

আমাকে আগাম একটি রিজার্ভেশন করতে দিন: আমাদের কোম্পানির প্রধান বিশেষীকরণ হল .net, এবং সেই অনুযায়ী, IIS এবং অন্যান্য উইন্ডোজ সম্পর্কিত পণ্য। অতএব, ACME ক্লায়েন্ট এবং এর জন্য সমস্ত ক্রিয়াগুলিও উইন্ডোজ ব্যবহারের দৃষ্টিকোণ থেকে বর্ণনা করা হবে।

কার জন্য এই প্রাসঙ্গিক এবং কিছু প্রাথমিক তথ্য

কোম্পানি কে লেখক দ্বারা প্রতিনিধিত্ব. URL (উদাহরণস্বরূপ): company.tld

প্রজেক্ট এক্স আমাদের প্রকল্পগুলির মধ্যে একটি, যার উপর কাজ করার সময় আমি এই সিদ্ধান্তে পৌঁছেছি যে সার্টিফিকেটের সাথে কাজ করার সময় আমাদের এখনও সর্বাধিক সময় সাশ্রয়ের দিকে যেতে হবে। এই প্রকল্পের চারটি পরিবেশ রয়েছে: দেব, পরীক্ষা, মঞ্চায়ন এবং উৎপাদন। দেব এবং পরীক্ষা আমাদের পক্ষে, স্টেজিং এবং উত্পাদন ক্লায়েন্টের পক্ষে।

প্রকল্পের একটি বিশেষ বৈশিষ্ট্য হল যে এটিতে প্রচুর সংখ্যক মডিউল রয়েছে যা সাবডোমেন হিসাবে উপলব্ধ।

যে, আমাদের নিম্নলিখিত ছবি আছে:

দেব
পরীক্ষা
উপস্থাপনকারী
উত্পাদনের

projectX.dev.company.tld
projectX.test.company.tld
staging.projectX.tld
projectX.tld

module1.projectX.dev.company.tld
module1.projectX.test.company.tld
module1.staging.projectX.tld
module1.projectX.tld

module2.projectX.dev.company.tld
module2.projectX.test.company.tld
module2.staging.projectX.tld
module2.projectX.tld

...
...
...
...

moduleN.projectX.dev.company.tld
moduleN.projectX.test.company.tld
moduleN.staging.projectX.tld
moduleN.projectX.tld

উত্পাদনের জন্য, একটি ক্রয় করা ওয়াইল্ডকার্ড শংসাপত্র ব্যবহার করা হয়, এখানে কোন প্রশ্ন ওঠে না। কিন্তু এটি শুধুমাত্র সাবডোমেনের প্রথম স্তরকে কভার করে। সেই অনুযায়ী, যদি *.projectX.tld-এর জন্য একটি শংসাপত্র থাকে, তাহলে এটি staging.projectX.tld-এর জন্য কাজ করবে, কিন্তু module1.staging.projectX.tld-এর জন্য নয়। কিন্তু একরকম আমি আলাদা একটা কিনতে চাই না।

এবং এটি শুধুমাত্র একটি কোম্পানির একটি প্রকল্পের উদাহরণের উপর ভিত্তি করে। এবং, অবশ্যই, একাধিক প্রকল্প আছে।

এই সমস্যাটি মোকাবেলা করার জন্য প্রত্যেকের সাধারণ কারণগুলি এইরকম দেখায়:

• সম্প্রতি Google SSL সার্টিফিকেটের সর্বোচ্চ মেয়াদ কমানোর প্রস্তাব করেছে. সব পরিণতি সহ।
• প্রকল্প এবং সামগ্রিকভাবে কোম্পানির অভ্যন্তরীণ প্রয়োজনের জন্য SSL প্রদান এবং বজায় রাখার প্রক্রিয়া সহজতর করুন।
• সার্টিফিকেট রেকর্ডের কেন্দ্রীভূত সঞ্চয়স্থান, যা DNS এবং পরবর্তী স্বয়ংক্রিয় পুনর্নবীকরণ ব্যবহার করে ডোমেন যাচাইকরণের সমস্যার আংশিক সমাধান করে এবং ক্লায়েন্ট বিশ্বাসের সমস্যাও সমাধান করে। তবুও, একটি অংশীদার/পারফর্মার কোম্পানির সার্ভারে একটি CNAME তৃতীয় পক্ষের সম্পদের চেয়ে বেশি বিশ্বস্ত।
• ঠিক আছে, অবশেষে, এই ক্ষেত্রে "এটি না থাকার চেয়ে থাকা ভাল" বাক্যাংশটি পুরোপুরি ফিট করে।

