ឆ្ពោះទៅរកស្វ័យប្រវត្តិកម្មនៃការចេញ SSL

ជាញឹកញាប់យើងត្រូវធ្វើការជាមួយវិញ្ញាបនបត្រ SSL ។ ចូរយើងចងចាំដំណើរការនៃការបង្កើត និងដំឡើងវិញ្ញាបនបត្រ (ក្នុងករណីទូទៅសម្រាប់ភាគច្រើន)។

• ស្វែងរកអ្នកផ្តល់សេវា (គេហទំព័រដែលយើងអាចទិញ SSL) ។
• បង្កើត CSR ។
• ផ្ញើវាទៅអ្នកផ្តល់សេវារបស់អ្នក។
• ផ្ទៀងផ្ទាត់កម្មសិទ្ធិដែន។
• ទទួលបានវិញ្ញាបនបត្រ។
• បំប្លែងវិញ្ញាបនបត្រទៅជាទម្រង់ដែលត្រូវការ (ជាជម្រើស)។ ឧទាហរណ៍ ពី pem ដល់ PKCS #12។
• ដំឡើងវិញ្ញាបនបត្រនៅលើម៉ាស៊ីនមេគេហទំព័រ។

ទាក់ទងលឿន មិនស្មុគស្មាញ និងអាចយល់បាន។ ជម្រើសនេះគឺសមរម្យណាស់ប្រសិនបើយើងមានគម្រោងអតិបរមាចំនួនដប់។ ចុះ​បើ​មាន​ច្រើន​ទៀត​ហើយ​មាន​បរិស្ថាន​យ៉ាង​ហោច​បី? បុរាណ dev - ដំណាក់កាល - ផលិតកម្ម។ ក្នុងករណីនេះវាមានតម្លៃគិតអំពីការធ្វើឱ្យដំណើរការនេះដោយស្វ័យប្រវត្តិ។ ខ្ញុំស្នើឱ្យស្វែងយល់ឱ្យស៊ីជម្រៅបន្តិចអំពីបញ្ហា និងស្វែងរកដំណោះស្រាយដែលនឹងកាត់បន្ថយពេលវេលាដែលចំណាយលើការបង្កើត និងថែទាំវិញ្ញាបនបត្រ។ អត្ថបទនឹងមានការវិភាគអំពីបញ្ហា និងការណែនាំតូចមួយចំពោះពាក្យដដែលៗ។

អនុញ្ញាតឱ្យខ្ញុំធ្វើការកក់ទុកជាមុន៖ ឯកទេសចម្បងរបស់ក្រុមហ៊ុនរបស់យើងគឺ .net ហើយយោងទៅតាម IIS និងផលិតផលដែលទាក់ទងនឹង Windows ផ្សេងទៀត។ ដូច្នេះ អតិថិជន ACME និងសកម្មភាពទាំងអស់សម្រាប់វាក៏នឹងត្រូវបានពិពណ៌នាពីទស្សនៈនៃការប្រើប្រាស់វីនដូផងដែរ។

តើនេះពាក់ព័ន្ធអ្នកណា និងទិន្នន័យដំបូងខ្លះ

ក្រុមហ៊ុន K តំណាងដោយអ្នកនិពន្ធ។ URL (ឧទាហរណ៍): company.tld

គម្រោង X គឺជាគម្រោងមួយក្នុងចំណោមគម្រោងរបស់យើង ខណៈពេលដែលកំពុងធ្វើការដែលខ្ញុំបានសន្និដ្ឋានថា យើងនៅតែត្រូវឆ្ពោះទៅរកការសន្សំពេលវេលាអតិបរមានៅពេលធ្វើការជាមួយវិញ្ញាបនបត្រ។ គម្រោងនេះមានបរិស្ថានចំនួនបួន៖ dev, ការធ្វើតេស្ត, ដំណាក់កាល និងការផលិត។ Dev and test គឺនៅខាងយើង ដំណាក់កាល និងការផលិតគឺនៅខាងអតិថិជន។

