చాలా తరచుగా మేము SSL ప్రమాణపత్రాలతో పని చేయాలి. సర్టిఫికేట్ను సృష్టించే మరియు ఇన్స్టాల్ చేసే ప్రక్రియను గుర్తుంచుకోండి (చాలామందికి సాధారణ సందర్భంలో).
ప్రొవైడర్ను కనుగొనండి (మేము SSLని కొనుగోలు చేయగల సైట్).
CSRని రూపొందించండి.
దీన్ని మీ ప్రొవైడర్కు పంపండి.
డొమైన్ యాజమాన్యాన్ని ధృవీకరించండి.
సర్టిఫికేట్ పొందండి.
సర్టిఫికేట్ను అవసరమైన ఫారమ్కి మార్చండి (ఐచ్ఛికం). ఉదాహరణకు, పెమ్ నుండి PKCS #12 వరకు.
వెబ్ సర్వర్లో ప్రమాణపత్రాన్ని ఇన్స్టాల్ చేయండి.
సాపేక్షంగా వేగంగా, సంక్లిష్టంగా మరియు అర్థమయ్యేలా కాదు. మేము గరిష్టంగా పది ప్రాజెక్ట్లను కలిగి ఉంటే ఈ ఎంపిక చాలా అనుకూలంగా ఉంటుంది. వాటిలో ఎక్కువ ఉంటే, మరియు వారికి కనీసం మూడు వాతావరణాలు ఉంటే? క్లాసిక్ దేవ్ - స్టేజింగ్ - ప్రొడక్షన్. ఈ సందర్భంలో, ఈ ప్రక్రియను ఆటోమేట్ చేయడం గురించి ఆలోచించడం విలువ. నేను సమస్యను కొంచెం లోతుగా పరిశోధించి, సర్టిఫికేట్లను రూపొందించడానికి మరియు నిర్వహించడానికి వెచ్చించే సమయాన్ని మరింత తగ్గించే పరిష్కారాన్ని కనుగొనాలని ప్రతిపాదిస్తున్నాను. వ్యాసంలో సమస్య యొక్క విశ్లేషణ మరియు పునరావృతానికి చిన్న గైడ్ ఉంటుంది.
నేను ముందుగానే రిజర్వేషన్ చేయనివ్వండి: మా కంపెనీ యొక్క ప్రధాన స్పెషలైజేషన్ .net, మరియు, తదనుగుణంగా, IIS మరియు ఇతర Windows సంబంధిత ఉత్పత్తులు. అందువల్ల, ACME క్లయింట్ మరియు దాని కోసం అన్ని చర్యలు కూడా Windows ను ఉపయోగించే కోణం నుండి వివరించబడతాయి.
ఇది ఎవరికి సంబంధించినది మరియు కొంత ప్రారంభ డేటా
రచయిత ప్రాతినిధ్యం వహించిన కంపెనీ K. URL (ఉదాహరణకు): company.tld
ప్రాజెక్ట్ X అనేది మా ప్రాజెక్ట్లలో ఒకటి, దానిపై పని చేస్తున్నప్పుడు నేను సర్టిఫికేట్లతో పని చేస్తున్నప్పుడు గరిష్ట సమయం ఆదా చేసే దిశగా వెళ్లాలని నేను నిర్ణయానికి వచ్చాను. ఈ ప్రాజెక్ట్ నాలుగు వాతావరణాలను కలిగి ఉంది: దేవ్, టెస్ట్, స్టేజింగ్ మరియు ప్రొడక్షన్. దేవ్ మరియు టెస్ట్ మా వైపు ఉన్నాయి, స్టేజింగ్ మరియు ప్రొడక్షన్ క్లయింట్ వైపు ఉన్నాయి.
ప్రాజెక్ట్ యొక్క ప్రత్యేక లక్షణం ఏమిటంటే ఇది సబ్డొమైన్లుగా అందుబాటులో ఉన్న పెద్ద సంఖ్యలో మాడ్యూల్లను కలిగి ఉంది.
ఉత్పత్తి కోసం, కొనుగోలు చేసిన వైల్డ్కార్డ్ సర్టిఫికేట్ ఉపయోగించబడుతుంది, ఇక్కడ ఎటువంటి ప్రశ్నలు తలెత్తవు. కానీ ఇది సబ్డొమైన్ యొక్క మొదటి స్థాయిని మాత్రమే కవర్ చేస్తుంది. దీని ప్రకారం, *.projectX.tld కోసం సర్టిఫికేట్ ఉంటే, అది staging.projectX.tld కోసం పని చేస్తుంది, కానీ module1.staging.projectX.tld కోసం కాదు. కానీ ఏదో ఒకవిధంగా నేను విడిగా కొనాలనుకోవడం లేదు.
మరియు ఇది ఒక కంపెనీ యొక్క ఒక ప్రాజెక్ట్ యొక్క ఉదాహరణపై మాత్రమే ఆధారపడి ఉంటుంది. మరియు, వాస్తవానికి, ఒకటి కంటే ఎక్కువ ప్రాజెక్ట్లు ఉన్నాయి.
