SSL ထုတ်ပေးခြင်း၏ အလိုအလျောက်လုပ်ဆောင်မှုဆီသို့

ကျွန်ုပ်တို့သည် SSL လက်မှတ်များနှင့် အလုပ်လုပ်ရလေ့ရှိသည်။ လက်မှတ်တစ်ခု ဖန်တီးခြင်းနှင့် ထည့်သွင်းခြင်း လုပ်ငန်းစဉ် (အများစုအတွက် ယေဘူယျအားဖြင့်) ကို သတိရကြပါစို့။

• ဝန်ဆောင်မှုပေးသူကိုရှာပါ (ကျွန်ုပ်တို့ SSL ဝယ်နိုင်သောဆိုဒ်)။
• CSR ကိုဖန်တီးပါ။
• သင့်ဝန်ဆောင်မှုပေးသူထံ ပေးပို့ပါ။
• ဒိုမိန်းပိုင်ဆိုင်မှုကို အတည်ပြုပါ။
• လက်မှတ်ရယူပါ။
• လက်မှတ်ကို လိုအပ်သောပုံစံ (ချန်လှပ်ထားနိုင်သည်) သို့ ပြောင်းပါ။ ဥပမာ၊ pem မှ PKCS #12 သို့။
• လက်မှတ်ကို ဝဘ်ဆာဗာတွင် ထည့်သွင်းပါ။

အတော်လေးမြန်တယ်၊ မရှုပ်ထွေးဘဲ နားလည်နိုင်ပါတယ်။ ကျွန်ုပ်တို့တွင် အများဆုံး ပရောဂျက် ဆယ်ခုရှိပါက ဤရွေးချယ်မှုသည် အလွန်သင့်လျော်ပါသည်။ ၎င်းတို့အနက်မှ ပိုများပြီး ၎င်းတို့တွင် အနည်းဆုံး ပတ်ဝန်းကျင် သုံးခုရှိလျှင်ကော။ ဂန္ထဝင် dev - ဇာတ်ညွှန်း - ထုတ်လုပ်ခြင်း။ ဤကိစ္စတွင်၊ ဤလုပ်ငန်းစဉ်ကို အလိုအလျောက်လုပ်ဆောင်ရန် စဉ်းစားသင့်သည်။ ပြဿနာကို နည်းနည်းလေးနက်နက်နဲနဲ စေ့စေ့စပ်စပ်လေ့လာပြီး လက်မှတ်များဖန်တီးခြင်းနှင့် ထိန်းသိမ်းခြင်းအတွက် အသုံးပြုချိန်ကို ပိုမိုနည်းပါးစေမည့် အဖြေကိုရှာဖွေရန် အဆိုပြုပါသည်။ ဆောင်းပါးတွင် ပြဿနာ၏ ခွဲခြမ်းစိတ်ဖြာချက်နှင့် ထပ်တလဲလဲလုပ်ရန် လမ်းညွှန်ချက်လေးတစ်ခုပါရှိသည်။

ကြိုတင်မှာထားပါရစေ- ကျွန်ုပ်တို့ကုမ္ပဏီ၏ အဓိက အထူးပြုချက်မှာ .net ဖြစ်ပြီး၊ ထို့ကြောင့် IIS နှင့် အခြား Windows ဆက်စပ်ထုတ်ကုန်များ။ ထို့ကြောင့် ACME client နှင့် ၎င်းအတွက် လုပ်ဆောင်ချက်များအားလုံးကို Windows အသုံးပြုခြင်း၏ ရှုထောင့်မှလည်း ဖော်ပြပါမည်။

ဤအရာသည် မည်သူနှင့် သက်ဆိုင်ပြီး အချို့သော ကနဦးဒေတာများဖြစ်သည်။

ကုမ္ပဏီ K ကို စာရေးသူက ကိုယ်စားပြုပါတယ်။ URL (ဥပမာ): company.tld

Project X သည် ကျွန်ုပ်တို့၏ပရောဂျက်များထဲမှတစ်ခုဖြစ်ပြီး လက်မှတ်များနှင့်အလုပ်လုပ်သောအခါတွင် ကျွန်ုပ်တို့သည် အချိန်ကုန်သက်သာစေရန် အများဆုံးလိုအပ်နေသေးကြောင်း နိဂုံးချုပ်ရသောအခါတွင် လုပ်ဆောင်နေပါသည်။ ဤပရောဂျက်တွင် ပတ်ဝန်းကျင် လေးခုပါရှိသည်- dev၊ စမ်းသပ်မှု၊ အဆင့်နှင့် ထုတ်လုပ်ရေး။ Dev နှင့် Test သည် ကျွန်ုပ်တို့ဘက်မှ ရပ်တည်နေပြီး ထုတ်လုပ်မှုနှင့် ဖောက်သည်ဘက်တွင် ရှိနေပါသည်။