លក្ខណៈពិសេសនៃគម្រោងគឺថាវាមានម៉ូឌុលមួយចំនួនធំដែលអាចប្រើបានជាដែនរង។

នោះគឺយើងមានរូបភាពដូចខាងក្រោមៈ

Dev
ការធ្វើតេស្ត
ដំណាក់កាល
ផលិតកម្ម

projectX.dev.company.tld
projectX.test.company.tld
staging.projectX.tld
projectX.tld

module1.projectX.dev.company.tld
module1.projectX.test.company.tld
module1.staging.projectX.tld
module1.projectX.tld

module2.projectX.dev.company.tld
module2.projectX.test.company.tld
module2.staging.projectX.tld
module2.projectX.tld

...
...
...
...

moduleN.projectX.dev.company.tld
moduleN.projectX.test.company.tld
moduleN.staging.projectX.tld
moduleN.projectX.tld

សម្រាប់ការផលិត វិញ្ញាបនបត្រអក្សរជំនួសដែលបានទិញត្រូវបានប្រើ មិនមានសំណួរកើតឡើងនៅទីនេះទេ។ ប៉ុន្តែវាគ្របដណ្តប់តែកម្រិតដំបូងនៃដែនរងប៉ុណ្ណោះ។ ដូច្នោះហើយ ប្រសិនបើមានវិញ្ញាបនបត្រសម្រាប់ *.projectX.tld នោះវានឹងដំណើរការសម្រាប់ staging.projectX.tld ប៉ុន្តែមិនមែនសម្រាប់ module1.staging.projectX.tld ទេ។ ប៉ុន្តែខ្ញុំមិនចង់ទិញដាច់ដោយឡែកទេ។

ហើយនេះគឺផ្អែកទៅលើឧទាហរណ៍នៃគម្រោងមួយរបស់ក្រុមហ៊ុនតែមួយប៉ុណ្ណោះ។ ហើយជាការពិតណាស់មានគម្រោងច្រើនជាងមួយ។

ហេតុផលទូទៅសម្រាប់មនុស្សគ្រប់គ្នាក្នុងការដោះស្រាយបញ្ហានេះមើលទៅដូចនេះ៖

• ថ្មីៗនេះ Google បានស្នើឱ្យកាត់បន្ថយរយៈពេលសុពលភាពអតិបរមានៃវិញ្ញាបនបត្រ SSL. ជាមួយនឹងផលវិបាកទាំងអស់។
• ជួយសម្រួលដល់ដំណើរការនៃការចេញ និងថែទាំ SSL សម្រាប់តម្រូវការផ្ទៃក្នុងរបស់គម្រោង និងក្រុមហ៊ុនទាំងមូល។
• ការផ្ទុកកណ្តាលនៃកំណត់ត្រាវិញ្ញាបនបត្រដែលដោះស្រាយបញ្ហានៃការផ្ទៀងផ្ទាត់ដែនដោយផ្នែកដោយប្រើ DNS និងការបន្តដោយស្វ័យប្រវត្តិជាបន្តបន្ទាប់ ហើយក៏ដោះស្រាយបញ្ហានៃការជឿទុកចិត្តរបស់អតិថិជនផងដែរ។ ទោះយ៉ាងណាក៏ដោយ CNAME នៅលើម៉ាស៊ីនមេរបស់ដៃគូ/ក្រុមហ៊ុនសំដែងគឺគួរឱ្យទុកចិត្តជាងនៅលើធនធានភាគីទីបី។
• ជាការប្រសើរណាស់, ទីបំផុត, ក្នុងករណីនេះឃ្លា "វាជាការប្រសើរក្នុងការមានជាងមិនមាន" សមឥតខ្ចោះ។

