SSL प्रमाणपत्र प्राप्त करें (Let's Encrypt)2023/11/10 |
Let's Encrypt से SSL प्रमाणपत्र प्राप्त करें जो मुफ़्त SSL प्रमाणपत्र प्रदान करता है।
नीचे Let's Encrypt आधिकारिक साइट का विवरण देखें।
⇒ https://letsencrypt.org/
किसी प्रमाणपत्र की समाप्ति तिथि 90 दिन है।
हालाँकि, Systemd Timer जो प्रमाणपत्रों की जाँच और अद्यतन करता है, Certbot पैकेज में शामिल है और आपको मैन्युअल रूप से अद्यतन करने की आवश्यकता नहीं है। |
|
[1] | Certbot क्लाइंट स्थापित करें जो Let's Encrypt से प्रमाणपत्र प्राप्त करने का उपकरण है। |
[root@dlp ~]# dnf -y install certbot
|
[2] | प्रमाणपत्र प्राप्त करें। इसके लिए आवश्यक है कि जिस सर्वर पर आप काम कर रहे हैं उस पर Apache httpd या Nginx जैसे वेब सर्वर चलने चाहिए। यदि कोई वेब सर्वर नहीं चल रहा है, तो इस अनुभाग को छोड़ें और [3] अनुभाग देखें। इसके अलावा, यह आवश्यक है कि Let's Encrypt से सत्यापन के कारण पोर्ट 80 पर इंटरनेट से आपके कार्यशील सर्वर तक पहुंच संभव हो। |
# विकल्प [--webroot] के लिए, अपने सर्वर पर वेबरूट के अंतर्गत एक निर्देशिका को कार्यशील अस्थायी के रूप में उपयोग करें # -w [दस्तावेज़ जड़] -d [FQDN आप प्रमाणपत्र प्राप्त करना चाहेंगे] # FQDN (Fully Qualified Domain Name) : Hostname.Domainname # यदि आप 2 से अधिक FQDN के लिए प्रमाणपत्र प्राप्त करना चाहते हैं, तो नीचे दिए गए अनुसार सभी प्रमाणपत्र निर्दिष्ट करें # ex : यदि [srv.world] और [www.srv.world] प्राप्त करें # ⇒ [-d srv.world -d www.srv.world] [root@dlp ~]# certbot certonly --webroot -w /var/www/html -d dns.srv.world Saving debug log to /var/log/letsencrypt/letsencrypt.log Enter email address (used for urgent renewal and security notices) # केवल आरंभिक उपयोग के लिए, अपना ईमेल पता पंजीकृत करें और उपयोग की शर्तों से सहमत हों # वैध ईमेल पता निर्दिष्ट करें (Enter 'c' to cancel): root@mail.srv.world - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please read the Terms of Service at https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must agree in order to register with the ACME server. Do you agree? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - # उपयोग की शर्तों से सहमत हैं (Y)es/(N)o: A - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Would you be willing, once your first certificate is successfully issued, to share your email address with the Electronic Frontier Foundation, a founding partner of the Let's Encrypt project and the non-profit organization that develops Certbot? We'd like to send you email about our work encrypting the web, EFF news, campaigns, and ways to support digital freedom. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y)es/(N)o: A Account registered. Requesting a certificate for dns.srv.world Successfully received certificate. Certificate is saved at: /etc/letsencrypt/live/dns.srv.world/fullchain.pem Key is saved at: /etc/letsencrypt/live/dns.srv.world/privkey.pem This certificate expires on 2024-02-10. These files will be updated when the certificate renews. Certbot has set up a scheduled task to automatically renew this certificate in the background. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - If you like Certbot, please consider supporting our work by: * Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate * Donating to EFF: https://eff.org/donate-le - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - # सफलता यदि [Successfully received certificate] दिखाया गया है # प्रमाणपत्र [/etc/letsencrypt/live/(FQDN)/] निर्देशिका के अंतर्गत बनाए जाते हैं # cert.pem ⇒ एसएसएल सर्वर प्रमाणपत्र (सार्वजनिक-कुंजी शामिल है) # chain.pem ⇒ मध्यवर्ती प्रमाणपत्र # fullchain.pem ⇒ संयुक्त फ़ाइल cert.pem और chain.pem # privkey.pem ⇒ निजी-कुंजी फ़ाइल |
[3] | यदि आपके कार्यशील सर्वर पर कोई वेब सर्वर नहीं चल रहा है, तो Certbot की वेब सर्वर सुविधा का उपयोग करके प्रमाणपत्र प्राप्त करना संभव है। वैसे भी, इसकी आवश्यकता है कि Let's Encrypt से सत्यापन के कारण पोर्ट 80 पर इंटरनेट से आपके कार्यशील सर्वर तक पहुंच संभव हो। |
