Zpět na domů

Automatizace TLS certifikátů v Angie s modulem ACME: příručka

Článek se věnuje nastavení modulu ACME ve webovém serveru Angie pro automatické získávání a obnovu TLS certifikátů. Jsou zde popsány metody HTTP- a DNS ověření, včetně wildcard certifikátů, s praktickými příklady konfigurace.

Automatizujte TLS certifikáty v Angie: kompletní příručka k ACME
Advertisement 728x90

Automatizace TLS certifikátů v Angie: Kompletní průvodce modulem ACME

Modul ACME ve webovém serveru Angie umožňuje automatizovat získávání a obnovování TLS certifikátů, včetně wildcard, s minimálním úsilím. Vestavěná podpora protokolu ACME eliminuje závislost na externích nástrojích jako certbot, což zjednodušuje konfiguraci a správu bezpečnosti webových stránek.

Nastavení HTTP kontrol pro běžné certifikáty

Pro získání certifikátů prostřednictvím HTTP kontrol (HTTP-01) začněte popisem vlastností v direktivě acme_client v kontextu http. Příklad konfigurace pro RSA a ECDSA certifikáty:

http {
  resolver 127.0.0.53 ipv6=off;
  acme_client rsa      https://acme-v02.api.letsencrypt.org/directory key_type=rsa;
  acme_client ecdsa    https://acme-v02.api.letsencrypt.org/directory;
}

Poté nakonfigurujte server pro použití těchto certifikátů:

Google AdInline article slot
server {
  listen 443 ssl;
  server_name site.ru www.site.ru test.site.ru company.ru;
  acme rsa;
  acme ecdsa;
  ssl_certificate         $acme_cert_rsa;
  ssl_certificate_key $acme_cert_key_rsa;
  ssl_certificate         $acme_cert_ecdsa;
  ssl_certificate_key $acme_cert_key_ecdsa;
}

Angie automaticky otevře port 80 pro HTTP kontroly, pokud není uvedeno jinak pomocí acme_http_port. Monitorování procesu vydání certifikátů se provádí prostřednictvím error_log nebo API, se zprávami úrovně notice o úspěšném obnovení.

Získání wildcard certifikátů prostřednictvím DNS verifikace

DNS kontroly (DNS-01) jsou nezbytné pro wildcard certifikáty, které pokrývají domény druhého řádu a všechny subdomény třetího řádu. Použijte delegování zóny vytvořením DNS záznamů v panelu hostingu:

_acme-challenge.site.ru. 60    IN      NS       ns.site.ru.
             ns.site.ru. 60    IN       A       {IP_servery}

Poté nakonfigurujte acme_client s parametrem challenge=dns:

Google AdInline article slot
http {
  resolver 127.0.0.53 ipv6=off;
  acme_client ecdsa    https://acme-v02.api.letsencrypt.org/directory challenge=dns;
  server {
    listen 443 ssl;
    server_name site.ru *.site.ru;
    acme ecdsa;
    ssl_certificate         $acme_cert_ecdsa;
    ssl_certificate_key $acme_cert_key_ecdsa;
  }
}

Angie otevře port 53 pro DNS dotazy; použijte acme_dns_port k zabránění konfliktům s lokálními službami.

Alternativní metody a rozšířené možnosti

Pro případy, kdy standardní kontroly nejsou možné, modul ACME podporuje vlastní hooky, umožňující vytváření souborů nebo DNS záznamů na externích aplikacích. K dispozici je také metoda TLS-ALPN-01, užitečná při nemožnosti otevření portu 80, aktivovaná parametrem challenge=alpn.

Co je důležité

  • Automatizace: Modul ACME v Angie plně automatizuje získávání a obnovování TLS certifikátů, včetně wildcard, bez ručního zásahu.
  • Flexibilita: Podpora HTTP-01, DNS-01 a TLS-ALPN-01 kontrol, stejně jako vlastních hooků pro složité infrastruktury.
  • Výkon: Certifikáty se načítají do paměti serveru a mohou být ukládány do mezipaměti pomocí ssl_certificate_cache pro optimalizaci.
  • Kompatibilita: Funguje s jakýmikoli poskytovateli podporujícími protokol ACME, včetně Let's Encrypt.
  • Monitorování: Integrace s error_log a API pro sledování stavu certifikátů.

Praktické doporučení pro použití

Při nastavování modulu ACME berte v úvahu následující aspekty:

Google AdInline article slot
  • Testování: Pro první nastavení použijte testovací prostředí Let's Encrypt, abyste se vyhnuli blokaci kvůli překročení limitů.
  • Bezpečnost: Ujistěte se, že DNS server v direktivě resolver je důvěryhodný, a vypněte IPv6 v případě potřeby.
  • Ukládání do mezipaměti: Nastavte ssl_certificate_cache pro zlepšení výkonu, zejména při použití proměnných pro certifikáty.
  • Porty: Spravujte porty pro kontroly pomocí acme_http_port a acme_dns_port, abyste předešli konfliktům s jinými službami.

Modul ACME v Angie představuje výkonný nástroj pro zjednodušení správy TLS certifikátů, snižuje provozní náklady a zvyšuje bezpečnost webových aplikací. Jeho integrace do webového serveru umožňuje vývojářům a administrátorům soustředit se na hlavní úkoly a minimalizovat rutinní operace.

— Editorial Team

Advertisement 728x90

Číst dál