ការជ្រើសរើសអ្នកផ្តល់សេវា SSL និងជំហានត្រៀម

ក្នុងចំណោមជម្រើសដែលមានសម្រាប់វិញ្ញាបនបត្រ SSL ឥតគិតថ្លៃ cloudflare និង letsencrypt ត្រូវបានពិចារណា។ DNS សម្រាប់ការនេះ (និងគម្រោងមួយចំនួនផ្សេងទៀត) ត្រូវបានបង្ហោះដោយ cloudflare ប៉ុន្តែខ្ញុំមិនមែនជាអ្នកគាំទ្រនៃការប្រើប្រាស់វិញ្ញាបនបត្ររបស់ពួកគេទេ។ ដូច្នេះវាត្រូវបានគេសម្រេចចិត្តប្រើ letsencrypt ។
ដើម្បីបង្កើតវិញ្ញាបនបត្រ SSL តួអក្សរជំនួស អ្នកត្រូវបញ្ជាក់កម្មសិទ្ធិដែន។ នីតិវិធីនេះពាក់ព័ន្ធនឹងការបង្កើតកំណត់ត្រា DNS មួយចំនួន (TXT ឬ CNAME) ហើយបន្ទាប់មកផ្ទៀងផ្ទាត់វានៅពេលចេញវិញ្ញាបនបត្រ។ លីនុចមានឧបករណ៍ប្រើប្រាស់ - វិញ្ញាបនប័ត្រដែលអនុញ្ញាតឱ្យអ្នកធ្វើដោយផ្នែក (ឬទាំងស្រុងសម្រាប់អ្នកផ្តល់ DNS មួយចំនួន) ដំណើរការនេះដោយស្វ័យប្រវត្តិ។ សម្រាប់ Windows ពី បានរកឃើញ និងផ្ទៀងផ្ទាត់ ជម្រើសអតិថិជន ACME ដែលខ្ញុំបានដោះស្រាយ WinACME.

ហើយកំណត់ត្រាសម្រាប់ដែនត្រូវបានបង្កើតឡើង ចូរបន្តទៅការបង្កើតវិញ្ញាបនបត្រ៖

យើងចាប់អារម្មណ៍លើការសន្និដ្ឋានចុងក្រោយ ពោលគឺជម្រើសដែលមានសម្រាប់ការបញ្ជាក់កម្មសិទ្ធិដែនសម្រាប់ការចេញវិញ្ញាបនបត្រជំនួស៖

1. បង្កើតកំណត់ត្រា DNS ដោយដៃ (ការអាប់ដេតដោយស្វ័យប្រវត្តិមិនត្រូវបានគាំទ្រទេ)
2. ការបង្កើតកំណត់ត្រា DNS ដោយប្រើម៉ាស៊ីនមេ acme-dns (អ្នកអាចអានបន្ថែមអំពី នៅទីនេះ.
3. ការបង្កើតកំណត់ត្រា DNS ដោយប្រើស្គ្រីបផ្ទាល់ខ្លួនរបស់អ្នក (ស្រដៀងទៅនឹងកម្មវិធីជំនួយ cloudflare សម្រាប់ certbot)។

នៅ glance ដំបូង, ចំណុចទីបីគឺពិតជាសមរម្យ, ប៉ុន្តែចុះយ៉ាងណាបើអ្នកផ្តល់ DNS មិនគាំទ្រមុខងារនេះ? ប៉ុន្តែយើងត្រូវការករណីទូទៅ។ ហើយករណីទូទៅគឺកំណត់ត្រា CNAME ចាប់តាំងពីមនុស្សគ្រប់គ្នាគាំទ្រពួកគេ។ ដូច្នេះហើយ យើងឈប់នៅចំណុចទី 2 ហើយចូលទៅកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ ACME-DNS របស់យើង។