একটি SSL প্রদানকারী নির্বাচন এবং প্রস্তুতিমূলক পদক্ষেপ

বিনামূল্যে SSL শংসাপত্রের জন্য উপলব্ধ বিকল্পগুলির মধ্যে, ক্লাউডফ্লেয়ার এবং লেটসেনক্রিপ্ট বিবেচনা করা হয়েছিল। এর জন্য DNS (এবং অন্যান্য কিছু প্রকল্প) ক্লাউডফ্লেয়ার দ্বারা হোস্ট করা হয়, তবে আমি তাদের শংসাপত্রগুলি ব্যবহার করার অনুরাগী নই। অতএব, এটি letsencrypt ব্যবহার করার সিদ্ধান্ত নেওয়া হয়েছিল।
একটি ওয়াইল্ডকার্ড SSL শংসাপত্র তৈরি করতে, আপনাকে ডোমেনের মালিকানা নিশ্চিত করতে হবে৷ এই পদ্ধতিতে কিছু DNS রেকর্ড (TXT বা CNAME) তৈরি করা এবং তারপর একটি শংসাপত্র ইস্যু করার সময় এটি যাচাই করা জড়িত। লিনাক্সের একটি ইউটিলিটি আছে - certbot, যা আপনাকে এই প্রক্রিয়াটিকে আংশিকভাবে (বা সম্পূর্ণরূপে কিছু DNS প্রদানকারীর জন্য) স্বয়ংক্রিয় করতে দেয়। থেকে উইন্ডোজের জন্য পাওয়া এবং যাচাই করা হয়েছে ACME ক্লায়েন্ট অপশন আমি সেটেল WinACME.

এবং ডোমেনের জন্য রেকর্ড তৈরি করা হয়েছে, আসুন একটি শংসাপত্র তৈরিতে এগিয়ে যাই:

আমরা শেষ উপসংহারে আগ্রহী, যথা, ওয়াইল্ডকার্ড শংসাপত্র ইস্যু করার জন্য ডোমেনের মালিকানা নিশ্চিত করার জন্য উপলব্ধ বিকল্পগুলি:

1. ম্যানুয়ালি DNS রেকর্ড তৈরি করুন (স্বয়ংক্রিয় আপডেট সমর্থিত নয়)
2. Acme-dns সার্ভার ব্যবহার করে DNS রেকর্ড তৈরি করা (আপনি সম্পর্কে আরও পড়তে পারেন এখানে.
3. আপনার নিজস্ব স্ক্রিপ্ট ব্যবহার করে DNS রেকর্ড তৈরি করা (certbot-এর জন্য ক্লাউডফ্লেয়ার প্লাগইনের অনুরূপ)।

প্রথম নজরে, তৃতীয় পয়েন্টটি বেশ উপযুক্ত, কিন্তু যদি ডিএনএস প্রদানকারী এই কার্যকারিতা সমর্থন না করে? কিন্তু আমরা একটি সাধারণ মামলা প্রয়োজন. এবং সাধারণ কেস হল CNAME রেকর্ড, যেহেতু সবাই তাদের সমর্থন করে। অতএব, আমরা পয়েন্ট 2 এ থামি এবং আমাদের ACME-DNS সার্ভার কনফিগার করতে যাই।

ACME-DNS সার্ভার সেট আপ করা এবং শংসাপত্র প্রদান প্রক্রিয়া

উদাহরণস্বরূপ, আমি 2nd.pp.ua ডোমেন তৈরি করেছি এবং ভবিষ্যতে এটি ব্যবহার করব।

আবশ্যিক প্রয়োজনীয়তা সার্ভার সঠিকভাবে কাজ করার জন্য, এটির ডোমেনের জন্য NS এবং A রেকর্ড তৈরি করা প্রয়োজন। এবং আমি যে প্রথম অপ্রীতিকর মুহূর্তটির মুখোমুখি হয়েছি তা হল ক্লাউডফ্লেয়ার (অন্তত বিনামূল্যে ব্যবহারের মোডে) আপনাকে একই হোস্টের জন্য একই সাথে একটি NS এবং A রেকর্ড তৈরি করতে দেয় না। এমন নয় যে এটি একটি সমস্যা, তবে বাঁধার মধ্যে এটি সম্ভব। সমর্থন উত্তর দিয়েছে যে তাদের প্যানেল এটি করার অনুমতি দেয় না। কোন সমস্যা নেই, আসুন দুটি রেকর্ড তৈরি করি:

acmens.2nd.pp.ua. IN A 35.237.128.147
acme.2nd.pp.ua. IN NS acmens.2nd.pp.ua.

এই পর্যায়ে, আমাদের হোস্ট সমাধান করা উচিত acmens.2nd.pp.ua.

$ ping acmens.2nd.pp.ua
PING acmens.2nd.pp.ua (35.237.128.147) 56(84) bytes of data

এবং এখানে acme.2nd.pp.ua এটি সমাধান করবে না, যেহেতু DNS সার্ভার যেটি এটি পরিবেশন করে তা এখনও চলছে না।

রেকর্ড তৈরি করা হয়েছে, আমরা ACME-DNS সার্ভার সেট আপ এবং চালু করতে এগিয়ে যাই। এটি আমার উবুন্টু সার্ভারে বাস করবে ডকশ্রমিক কন্টেইনার, কিন্তু গোলং পাওয়া যায় এমন যেকোনো জায়গায় আপনি এটি চালাতে পারেন। উইন্ডোজও বেশ উপযুক্ত, তবে আমি এখনও একটি লিনাক্স সার্ভার পছন্দ করি।

প্রয়োজনীয় ডিরেক্টরি এবং ফাইল তৈরি করুন:

$ mkdir config
$ mkdir data
$ touch config/config.cfg

আসুন আপনার প্রিয় পাঠ্য সম্পাদকের সাথে vim ব্যবহার করি এবং নমুনাটি config.cfg এ পেস্ট করি কনফিগারেশন.