ఈ సమస్యను పరిష్కరించడానికి ప్రతి ఒక్కరికీ సాధారణ కారణాలు ఇలా కనిపిస్తాయి:
ప్రాజెక్ట్లు మరియు మొత్తం సంస్థ యొక్క అంతర్గత అవసరాల కోసం SSL జారీ మరియు నిర్వహణ ప్రక్రియను సులభతరం చేయండి.
సర్టిఫికేట్ రికార్డుల కేంద్రీకృత నిల్వ, ఇది DNS మరియు తదుపరి స్వయంచాలక పునరుద్ధరణను ఉపయోగించి డొమైన్ ధృవీకరణ సమస్యను పాక్షికంగా పరిష్కరిస్తుంది మరియు క్లయింట్ ట్రస్ట్ సమస్యను కూడా పరిష్కరిస్తుంది. అయినప్పటికీ, మూడవ పక్ష వనరు కంటే భాగస్వామి/పెర్ఫార్మర్ కంపెనీ సర్వర్లోని CNAME మరింత నమ్మదగినది.
బాగా, చివరగా, ఈ సందర్భంలో "ఉండకుండా ఉండటం కంటే కలిగి ఉండటం మంచిది" అనే పదబంధం ఖచ్చితంగా సరిపోతుంది.
SSL ప్రొవైడర్ను ఎంచుకోవడం మరియు ప్రిపరేటరీ దశలు
ఉచిత SSL ప్రమాణపత్రాల కోసం అందుబాటులో ఉన్న ఎంపికలలో, cloudflare మరియు letsencrypt పరిగణించబడ్డాయి. దీని కోసం DNS (మరియు కొన్ని ఇతర ప్రాజెక్ట్లు) క్లౌడ్ఫ్లేర్ ద్వారా హోస్ట్ చేయబడింది, కానీ నేను వారి సర్టిఫికేట్లను ఉపయోగించడానికి అభిమానిని కాదు. అందువలన, letsencrypt ఉపయోగించాలని నిర్ణయించారు.
వైల్డ్కార్డ్ SSL ప్రమాణపత్రాన్ని సృష్టించడానికి, మీరు డొమైన్ యాజమాన్యాన్ని నిర్ధారించాలి. ఈ విధానంలో కొంత DNS రికార్డ్ను (TXT లేదా CNAME) సృష్టించి, సర్టిఫికెట్ను జారీ చేసేటప్పుడు దాన్ని ధృవీకరించడం ఉంటుంది. Linux ఒక యుటిలిటీని కలిగి ఉంది - certbot, ఇది పాక్షికంగా (లేదా కొంతమంది DNS ప్రొవైడర్ల కోసం పూర్తిగా) ఈ ప్రక్రియను ఆటోమేట్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. నుండి Windows కోసం కనుగొనబడింది మరియు ధృవీకరించబడింది నేను స్థిరపడిన ACME క్లయింట్ ఎంపికలు WinACME.
మరియు డొమైన్ కోసం రికార్డ్ సృష్టించబడింది, సర్టిఫికేట్ను రూపొందించడానికి వెళ్దాం:
వైల్డ్కార్డ్ సర్టిఫికేట్ను జారీ చేయడం కోసం డొమైన్ యాజమాన్యాన్ని నిర్ధారించడానికి అందుబాటులో ఉన్న ఎంపికలు అనే చివరి ముగింపుపై మాకు ఆసక్తి ఉంది:
DNS రికార్డులను మాన్యువల్గా సృష్టించండి (ఆటోమేటిక్ అప్డేట్కు మద్దతు లేదు)
acme-dns సర్వర్ని ఉపయోగించి DNS రికార్డులను సృష్టించడం (మీరు దీని గురించి మరింత చదవగలరు ఇక్కడ.
మీ స్వంత స్క్రిప్ట్ను ఉపయోగించి DNS రికార్డ్లను సృష్టించడం (సర్ట్బాట్ కోసం క్లౌడ్ఫ్లేర్ ప్లగ్ఇన్ మాదిరిగానే).
మొదటి చూపులో, మూడవ పాయింట్ చాలా అనుకూలంగా ఉంటుంది, అయితే DNS ప్రొవైడర్ ఈ కార్యాచరణకు మద్దతు ఇవ్వకపోతే? కానీ మాకు సాధారణ కేసు అవసరం. కానీ సాధారణ కేసు CNAME రికార్డ్లు, ఎందుకంటే అందరూ వాటికి మద్దతు ఇస్తున్నారు. కాబట్టి, మేము పాయింట్ 2 వద్ద ఆపి, మా ACME-DNS సర్వర్ని కాన్ఫిగర్ చేయడానికి వెళ్తాము.
ACME-DNS సర్వర్ మరియు సర్టిఫికేట్ జారీ ప్రక్రియను సెటప్ చేస్తోంది
ఉదాహరణకు, నేను 2nd.pp.ua డొమైన్ని సృష్టించాను మరియు భవిష్యత్తులో దాన్ని ఉపయోగిస్తాను.