ការដំឡើងម៉ាស៊ីនមេ ACME-DNS និងដំណើរការចេញវិញ្ញាបនបត្រ

ជាឧទាហរណ៍ ខ្ញុំបានបង្កើត domain 2nd.pp.ua ហើយនឹងប្រើវានៅពេលអនាគត។

តម្រូវការចាំបាច់ ដើម្បីឱ្យម៉ាស៊ីនមេដំណើរការបានត្រឹមត្រូវ វាចាំបាច់ក្នុងការបង្កើតកំណត់ត្រា NS និង A សម្រាប់ដែនរបស់វា។ ហើយពេលមិនសប្បាយចិត្តដំបូងដែលខ្ញុំបានជួបប្រទះគឺថា cloudflare (យ៉ាងហោចណាស់នៅក្នុងរបៀបប្រើដោយឥតគិតថ្លៃ) មិនអនុញ្ញាតឱ្យអ្នកបង្កើត NS និង A record ក្នុងពេលដំណាលគ្នាសម្រាប់ម៉ាស៊ីនដូចគ្នានោះទេ។ មិនមែនថានេះជាបញ្ហាទេ ប៉ុន្តែវាអាចទៅរួច។ ជំនួយបានឆ្លើយតបថា បន្ទះរបស់ពួកគេមិនអនុញ្ញាតឱ្យធ្វើបែបនេះទេ។ គ្មានបញ្ហាទេ តោះបង្កើតកំណត់ត្រាពីរ៖

acmens.2nd.pp.ua. IN A 35.237.128.147
acme.2nd.pp.ua. IN NS acmens.2nd.pp.ua.

នៅដំណាក់កាលនេះម្ចាស់ផ្ទះរបស់យើងគួរតែដោះស្រាយ acmens.2nd.pp.ua.

$ ping acmens.2nd.pp.ua
PING acmens.2nd.pp.ua (35.237.128.147) 56(84) bytes of data

ប៉ុន្តែ acme.2nd.pp.ua វានឹងមិនដោះស្រាយទេ ដោយសារម៉ាស៊ីនមេ DNS ដែលបម្រើវាមិនទាន់ដំណើរការនៅឡើយ។

កំណត់ត្រាត្រូវបានបង្កើតឡើង យើងបន្តទៅការដំឡើង និងបើកដំណើរការម៉ាស៊ីនមេ ACME-DNS ។ វានឹងរស់នៅលើម៉ាស៊ីនមេ ubuntu របស់ខ្ញុំនៅក្នុង docker កុងតឺន័រ ប៉ុន្តែអ្នកអាចដំណើរការវាបានគ្រប់ទីកន្លែងដែលហ្គូឡាងមាន។ វីនដូក៏សមរម្យដែរ ប៉ុន្តែខ្ញុំនៅតែចូលចិត្តម៉ាស៊ីនមេលីនុច។

បង្កើតថតឯកសារ និងឯកសារចាំបាច់៖

$ mkdir config
$ mkdir data
$ touch config/config.cfg

តោះប្រើ vim ជាមួយកម្មវិធីនិពន្ធអត្ថបទដែលអ្នកចូលចិត្ត ហើយបិទភ្ជាប់គំរូទៅក្នុង config.cfg ការកំណត់​រចនាសម្ព័ន្ធ.

សម្រាប់ប្រតិបត្តិការជោគជ័យ វាគ្រប់គ្រាន់ក្នុងការកែតម្រូវផ្នែកទូទៅ និង api៖

[general]
listen = "0.0.0.0:53"
protocol = "both"
domain = "acme.2nd.pp.ua"
nsname = "acmens.2nd.pp.ua" 
nsadmin = "admin.2nd.pp.ua" 
records = 
    "acme.2nd.pp.ua. A 35.237.128.147",
    "acme.2nd.pp.ua. NS acmens.2nd.pp.ua.",                                                                                                                                                                                                  ]
...
[api]
...
tls = "letsencrypt"
…

ផងដែរ ប្រសិនបើចង់បាន យើងនឹងបង្កើតឯកសារ docker-compose នៅក្នុងបញ្ជីសេវាកម្មចម្បង៖

version: '3.7'
services:
  acmedns:
    image: joohoi/acme-dns:latest
    ports:
      - "443:443"
      - "53:53"
      - "53:53/udp"
      - "80:80"
    volumes:
      - ./config:/etc/acme-dns:ro
      - ./data:/var/lib/acme-dns