ပရောဂျက်၏ အထူးအင်္ဂါရပ်မှာ ၎င်းတွင် ဒိုမိန်းခွဲများအဖြစ် ရရှိနိုင်သော မော်ဂျူးအများအပြား ရှိသည်။

ဆိုလိုသည်မှာ၊ ကျွန်ုပ်တို့တွင် အောက်ပါပုံရှိသည်။

dev
စမ်းသပ်
စင်
ထုတ်လုပ်မှု

projectX.dev.company.tld
projectX.test.company.tld
staging.projectX.tld
projectX.tld

module1.projectX.dev.company.tld
module1.projectX.test.company.tld
module1.staging.projectX.tld
module1.projectX.tld

module2.projectX.dev.company.tld
module2.projectX.test.company.tld
module2.staging.projectX.tld
module2.projectX.tld

...
...
...
...

moduleN.projectX.dev.company.tld
moduleN.projectX.test.company.tld
moduleN.staging.projectX.tld
moduleN.projectX.tld

ထုတ်လုပ်မှုအတွက်၊ ဝယ်ယူထားသော ခရင်မ်ကတ်လက်မှတ်ကို အသုံးပြုသည်၊ ဤနေရာတွင် မေးခွန်းထုတ်စရာမရှိပါ။ သို့သော် ၎င်းသည် subdomain ၏ပထမအဆင့်ကိုသာ အကျုံးဝင်သည်။ ထို့ကြောင့်၊ *.projectX.tld အတွက် လက်မှတ်ရှိပါက၊ ၎င်းသည် staging.projectX.tld အတွက် အလုပ်လုပ်မည်ဖြစ်သော်လည်း module1.staging.projectX.tld အတွက် မဟုတ်ပါ။ ဒါပေမယ့် သီးခြားတစ်ခုတော့ မဝယ်ချင်ဘူး။

၎င်းသည် ကုမ္ပဏီတစ်ခု၏ ပရောဂျက်တစ်ခု၏ နမူနာပေါ်တွင်သာ အခြေခံထားသည်။ ပြီးတော့ ပရောဂျက်တစ်ခုထက်မက ရှိတယ်။

ဤပြဿနာကို ဖြေရှင်းရန် လူတိုင်းအတွက် ဖြစ်လေ့ဖြစ်ထရှိသော အကြောင်းရင်းများမှာ ဤကဲ့သို့ ဖြစ်သည်-

• မကြာသေးမီက Google သည် SSL လက်မှတ်များ၏ တရားဝင်သက်တမ်းကာလကို လျှော့ချရန် အဆိုပြုခဲ့သည်။. အလုံးစုံသော အကျိုးဆက်များနှင့်။
• ပရောဂျက်များနှင့် ကုမ္ပဏီတစ်ခုလုံး၏ အတွင်းပိုင်းလိုအပ်ချက်များအတွက် SSL ထုတ်ပေးခြင်းနှင့် ထိန်းသိမ်းခြင်းလုပ်ငန်းစဉ်ကို လွယ်ကူချောမွေ့စေပါသည်။
• DNS ကိုအသုံးပြု၍ ဒိုမိန်းအတည်ပြုခြင်းနှင့် နောက်ဆက်တွဲအလိုအလျောက်သက်တမ်းတိုးခြင်းပြဿနာကို တစ်စိတ်တစ်ပိုင်းဖြေရှင်းပေးသည့် လက်မှတ်မှတ်တမ်းများ၏ သိုလှောင်သိမ်းဆည်းမှုနှင့် သုံးစွဲသူယုံကြည်မှုပြဿနာကိုလည်း ဖြေရှင်းပေးပါသည်။ သို့တိုင်၊ ပါတနာ/သရုပ်ဆောင်ကုမ္ပဏီတစ်ခု၏ ဆာဗာပေါ်ရှိ CNAME သည် ပြင်ပအဖွဲ့အစည်းအရင်းအမြစ်တစ်ခုထက် ပိုမိုယုံကြည်စိတ်ချရသည်။
• ကောင်းပြီ၊ နောက်ဆုံး၊ ဤကိစ္စတွင် "မရှိဖို့ထက် ပိုကောင်းသည်" ဟူသော စကားစုသည် ပြီးပြည့်စုံစွာ ကိုက်ညီပါသည်။