সফল অপারেশনের জন্য, সাধারণ এবং এপিআই বিভাগগুলি সংশোধন করা যথেষ্ট:

[general]
listen = "0.0.0.0:53"
protocol = "both"
domain = "acme.2nd.pp.ua"
nsname = "acmens.2nd.pp.ua" 
nsadmin = "admin.2nd.pp.ua" 
records = 
    "acme.2nd.pp.ua. A 35.237.128.147",
    "acme.2nd.pp.ua. NS acmens.2nd.pp.ua.",                                                                                                                                                                                                  ]
...
[api]
...
tls = "letsencrypt"
…

এছাড়াও, যদি ইচ্ছা হয়, আমরা প্রধান পরিষেবা ডিরেক্টরিতে একটি ডকার-কম্পোজ ফাইল তৈরি করব:

version: '3.7'
services:
  acmedns:
    image: joohoi/acme-dns:latest
    ports:
      - "443:443"
      - "53:53"
      - "53:53/udp"
      - "80:80"
    volumes:
      - ./config:/etc/acme-dns:ro
      - ./data:/var/lib/acme-dns

প্রস্তুত. আপনি এটা চালাতে পারেন.

$ docker-compose up -d

এই পর্যায়ে হোস্ট সমাধান করা শুরু করা উচিত acme.2nd.pp.ua, এবং একটি 404 প্রদর্শিত হবে https://acme.2nd.pp.ua

$ ping acme.2nd.pp.ua
PING acme.2nd.pp.ua (35.237.128.147) 56(84) bytes of data.

$ curl https://acme.2nd.pp.ua
404 page not found

যদি এটি প্রদর্শিত না হয় - docker logs -f <container_name> সাহায্য করার জন্য, ভাগ্যক্রমে, লগগুলি বেশ পঠনযোগ্য।

আমরা শংসাপত্র তৈরি শুরু করতে পারি। প্রশাসক হিসাবে পাওয়ারশেল খুলুন এবং winacme চালান। আমরা নির্বাচনে আগ্রহী:

• এম: নতুন শংসাপত্র তৈরি করুন (সম্পূর্ণ বিকল্প)
• 2: ম্যানুয়াল ইনপুট
• 2: [dns-01] acme-dns দিয়ে যাচাইকরণ রেকর্ড তৈরি করুন (https://github.com/joohoi/acme-dns)
• ACME-DNS সার্ভারের একটি লিঙ্ক সম্পর্কে জিজ্ঞাসা করা হলে, উত্তরে তৈরি সার্ভারের URL (https) লিখুন। acme-dns সার্ভারের URL: https://acme.2nd.pp.ua

খোলার সময়, ক্লায়েন্ট একটি রেকর্ড জারি করে যা বিদ্যমান ডিএনএস সার্ভারে যোগ করা প্রয়োজন (এক-কালীন পদ্ধতি):

[INFO] Creating new acme-dns registration for domain 1nd.pp.ua

Domain:              1nd.pp.ua
Record:               _acme-challenge.1nd.pp.ua
Type:                   CNAME
Content:              c82a88a5-499f-464f-96e4-be7f606a3b47.acme.2nd.pp.ua.
Note:                   Some DNS control panels add the final dot automatically.
                           Only one is required.

আমরা প্রয়োজনীয় রেকর্ড তৈরি করি এবং নিশ্চিত করি যে এটি সঠিকভাবে তৈরি করা হয়েছে:

$ dig CNAME _acme-challenge.1nd.pp.ua +short
c82a88a5-499f-464f-96e4-be7f606a3b47.acme.2nd.pp.ua.

আমরা নিশ্চিত করি যে আমরা winacme-তে প্রয়োজনীয় এন্ট্রি তৈরি করেছি এবং একটি শংসাপত্র তৈরির প্রক্রিয়া চালিয়ে যাচ্ছি:

ক্লায়েন্ট হিসাবে certbot কিভাবে ব্যবহার করবেন তা বর্ণনা করা হয়েছে এখানে.

এটি একটি শংসাপত্র তৈরির প্রক্রিয়াটি সম্পূর্ণ করে; আপনি এটি ওয়েব সার্ভারে ইনস্টল করতে এবং এটি ব্যবহার করতে পারেন। যদি, একটি শংসাপত্র তৈরি করার সময়, আপনি সময়সূচীতে একটি কাজও তৈরি করেন, তাহলে ভবিষ্যতে শংসাপত্র পুনর্নবীকরণ প্রক্রিয়া স্বয়ংক্রিয়ভাবে ঘটবে।

উত্স: www.habr.com