# for the option [--standalone], use Certbot's Web Server feature # -d [FQDN आप प्रमाणपत्र प्राप्त करना चाहेंगे] # FQDN (Fully Qualified Domain Name) : Hostname.Domainname # यदि आप 2 से अधिक FQDN के लिए प्रमाणपत्र प्राप्त करना चाहते हैं, तो नीचे दिए गए अनुसार सभी प्रमाणपत्र निर्दिष्ट करें # ex : यदि [srv.world] और [www.srv.world] प्राप्त करें ⇒ निर्दिष्ट करें [-d srv.world -d www.srv.world] [root@dlp ~]# certbot certonly --standalone -d rx-9.srv.world Saving debug log to /var/log/letsencrypt/letsencrypt.log Requesting a certificate for rx-9.srv.world Successfully received certificate. Certificate is saved at: /etc/letsencrypt/live/rx-9.srv.world/fullchain.pem Key is saved at: /etc/letsencrypt/live/rx-9.srv.world/privkey.pem This certificate expires on 2024-02-10. These files will be updated when the certificate renews. Certbot has set up a scheduled task to automatically renew this certificate in the background. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - If you like Certbot, please consider supporting our work by: * Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate * Donating to EFF: https://eff.org/donate-le - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - |
[4] | मौजूदा प्रमाणपत्रों को मैन्युअल रूप से अपडेट करने के लिए, निम्न कार्य करें। |
# उन सभी प्रमाणपत्रों को अद्यतन करें जिनकी समाप्ति तिथि 30 दिन से कम है # यदि आप ऐसे प्रमाणपत्रों को अद्यतन करना चाहते हैं जिनकी समाप्ति तिथि 30 दिन से अधिक है, तो [--force-renew] विकल्प जोड़ें [root@dlp ~]# certbot renew |
[5] | मौजूदा प्रमाणपत्रों को स्वचालित रूप से अद्यतन करने के लिए, नवीनीकरण के लिए सेवाएँ प्रारंभ करें जो Certbot पैकेज में शामिल हैं। |
# Systemd टाइमर शामिल है [root@dlp ~]# systemctl cat certbot-renew.timer # /usr/lib/systemd/system/certbot-renew.timer [Unit] Description=This is the timer to set the schedule for automated renewals [Timer] OnCalendar=*-*-* 00/12:00:00 RandomizedDelaySec=12hours Persistent=true [Install] WantedBy=timers.target
[root@dlp ~]#
[root@dlp ~]# systemctl enable --now certbot-renew.timer
systemctl list-timers certbot-renew.timer NEXT LEFT LAST PASSED UNIT ACTIVATES > Fri 2023-11-10 20:19:13 JST 9h - - certbot-renew.timer certbot-renew.> 1 timers listed. Pass --all to see loaded but inactive timers, too. # अद्यतन करने के पूर्व या बाद के आदेशों को निर्दिष्ट करना संभव है [root@dlp ~]# vi /etc/sysconfig/certbot # पंक्ति 17 : पूर्व-आदेश निर्दिष्ट करना संभव है # An example to stop the MTA before updating certs would be # PRE_HOOK="--pre-hook 'systemctl stop postfix'" PRE_HOOK="" # पंक्ति 29 : पोस्ट-कमांड निर्दिष्ट करना संभव है # An example to restart httpd would be: # POST_HOOK="--post-hook 'systemctl restart httpd'" POST_HOOK="" |
[6] | यदि आप Windows के लिए प्रमाणपत्रों को PKCS12 (PFX) प्रारूप में परिवर्तित करना चाहते हैं, तो निम्न कार्य करें। |
[root@dlp ~]# openssl pkcs12 -export -in fullchain.pem -inkey privkey.pem -out dlp_for_iis.pfx
Enter Export Password: # कोई भी निर्यात पासवर्ड सेट करें
Verifying - Enter Export Password:
|
|