SSL ဝန်ဆောင်မှုပေးသူကို ရွေးချယ်ခြင်းနှင့် ပြင်ဆင်မှုအဆင့်များ

အခမဲ့ SSL လက်မှတ်များအတွက် ရရှိနိုင်သော ရွေးချယ်စရာများထဲတွင် cloudflare နှင့် letsencrypt ကို ထည့်သွင်းစဉ်းစားခဲ့သည်။ ဤအတွက် DNS (နှင့် အခြားပရောဂျက်အချို့) ကို cloudflare မှ လက်ခံထားပါသည်၊ သို့သော် ကျွန်ုပ်သည် ၎င်းတို့၏ လက်မှတ်များကို အသုံးပြုသည့် ပရိတ်သတ်မဟုတ်ပါ။ ထို့ကြောင့်၊ letsencrypt ကိုအသုံးပြုရန်ဆုံးဖြတ်ခဲ့သည်။
သင်္ကေတ SSL လက်မှတ်ကို ဖန်တီးရန်၊ သင်သည် ဒိုမိန်းပိုင်ဆိုင်မှုကို အတည်ပြုရန် လိုအပ်သည်။ ဤလုပ်ငန်းစဉ်တွင် DNS မှတ်တမ်း (TXT သို့မဟုတ် CNAME) အချို့ကို ဖန်တီးပြီး လက်မှတ်ထုတ်ပေးသည့်အခါ ၎င်းကို စစ်ဆေးခြင်းပါဝင်သည်။ Linux တွင် အသုံးဝင်မှုတစ်ခု ရှိသည်- ကျားကန်တစ်စိတ်တစ်ပိုင်း (သို့မဟုတ် အချို့သော DNS ဝန်ဆောင်မှုပေးသူများအတွက်) ဤလုပ်ငန်းစဉ်ကို အလိုအလျောက်လုပ်ဆောင်နိုင်စေမည့်၊ Windows အတွက် တွေ့ရှိပြီး စိစစ်ခဲ့သည်။ ကျွန်တော် ACME ဖောက်သည် ရွေးချယ်စရာများ WinACME.

ဒိုမိန်းအတွက် မှတ်တမ်းကို ဖန်တီးပြီးပြီ၊ လက်မှတ်တစ်ခု ဖန်တီးခြင်းသို့ ဆက်သွားကြပါစို့။

ကျွန်ုပ်တို့သည် နောက်ဆုံးနိဂုံးချုပ်ကို စိတ်ဝင်စားပါသည်၊ ပြောရရင်၊ wildcard လက်မှတ်ထုတ်ပေးခြင်းအတွက် domain ပိုင်ဆိုင်မှုကို အတည်ပြုရန်အတွက် ရရှိနိုင်သောရွေးချယ်စရာများ

1. DNS မှတ်တမ်းများကို ကိုယ်တိုင်ဖန်တီးပါ (အလိုအလျောက် အပ်ဒိတ်ကို မပံ့ပိုးနိုင်ပါ)
2. acme-dns ဆာဗာကို အသုံးပြု၍ DNS မှတ်တမ်းများကို ဖန်တီးခြင်း (အကြောင်းပိုမိုဖတ်ရှုနိုင်ပါသည်။ ဒီမှာ.
3. သင်၏ကိုယ်ပိုင် script ကိုအသုံးပြု၍ DNS မှတ်တမ်းများဖန်တီးခြင်း (certbot အတွက် cloudflare ပလပ်အင်နှင့်ဆင်တူသည်)။

ပထမတစ်ချက်တွင်၊ တတိယအချက်သည် အလွန်သင့်လျော်သည်၊ သို့သော် DNS ဝန်ဆောင်မှုပေးသူက ဤလုပ်ဆောင်နိုင်စွမ်းကို မပံ့ပိုးပါက အဘယ်နည်း။ ဒါပေမယ့် ယေဘူယျကိစ္စလိုတယ်။ လူတိုင်းက ၎င်းတို့ကို ထောက်ခံသောကြောင့် ယေဘုယျကိစ္စမှာ CNAME မှတ်တမ်းများဖြစ်သည်။ ထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် အမှတ် 2 တွင်ရပ်တန့်ပြီး ကျွန်ုပ်တို့၏ ACME-DNS ဆာဗာကို configure လုပ်ရန်သွားပါ။

ACME-DNS ဆာဗာနှင့် လက်မှတ်ထုတ်ပေးခြင်းလုပ်ငန်းစဉ်ကို စနစ်ထည့်သွင်းခြင်း။

ဥပမာအားဖြင့်၊ ကျွန်ုပ်သည် ဒိုမိန်း 2nd.pp.ua ကို ဖန်တီးပြီး နောင်တွင် ၎င်းကို အသုံးပြုပါမည်။