తప్పనిసరి అవసరం సర్వర్ సరిగ్గా పని చేయడానికి, దాని డొమైన్ కోసం NS మరియు A రికార్డులను సృష్టించడం అవసరం. మరియు నేను ఎదుర్కొన్న మొదటి అసహ్యకరమైన క్షణం ఏమిటంటే, క్లౌడ్ఫ్లేర్ (కనీసం ఉచిత వినియోగ మోడ్లో) ఒకే హోస్ట్ కోసం ఏకకాలంలో NS మరియు A రికార్డ్ను సృష్టించడానికి మిమ్మల్ని అనుమతించదు. ఇది సమస్య అని కాదు, కానీ బైండ్లో ఇది సాధ్యమే. తమ ప్యానెల్ దీన్ని చేయడానికి అనుమతించదని మద్దతు తెలిపింది. ఫర్వాలేదు, రెండు రికార్డ్లను క్రియేట్ చేద్దాం:
acmens.2nd.pp.ua. IN A 35.237.128.147
acme.2nd.pp.ua. IN NS acmens.2nd.pp.ua.
ఈ దశలో, మా హోస్ట్ పరిష్కరించాలి acmens.2nd.pp.ua.
$ ping acmens.2nd.pp.ua
PING acmens.2nd.pp.ua (35.237.128.147) 56(84) bytes of data
మరియు ఇక్కడ acme.2nd.pp.ua ఇది పరిష్కరించబడదు, ఎందుకంటే దానిని అందించే DNS సర్వర్ ఇంకా అమలులో లేదు.
రికార్డులు సృష్టించబడ్డాయి, మేము ACME-DNS సర్వర్ను సెటప్ చేయడానికి మరియు ప్రారంభించడాన్ని కొనసాగిస్తాము. ఇది నా ఉబుంటు సర్వర్లో ప్రత్యక్షమవుతుంది డాకర్ కంటైనర్, కానీ మీరు గోలాంగ్ అందుబాటులో ఉన్న ఎక్కడైనా దీన్ని అమలు చేయవచ్చు. Windows కూడా చాలా సరిఅయినది, కానీ నేను ఇప్పటికీ Linux సర్వర్ని ఇష్టపడతాను.
అవసరమైన డైరెక్టరీలు మరియు ఫైల్లను సృష్టించండి:
$ mkdir config
$ mkdir data
$ touch config/config.cfg
మీకు ఇష్టమైన టెక్స్ట్ ఎడిటర్తో vimని ఉపయోగిస్తాము మరియు నమూనాను config.cfgలో అతికించండి ఆకృతీకరణ.
విజయవంతమైన ఆపరేషన్ కోసం, సాధారణ మరియు API విభాగాలను సరిచేయడానికి సరిపోతుంది:
ACME-DNS సర్వర్కి లింక్ గురించి అడిగినప్పుడు, సమాధానంలో సృష్టించిన సర్వర్ (https) యొక్క URLని నమోదు చేయండి. acme-dns సర్వర్ యొక్క URL: https://acme.2nd.pp.ua
ఓపెనింగ్లో, క్లయింట్ ఇప్పటికే ఉన్న DNS సర్వర్కు జోడించాల్సిన రికార్డ్ను జారీ చేస్తుంది (వన్-టైమ్ విధానం):
[INFO] Creating new acme-dns registration for domain 1nd.pp.ua
Domain: 1nd.pp.ua
Record: _acme-challenge.1nd.pp.ua
Type: CNAME
Content: c82a88a5-499f-464f-96e4-be7f606a3b47.acme.2nd.pp.ua.
Note: Some DNS control panels add the final dot automatically.
Only one is required.
మేము అవసరమైన రికార్డును సృష్టిస్తాము మరియు అది సరిగ్గా సృష్టించబడిందని నిర్ధారించుకోండి:
మేము winacmeలో అవసరమైన ఎంట్రీని సృష్టించామని ధృవీకరిస్తాము మరియు ప్రమాణపత్రాన్ని సృష్టించే ప్రక్రియను కొనసాగిస్తాము:
certbotని క్లయింట్గా ఎలా ఉపయోగించాలో వివరించబడింది ఇక్కడ.
ఇది సర్టిఫికేట్ను సృష్టించే ప్రక్రియను పూర్తి చేస్తుంది; మీరు దీన్ని వెబ్ సర్వర్లో ఇన్స్టాల్ చేసి ఉపయోగించవచ్చు. ఒకవేళ, సర్టిఫికేట్ను క్రియేట్ చేస్తున్నప్పుడు, మీరు షెడ్యూలర్లో టాస్క్ను కూడా సృష్టించినట్లయితే, భవిష్యత్తులో సర్టిఫికేట్ పునరుద్ధరణ ప్రక్రియ స్వయంచాలకంగా జరుగుతుంది.