Uputstvo za automatizovanu zamenu TCS sertifikata¶
Softver koji će biti instaliran¶
Softver koji će biti instaliran:
- certbot
- snapd
Kreirati nalog na Harica portalu¶
Potrebno je ulogovati se na zvaničan Harica portal :
U glavnom meniju odabrati opciju Enterpise, a zatim u meniju drugog nivoa opciju Admin, i potražiti tab ACME:
Kreiranje ACME naloga, korak 1
Koristiti Create polje:
Kreiranje ACME naloga, korak 2
Neophodno je izabrati Vašu organizaciju iz padajućeg menija, a zatim će se domeni u okviru te organizacije sami izlistati. Izabrati SSL OV tip sertifikata, i uneti proizvoljan naziv ACME EAB naloga. Složiti se sa uslovima korišćenja i kliknuti na dugme Create.
Kreiranje ACME naloga, korak 3
Nakon kreiranje ACME naloga u tabu Domains neophodno je definisati domene na koje se nalog odnosi. To se vrši klikom na Allow All Domains.
Kreiranje ACME naloga, korak 4
Na ovaj način ćete dodati sve domene u okviru Vaše institucije.
Kreiranje ACME naloga, korak 5
Ukoliko želite da imate drugačija pravila za različite domene, uvek možete da kliknete na ikonicu + kod domene i definišete posebna pravila.
Kreiranje ACME naloga, korak 6
Nalog je sačuvan!
Nakon toga dobićete prikaz tri bitna parametra: Key ID i HMAC Key i Server URL. Oni će biti potrebni u postupku registracije Certbot agenta. Ovi parametri se nalaze u Detail segment u okviru kreiranog ACME naloga:
Kreiranje ACME naloga, korak 7
Napomena: Nije potrebno kreirati nalog za svaki server.
Instalacija potrebnih softverskih paketa¶
Instalirati potrebne pakete:
Na Ubuntu verzijama snap paket bi trebalo da je automatski instaliran,u slučaju da to nije slučaj možete koristiti Debian komande.
Nakon instalacije restartujte sistem, da biste bili sigurni da je snap putanja ažurirana kako treba.
Testiranje paketa se vrši instalacijom hello-world snap:
Hello World!
Provera da li se na mašini nalazi poslednja verzija snapd:
U slučaju da se na operativnom sistemu već nalazi instalacija certbot paketa instalirana korišćenjem paket menadžera, neophodno ju je obrisati:
Instalacija Certbot-a:
Izvršite sledeću komandu da biste osigurali da se komanda certbot može pokrenuti:
Registracija certbot agenta¶
Prilikom korišćenja naredne komande potrebno je navesti označene podatke.
<EMAIL>
podatak<SERVER URL>
podatak koji ste dobili prilikom kreiranja naloga na portalu<KEY ID>
podatak koji ste dobili prilikom kreiranja naloga na portalu<HMAC KEY>
podatak koji ste dobili prilikom kreiranja naloga na portalu
Komanda za registraciju certbot agenta u uopštenom obliku:
Primer korišćenja komande:Izveštaj uspešne registracije certbot agenta:
Napomena: Na prvi zahtev potrebno je odgovoriti potvrdno sa Y, a na drugi odrično sa N.
Kreiranje novih sertifikata putem certbot agenta¶
U ovom postupku potrebno je kreirati nov sertifikat putem certbot agenta, a svaki sledeći sertifikat će biti obnovljen automatski.
Prilikom korišćenja naredne komande potrebno je navesti označene podatke.
<EMAIL>
podatak podatak po izboru<SERVER URL>
podatak koji ste dobili prilikom kreiranja naloga na portalu<DOMEN_SERTIFIKATA>
podatak o domenu sertifikata<NAZIV>
direktorijuma u kom će biti smešteni sertifikati-
<CERTBOT REŽIM>
Certbot podržava nekoliko režima za izdavanje i obnavljanje sertifikata. Svaki se koristi u različitim slučajevima, u zavisnosti od toga kako je server podešen i koji web server se koristi.-
--apache
Direktna integracija sa Apache-om. Automatski podešava virtuelne hostove i omogućava HTTPS. -
--standalone
Certbot pokreće svoj privremeni web server za potrdu domena. Apache/nginx moraju u tom slučaju biti zaustavljeni. -
--nginx
Slično--apache
, ali za NGINX server. Automatski menja konfiguraciju NGINX-a za HTTPS.
-
Sledi prikaz komande za kreiranje sertifikata putem certbot agenta u uopštenom obliku:
certbot certonly <CERTBOT REŽIM> --email <EMAIL> --server <SERVER URL> --domain <DOMEN_SERTIFIKATA> --key-type rsa --rsa-key-size 3072 --cert-name <NAZIV>
Primer korišćenja komande u --apache
certbot režimu:
Izveštaj uspešnog izdavanja sertifikata:
Proveriti da li certbot ima tajmer za automatsku obnovu sertifikata
Ova komanda prikazuje sve aktivne (i neke nedavne) tajmere koje systemd koristi za pokretanje servisa u zakazano vreme – slično kao cron, ali fleksibilnije.
Sertifikati su dostupni na putanji: /etc/letsencrypt/live/test_.ac.rs/
Napomena: Direktorijum u kom su sertifikati će imati naziv domena sertifikata.
lrwxrwxrwx 1 root root 48 Feb 5 03:02 cert.pem -> ../../archive/test_domen.institucija.ac.rs/cert.pem
lrwxrwxrwx 1 root root 49 Feb 5 03:02 chain.pem -> ../../archive/test_domen.institucija.ac.rs/chain.pem
lrwxrwxrwx 1 root root 53 Feb 5 03:02 fullchain.pem -> ../../archive/test_domen.institucija.ac.rs/fullchain.pem
lrwxrwxrwx 1 root root 51 Feb 5 03:02 privkey.pem -> ../../archive/test_domen.institucija.ac.rs/privkey.pem
-rw-r--r-- 1 root root 692 Feb 1 14:24 README
Proveriti validnost sertifikata:
U istu svrhu može se iskoristiti i komanda: certbot certificates
Izveštaj:
Saving debug log to /var/log/letsencrypt/letsencrypt.log
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Found the following certs:
Certificate Name: test_domen.institucija.ac.rs
Serial Number: 6axxxxxxxxxxxxxxxxxxxxxxxxx
Key Type: RSA
Domains: test_domen.institucija.ac.rs
Expiry Date: 2026-02-04 23:59:59+00:00 (VALID: 365 days)
Certificate Path: /etc/letsencrypt/live/test_domen.institucija.ac.rs/fullchain.pem
Private Key Path: /etc/letsencrypt/live/test_domen.institucija.ac.rs/privkey.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Promena konfiguracije Apache servera¶
Simboličkim linkom prebaciti sertifikate na odgovarajuću putanju sa koje Apache WEB server može da ih usvoji (/etc/ssl/certs/ i /etc/ssl/private/):
Izmeniti konfiguraciju Apache servera, tako da budu uneti novi sertifikati na gore navedenim putanjama.
Zatim treba restartovati Apache proces: