Získání TLS certifikátu přes ACME protokol na Linuxu

Následující návod vám pomůže s automatickým vydáním a následnou instalací certifikátů na váš linuxový server pomocí automatizovaného nástroje pro správu a odebírání certifikátů Certbot. Návod je psán pro webový server Apache, nicméně Certbot lze použít i pro Nginx, Haproxy a Plesk. Jedná se o otevřený software, tudíž volně dostupný.

Příprava pro získaní certifikátu

Před automatizací získání a nasazení certifikátu je potřeba spojit se s naší podporou a provést jednoduchou individuální přípravu pro každého zákazníka.

  • Jako první krok je před ověření vaší společnosti a domén, které budete chtít zabezpečit. To je potřeba udělat ve spolupráci s podporou SSLmarketu, která to zařídí.
  • Po úspěšném ověření vytvoříme vaši unikátní ACME Directory URL u autority. Tuto URL bude využívat váš ACME klient (v tomto případě Certbot) pro získání certifikátu.
  • ACME Directory URL je unikátní pro každého zákazníka a produkt. Nelze použít jedno URL pro více zákazníků.

Příprava Certbotu na serveru:

Nainstalujte si Certbot na svůj server, doporučujeme nainstalovat moduly podle typu webserveru. Moduly následně ulehčují výběr cílového webu pro nasazení certifikátu a umí přímo pracovat s konfigurací serveru (ulehčí vám práci s instalací).

Poznámka: Na oficiálních stránkách Certbotu si můžete zvolit přímo váš operační systém serveru, kde máte k dispozici popis instalace krok za krokem.

Získání a instalace certifikátu

V terminálu požádejte o certifikát pomocí níže uvedeného příkazu:
sudo certbot --apache --register-unsafely-without-email --server “Vaše ACME Directory URL” -d www.názevvašídomény.cz -d názevvašídomény.cz
Volitelné parametry příkazu:

  • Certbot – spustí vám Certbot
  • --apache – vybírá k použití plugin Apache Certbot, který vám certifikát nainstaluje.
  • --register-unsafely-without-email – umožní přeskočení vytvoření účtu ACME.
  • --server – určí, který server ACME by měl splnit váš požadavek. Tedy definuje ACME Directory URL
  • - d – Celý název domény, pro kterou chcete certifikát vystavit. Pokud tuto možnost nevyplníte, tak vás Certbot na základě nakonfigurovaných vhostů na serveru požádá o potvrzení, které domény chcete do požadavku zahrnout.

Po zadání příkazu dostanete nabídku zda chcete na dané doméně rovnou zapnout vynucené přesměrovaní na https: Output
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Vyberte svou volbu a stiskněte klávesu ENTER. Vámi vybraná konfigurace bude nastavena a po restartu webového serveru se načte. Následně dostanete závěrečnou zprávu informující o tom, že proces byl úspěšný a kde jsou vaše certifikáty uloženy: Output
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
expire on 2017-10-23. To obtain a new or tweaked version of this
certificate in the future, simply run certbot again with the
"certonly" option. To non-interactively renew *all* of your
certificates, run "certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

Certbot zároveň nainstaluje i potřebný Intermediate certifikát, pro kontrolu správnosti instalace následně použijte náš online nástroj pro kontrolu instalace certifikátu.

Obecné poznámky

Pro automatizaci vydání certifikátů platí několik pravidel, proto věnujte pozornost i následujícím bodům:

  • DV certifikáty zatím nejsou podporovány
  • Před vydáváním certifikátu musí proběhnout ověření firmy a následně domén
  • U domén se musí udělat preveting. Ten má dvě fáze:
    • 1. DCV čili potvrzení domény (e-mail, DNS, TXT)
    • 2. Ověřená doména se přiřadí k ověřené firmě a ta ji může začít využívat
  • ACME URL platí pro konkrétní produkt a konkrétní společnost, pravděpodobně jich budete potřebovat více.
Návod je orientační, záleží i na individuálním nastavení vašeho serveru.