سرویس SSL رایگان با Let’s Encrypt، حتی برای دامنه‌های ir.

اگر پیش از گواهینامه امنیتی (SSL یا TLS) را نصب کرده باشید، از سختی کار نصب و تمدید آن آگاهید. از طرف دیگر چند سالیست که از سوی گوگل تاکید بیشتری بر نصب این گواهینامه می‌شود. خبر خوب اینکه از حدود سه هفته قبل یک مرجع صدور گواهینامه دیجیتال بصورت عمومی سرویس گواهینامه امنیتی رایگان خود را ارائه نموده است که براحتی هر چه تمام (حداقل در برخی پلتفرم‌ها) نصب می‌شود.

Let’s Encrypt توسط ISRG تامین می‌شود که سازمان‌های بزرگی همچون بنیاد موزیلا، سیسکو و Akamai از آن حمایت می‌کنند. خبر بسیار خوب اینکه این سرویس برای دامنه‌های ir. نیز قابل نصب است.

همانطور که گفته شد نصب این گواهینامه بسیار آسان است.

در ادامه طریقه نصب letsencrypt را بر روی سرور centos 6 برای وب‌سرور apache2 با هم مرور خواهیم کرد.

با ssh به سرور خود متصل می‌شویم و دستورات زیر را برای نصب پیش‌نیازهای letsencrypt وارد می‌کنیم.

# Install Epel Repository
yum install epel-release

# Install IUS Repository
rpm -ivh https://rhel6.iuscommunity.org/ius-release.rpm

# Install Python 2.7 and Git
yum --enablerepo=ius install git python27 python27-devel python27-pip python27-setuptools python27-virtualenv -y

حالا باید از مخزن گیت‌هاب letsencrypt یک کلون بگیریم.

cd /opt
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt

با اجرای فرمان زیر letsencrypt کلیه نیازمندی‌های خود را بصورت خودکار نصب می‌کند.

./letsencrypt-auto

اگر خروجی زیر را مشاهده کردید یعنی می‌توانید به سراغ مراحل بعدی دریافت گواهی ssl بروید.

Requesting root privileges to run letsencrypt...
   /root/.local/share/letsencrypt/bin/letsencrypt --help

  letsencrypt-auto [SUBCOMMAND] [options] [-d domain] [-d domain] ...

The Let's Encrypt agent can obtain and install HTTPS/TLS/SSL certificates.  By
default, it will attempt to use a webserver both for obtaining and installing
the cert. Major SUBCOMMANDS are:

  (default) run        Obtain & install a cert in your current webserver
  certonly             Obtain cert, but do not install it (aka "auth")
  install              Install a previously obtained cert in a server
  renew                Renew previously obtained certs that are near expiry
  revoke               Revoke a previously obtained certificate
  rollback             Rollback server configuration changes made during install
  config_changes       Show changes made to server config during installation
  plugins              Display information about installed plugins

Choice of server plugins for obtaining and installing cert:

  --apache          Use the Apache plugin for authentication & installation
  --standalone      Run a standalone webserver for authentication
  (nginx support is experimental, buggy, and not installed by default)
  --webroot         Place files in a server's webroot folder for authentication

OR use different plugins to obtain (authenticate) the cert and then install it:

  --authenticator standalone --installer apache

More detailed help:

  -h, --help [topic]    print this message, or detailed help on a topic;
                        the available topics are:

   all, automation, paths, security, testing, or any of the subcommands or
   plugins (certonly, install, nginx, apache, standalone, webroot, etc)

اگر در طی مرحله بالا به خطای زیر برخورد کردید سرویس وب‌سرور خود را خاموش کنید.

 Command "/root/.local/share/letsencrypt/bin/python2.7 -c "import setuptools, tokenize;__file__='/tmp/pip-build-cAuqmP/cryptography/setup.py';exec(compile(getattr(tokenize, 'open', open)(__file__).read().replace('\r\n', '\n'), __file__, 'exec'))" install --record /tmp/pip-rhCaoe-record/install-record.txt --single-version-externally-managed --compile --install-headers /root/.local/share/letsencrypt/include/site/python2.7/cryptography" failed with error code 1 in /tmp/pip-build-cAuqmP/cryptography

یا اگر به خطای زیر برخوردید

c/_cffi_backend.c:13:17: fatal error: ffi.h: No such file or directory
   #include <ffi.h>
                   ^
  compilation terminated.

دستور زیر را وارد کنید.

yum groupinstall -y development
yum install gcc libffi-devel python-devel openssl-devel

خب برای نصب گواهی ssl بر روی دامنه مورد نظرتان از کد زیر استفاده کنید:

./letsencrypt-auto certonly --webroot -w /var/www/example -d example.ir -d www.example.ir

بعد از وارد کردن دستور بالا از شما یک ایمیل برای ارتباط‌های احتمالی آینده می‌خواهد. اگر همه چیز با موفقیت انجام شود متن زیر را مشاهده خواهید کرد:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/example.ir/fullchain.pem. Your cert will expire
   on 2016-07-28. To obtain a new version of the certificate in the
   future, simply run Let's Encrypt again.
 - If you lose your account credentials, you can recover through
   e-mails sent to myemail@gmail.com.
 - Your account credentials have been saved in your Let's Encrypt
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Let's
   Encrypt so making regular backups of this folder is ideal.
 - If you like Let's Encrypt, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

خب حالا ما موفق شدیم که گواهی ssl خود را از letsencrypt دریافت کنیم. برای اینکه بتوانیم به https دسترسی داشته باشیم باید به فایل کانفیگ دامنه خود در وبسرور آپاچی برویم. و خطوط زیر را به آن اضافه کنیم:

<VirtualHost *:443>
    DocumentRoot /var/www/example
    ServerName example.ir
    ServerAlias www.example.ir
    ErrorLog logs/example.ir-error_log
    CustomLog logs/example.ir-access_log common
    SSLEngine on
    SSLCertificateFile /etc/letsencrypt/live/example.ir/cert.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/example.ir/privkey.pem
    SSLCertificateChainFile /etc/letsencrypt/live/example.ir/chain.pem
    SSLProtocol ALL -SSLv2 -SSLv3
    SSLCipherSuite HIGH:!aNULL:!MD5
    SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
    SSLHonorCipherOrder on
</VirtualHost>

حالا برای اعمال تغییرات وبسرور آپاچی را مجددا راه‌اندازی می‌کنیم.

/etc/init.d/httpd restart

برای اینکه ببینید تنظیمات شما صحیح بوده یا نه دامنه خود را در سایت زیر چک کنید تا ببینید چه نمره‌ای به سایت شما می‌دهد:

https://www.ssllabs.com/ssltest/analyze.html?d=hive.ir

این گواهی برای ۹۰ روز معتبر است که بعد از اتمام این مدت باید گواهی را تمدید کنید. این عملیات با کد ساده‌ای که توسط letsencrypt ارائه شده است قابل انجام است. ما یک کرون جاب برای خودکار کردن این تمدید ایجاد می‌کنیم تا نگران نامعتبر شدن گواهی خود نباشیم:

sudo crontab -e
۳۰ ۲ * * ۱ /opt/letsencrypt/letsencrypt-auto renew >> /var/log/le-renew.log

اگر مشکلی بود بپرسین.

منابع:

+ + +