မဖြစ်မနေ လိုအပ်ချက် ဆာဗာသည် မှန်ကန်စွာအလုပ်လုပ်ရန်အတွက် ၎င်း၏ဒိုမိန်းအတွက် NS နှင့် A မှတ်တမ်းများကို ဖန်တီးရန် လိုအပ်သည်။ ငါပထမဆုံးကြုံတွေ့ခဲ့ရတဲ့ မနှစ်မြို့ဖွယ်အခိုက်အတန့်ကတော့ cloudflare (အနည်းဆုံးအခမဲ့အသုံးပြုမှုမုဒ်မှာ) က တူညီတဲ့ host အတွက် NS နဲ့ A record ကို တပြိုင်နက်ဖန်တီးခွင့်မပြုပါဘူး။ ဒါက ပြဿနာမဟုတ်ပေမယ့် စည်းနဲ့ကမ်းနဲ့တော့ ဖြစ်နိုင်တယ်။ ၎င်းတို့အဖွဲ့သည် ဤသို့လုပ်ဆောင်ခြင်းကို ခွင့်မပြုကြောင်း ပံ့ပိုးကူညီမှုမှ ပြန်လည်ဖြေကြားခဲ့သည်။ ပြဿနာမရှိပါ၊ မှတ်တမ်းနှစ်ခုဖန်တီးကြပါစို့။

acmens.2nd.pp.ua. IN A 35.237.128.147
acme.2nd.pp.ua. IN NS acmens.2nd.pp.ua.

ဒီအဆင့်မှာ အိမ်ရှင်က ဖြေရှင်းသင့်တယ်။ acmens.2nd.pp.ua.

$ ping acmens.2nd.pp.ua
PING acmens.2nd.pp.ua (35.237.128.147) 56(84) bytes of data

ဒီမှာ acme.2nd.pp.ua ၎င်းကိုဆောင်ရွက်ပေးသော DNS ဆာဗာသည် မလည်ပတ်သေးသောကြောင့် ၎င်းသည် ဖြေရှင်းမည်မဟုတ်ပါ။

မှတ်တမ်းများကို ဖန်တီးထားပြီး၊ ကျွန်ုပ်တို့သည် ACME-DNS ဆာဗာကို စတင်သတ်မှတ်ခြင်းနှင့် စတင်ခြင်းဆီသို့ ဆက်လက်လုပ်ဆောင်ပါသည်။ ၎င်းသည် ကျွန်ုပ်၏ ubuntu ဆာဗာတွင် အသက်ရှင်နေလိမ့်မည်။ မင်္ဂလာပါ ကွန်တိန်နာ၊ သို့သော် golang ရနိုင်သည့်နေရာတိုင်းတွင်သင်သုံးနိုင်သည်။ Windows ကလည်း အတော်လေး သင့်တော်ပေမယ့် Linux server ကို ပိုကြိုက်တုန်းပါပဲ။

လိုအပ်သော လမ်းညွှန်များနှင့် ဖိုင်များကို ဖန်တီးပါ-

$ mkdir config
$ mkdir data
$ touch config/config.cfg

သင်အကြိုက်ဆုံး စာသားတည်းဖြတ်မှုဖြင့် vim ကိုသုံး၍ နမူနာကို config.cfg ထဲသို့ ကူးထည့်ကြပါစို့ စီစဉ်ဖွဲ့စည်းမှု.

လုပ်ဆောင်ချက်အောင်မြင်ရန်အတွက်၊ အထွေထွေနှင့် api ကဏ္ဍများကို ပြုပြင်ရန် လုံလောက်သည်-

[general]
listen = "0.0.0.0:53"
protocol = "both"
domain = "acme.2nd.pp.ua"
nsname = "acmens.2nd.pp.ua" 
nsadmin = "admin.2nd.pp.ua" 
records = 
    "acme.2nd.pp.ua. A 35.237.128.147",
    "acme.2nd.pp.ua. NS acmens.2nd.pp.ua.",                                                                                                                                                                                                  ]
...
[api]
...
tls = "letsencrypt"
…

ထို့အပြင် ဆန္ဒရှိပါက၊ ကျွန်ုပ်တို့သည် ပင်မဝန်ဆောင်မှုလမ်းညွှန်တွင် docker-compose ဖိုင်ကို ဖန်တီးပါမည်။

version: '3.7'
services:
  acmedns:
    image: joohoi/acme-dns:latest
    ports:
      - "443:443"
      - "53:53"
      - "53:53/udp"
      - "80:80"
    volumes:
      - ./config:/etc/acme-dns:ro
      - ./data:/var/lib/acme-dns