រួចរាល់។ អ្នកអាចដំណើរការវាបាន។

$ docker-compose up -d

នៅដំណាក់កាលនេះម្ចាស់ផ្ទះគួរតែចាប់ផ្តើមដោះស្រាយ acme.2nd.pp.uaហើយ 404 លេចឡើង https://acme.2nd.pp.ua

$ ping acme.2nd.pp.ua
PING acme.2nd.pp.ua (35.237.128.147) 56(84) bytes of data.

$ curl https://acme.2nd.pp.ua
404 page not found

ប្រសិនបើវាមិនលេចឡើង - docker logs -f <container_name> ដើម្បីជួយ សំណាងល្អ កំណត់ហេតុអាចអានបាន។

យើងអាចចាប់ផ្តើមបង្កើតវិញ្ញាបនបត្រ។ បើក powershell ជាអ្នកគ្រប់គ្រង ហើយដំណើរការ winacme ។ យើងចាប់អារម្មណ៍នឹងការបោះឆ្នោត៖

• M: បង្កើតវិញ្ញាបនបត្រថ្មី (ជម្រើសពេញលេញ)
• 2: ការបញ្ចូលដោយដៃ
• 2: [dns-01] បង្កើតកំណត់ត្រាផ្ទៀងផ្ទាត់ជាមួយ acme-dns (https://github.com/joohoi/acme-dns)
• នៅពេលសួរអំពីតំណភ្ជាប់ទៅកាន់ម៉ាស៊ីនមេ ACME-DNS សូមបញ្ចូល URL របស់ម៉ាស៊ីនមេដែលបានបង្កើត (https) នៅក្នុងចម្លើយ។ URL របស់ម៉ាស៊ីនមេ acme-dns៖ https://acme.2nd.pp.ua

នៅក្នុងការបើក អតិថិជនចេញកំណត់ត្រាដែលត្រូវការបន្ថែមទៅម៉ាស៊ីនមេ DNS ដែលមានស្រាប់ (នីតិវិធីតែម្តង)៖

[INFO] Creating new acme-dns registration for domain 1nd.pp.ua

Domain:              1nd.pp.ua
Record:               _acme-challenge.1nd.pp.ua
Type:                   CNAME
Content:              c82a88a5-499f-464f-96e4-be7f606a3b47.acme.2nd.pp.ua.
Note:                   Some DNS control panels add the final dot automatically.
                           Only one is required.

យើងបង្កើតកំណត់ត្រាចាំបាច់ ហើយត្រូវប្រាកដថាវាត្រូវបានបង្កើតត្រឹមត្រូវ៖

$ dig CNAME _acme-challenge.1nd.pp.ua +short
c82a88a5-499f-464f-96e4-be7f606a3b47.acme.2nd.pp.ua.

យើងបញ្ជាក់ថាយើងបានបង្កើតធាតុដែលត្រូវការនៅក្នុង winacme ហើយបន្តដំណើរការបង្កើតវិញ្ញាបនបត្រ៖

របៀបប្រើ certbot ជាអតិថិជនត្រូវបានពិពណ៌នា នៅទីនេះ.

វាបញ្ចប់ដំណើរការបង្កើតវិញ្ញាបនបត្រ អ្នកអាចដំឡើងវានៅលើម៉ាស៊ីនមេគេហទំព័រ ហើយប្រើវាបាន។ ប្រសិនបើនៅពេលបង្កើតវិញ្ញាបនបត្រ អ្នកក៏បង្កើតកិច្ចការនៅក្នុងកម្មវិធីកំណត់ពេល នោះនៅពេលអនាគត ដំណើរការបន្តវិញ្ញាបនបត្រនឹងកើតឡើងដោយស្វ័យប្រវត្តិ។

ប្រភព: www.habr.com