Automatizace TLS certifikátů v Angie: Kompletní průvodce modulem ACME
Modul ACME ve webovém serveru Angie umožňuje automatizovat získávání a obnovování TLS certifikátů, včetně wildcard, s minimálním úsilím. Vestavěná podpora protokolu ACME eliminuje závislost na externích nástrojích jako certbot, což zjednodušuje konfiguraci a správu bezpečnosti webových stránek.
Nastavení HTTP kontrol pro běžné certifikáty
Pro získání certifikátů prostřednictvím HTTP kontrol (HTTP-01) začněte popisem vlastností v direktivě acme_client v kontextu http. Příklad konfigurace pro RSA a ECDSA certifikáty:
http {
resolver 127.0.0.53 ipv6=off;
acme_client rsa https://acme-v02.api.letsencrypt.org/directory key_type=rsa;
acme_client ecdsa https://acme-v02.api.letsencrypt.org/directory;
}
Poté nakonfigurujte server pro použití těchto certifikátů:
server {
listen 443 ssl;
server_name site.ru www.site.ru test.site.ru company.ru;
acme rsa;
acme ecdsa;
ssl_certificate $acme_cert_rsa;
ssl_certificate_key $acme_cert_key_rsa;
ssl_certificate $acme_cert_ecdsa;
ssl_certificate_key $acme_cert_key_ecdsa;
}
Angie automaticky otevře port 80 pro HTTP kontroly, pokud není uvedeno jinak pomocí acme_http_port. Monitorování procesu vydání certifikátů se provádí prostřednictvím error_log nebo API, se zprávami úrovně notice o úspěšném obnovení.
Získání wildcard certifikátů prostřednictvím DNS verifikace
DNS kontroly (DNS-01) jsou nezbytné pro wildcard certifikáty, které pokrývají domény druhého řádu a všechny subdomény třetího řádu. Použijte delegování zóny vytvořením DNS záznamů v panelu hostingu:
_acme-challenge.site.ru. 60 IN NS ns.site.ru.
ns.site.ru. 60 IN A {IP_servery}
Poté nakonfigurujte acme_client s parametrem challenge=dns:
http {
resolver 127.0.0.53 ipv6=off;
acme_client ecdsa https://acme-v02.api.letsencrypt.org/directory challenge=dns;
server {
listen 443 ssl;
server_name site.ru *.site.ru;
acme ecdsa;
ssl_certificate $acme_cert_ecdsa;
ssl_certificate_key $acme_cert_key_ecdsa;
}
}
Angie otevře port 53 pro DNS dotazy; použijte acme_dns_port k zabránění konfliktům s lokálními službami.
Alternativní metody a rozšířené možnosti
Pro případy, kdy standardní kontroly nejsou možné, modul ACME podporuje vlastní hooky, umožňující vytváření souborů nebo DNS záznamů na externích aplikacích. K dispozici je také metoda TLS-ALPN-01, užitečná při nemožnosti otevření portu 80, aktivovaná parametrem challenge=alpn.
Co je důležité
- Automatizace: Modul ACME v Angie plně automatizuje získávání a obnovování TLS certifikátů, včetně wildcard, bez ručního zásahu.
- Flexibilita: Podpora HTTP-01, DNS-01 a TLS-ALPN-01 kontrol, stejně jako vlastních hooků pro složité infrastruktury.
- Výkon: Certifikáty se načítají do paměti serveru a mohou být ukládány do mezipaměti pomocí
ssl_certificate_cachepro optimalizaci. - Kompatibilita: Funguje s jakýmikoli poskytovateli podporujícími protokol ACME, včetně Let's Encrypt.
- Monitorování: Integrace s
error_loga API pro sledování stavu certifikátů.
Praktické doporučení pro použití
Při nastavování modulu ACME berte v úvahu následující aspekty:
- Testování: Pro první nastavení použijte testovací prostředí Let's Encrypt, abyste se vyhnuli blokaci kvůli překročení limitů.
- Bezpečnost: Ujistěte se, že DNS server v direktivě
resolverje důvěryhodný, a vypněte IPv6 v případě potřeby. - Ukládání do mezipaměti: Nastavte
ssl_certificate_cachepro zlepšení výkonu, zejména při použití proměnných pro certifikáty. - Porty: Spravujte porty pro kontroly pomocí
acme_http_portaacme_dns_port, abyste předešli konfliktům s jinými službami.
Modul ACME v Angie představuje výkonný nástroj pro zjednodušení správy TLS certifikátů, snižuje provozní náklady a zvyšuje bezpečnost webových aplikací. Jeho integrace do webového serveru umožňuje vývojářům a administrátorům soustředit se na hlavní úkoly a minimalizovat rutinní operace.
— Editorial Team
Zatím žádné komentáře.