အဆင်သင့်။ အဲဒါကို သုံးလို့ရတယ်။

$ docker-compose up -d

ဤအဆင့်တွင် အိမ်ရှင်က စတင်ဖြေရှင်းသင့်သည်။ acme.2nd.pp.uaပြီးတော့ 404 ပေါ်လာတယ်။ https://acme.2nd.pp.ua

$ ping acme.2nd.pp.ua
PING acme.2nd.pp.ua (35.237.128.147) 56(84) bytes of data.

$ curl https://acme.2nd.pp.ua
404 page not found

မပေါ်ရင်- docker logs -f <container_name> ကံကောင်းထောက်မစွာ၊ မှတ်တမ်းများသည် အလွန်ဖတ်ရလွယ်ကူသည်။

လက်မှတ်ကို စတင်ဖန်တီးနိုင်ပါပြီ။ စီမံခန့်ခွဲသူအဖြစ် powershell ကိုဖွင့်ပြီး winacme ကိုဖွင့်ပါ။ ရွေးကောက်ပွဲကို စိတ်ဝင်စားတယ်

• M- လက်မှတ်အသစ်ဖန်တီးပါ (ရွေးချယ်စရာအပြည့်အစုံ)
• 2: ကိုယ်တိုင်ထည့်သွင်းခြင်း။
• 2- [dns-01] acme-dns ဖြင့် အတည်ပြုခြင်းမှတ်တမ်းများကို ဖန်တီးပါ (https://github.com/joohoi/acme-dns)
• ACME-DNS ဆာဗာသို့ လင့်ခ်တစ်ခုအကြောင်း မေးသောအခါ အဖြေတွင် ဖန်တီးထားသော ဆာဗာ၏ URL (https) ကို ထည့်ပါ။ acme-dns ဆာဗာ၏ URL- https://acme.2nd.pp.ua

အဖွင့်တွင်၊ client သည် ရှိပြီးသား DNS server (တစ်ကြိမ်လုပ်ထုံးလုပ်နည်း) တွင် ထည့်သွင်းရန်လိုအပ်သော မှတ်တမ်းတစ်ခုထုတ်ပေးသည်-

[INFO] Creating new acme-dns registration for domain 1nd.pp.ua

Domain:              1nd.pp.ua
Record:               _acme-challenge.1nd.pp.ua
Type:                   CNAME
Content:              c82a88a5-499f-464f-96e4-be7f606a3b47.acme.2nd.pp.ua.
Note:                   Some DNS control panels add the final dot automatically.
                           Only one is required.

လိုအပ်သော မှတ်တမ်းကို ဖန်တီးပြီး ၎င်းကို မှန်ကန်စွာ ဖန်တီးထားကြောင်း သေချာစေသည်-

$ dig CNAME _acme-challenge.1nd.pp.ua +short
c82a88a5-499f-464f-96e4-be7f606a3b47.acme.2nd.pp.ua.

winacme တွင် လိုအပ်သောထည့်သွင်းမှုကို ကျွန်ုပ်တို့ဖန်တီးခဲ့ကြောင်း အတည်ပြုပြီး လက်မှတ်တစ်ခုဖန်တီးခြင်းလုပ်ငန်းစဉ်ကို ဆက်လက်လုပ်ဆောင်ပါ-

client တစ်ခုအနေဖြင့် certbot ကိုမည်သို့အသုံးပြုရမည်ကို ဖော်ပြထားပါသည်။ ဒီမှာ.

၎င်းသည် လက်မှတ်တစ်ခုဖန်တီးခြင်းလုပ်ငန်းစဉ်ကို ပြီးမြောက်စေသည်၊ သင်သည် ၎င်းကို ဝဘ်ဆာဗာတွင် ထည့်သွင်းပြီး ၎င်းကို အသုံးပြုနိုင်သည်။ အကယ်၍ သင်သည် လက်မှတ်တစ်ခုကို ဖန်တီးသည့်အခါ အချိန်ဇယားဆွဲသူတွင် အလုပ်တစ်ခုကိုလည်း ဖန်တီးထားပါက၊ နောင်တွင် လက်မှတ် သက်တမ်းတိုးခြင်း လုပ်ငန်းစဉ်သည် အလိုအလျောက် ဖြစ်ပေါ်မည်ဖြစ်သည်။

source: www.habr.com