Иди на текст

Uputstvo za automatizovanu zamenu TCS sertifikata

Softver koji će biti instaliran

Softver koji će biti instaliran:
  • certbot
  • snapd

Kreirati nalog na Harica portalu

Potrebno je ulogovati se na zvaničan Harica portal :

https://cm.harica.gr

U glavnom meniju odabrati opciju Enterpise, a zatim u meniju drugog nivoa opciju Admin, i potražiti tab ACME:

Kreiranje ACME EAB naloga, korak 1

Kreiranje ACME naloga, korak 1

Koristiti Create polje:

Kreiranje ACME naloga, korak 2

Kreiranje ACME naloga, korak 2

Neophodno je izabrati Vašu organizaciju iz padajućeg menija, a zatim će se domeni u okviru te organizacije sami izlistati. Izabrati SSL OV tip sertifikata, i uneti proizvoljan naziv ACME EAB naloga. Složiti se sa uslovima korišćenja i kliknuti na dugme Create.

Kreiranje ACME naloga, korak 3

Kreiranje ACME naloga, korak 3

Nakon kreiranje ACME naloga u tabu Domains neophodno je definisati domene na koje se nalog odnosi. To se vrši klikom na Allow All Domains.

Kreiranje ACME naloga, korak 4

Kreiranje ACME naloga, korak 4

Na ovaj način ćete dodati sve domene u okviru Vaše institucije.

Kreiranje ACME naloga, korak 5

Kreiranje ACME naloga, korak 5

Ukoliko želite da imate drugačija pravila za različite domene, uvek možete da kliknete na ikonicu + kod domene i definišete posebna pravila.

Kreiranje ACME naloga, korak 6

Kreiranje ACME naloga, korak 6

Nalog je sačuvan!

Nakon toga dobićete prikaz tri bitna parametra: Key ID i HMAC Key i Server URL. Oni će biti potrebni u postupku registracije Certbot agenta. Ovi parametri se nalaze u Detail segment u okviru kreiranog ACME naloga:

Kreiranje ACME naloga, korak 7

Kreiranje ACME naloga, korak 7

Napomena: Nije potrebno kreirati nalog za svaki server.

Instalacija potrebnih softverskih paketa

Instalirati potrebne pakete:

Na Ubuntu verzijama snap paket bi trebalo da je automatski instaliran,u slučaju da to nije slučaj možete koristiti Debian komande.

apt update
sudo apt install snapd

Nakon instalacije restartujte sistem, da biste bili sigurni da je snap putanja ažurirana kako treba.

sudo snap install snapd

Testiranje paketa se vrši instalacijom hello-world snap:

sudo snap install hello-world
hello-world

Hello World!

Provera da li se na mašini nalazi poslednja verzija snapd:

sudo snap install core; sudo snap refresh core

U slučaju da se na operativnom sistemu već nalazi instalacija certbot paketa instalirana korišćenjem paket menadžera, neophodno ju je obrisati:

sudo apt-get remove certbot

Instalacija Certbot-a:

sudo snap install --classic certbot

Izvršite sledeću komandu da biste osigurali da se komanda certbot može pokrenuti:

sudo ln -s /snap/bin/certbot /usr/bin/certbot

Registracija certbot agenta

Prilikom korišćenja naredne komande potrebno je navesti označene podatke.

  • <EMAIL> podatak
  • <SERVER URL> podatak koji ste dobili prilikom kreiranja naloga na portalu
  • <KEY ID> podatak koji ste dobili prilikom kreiranja naloga na portalu
  • <HMAC KEY> podatak koji ste dobili prilikom kreiranja naloga na portalu

Komanda za registraciju certbot agenta u uopštenom obliku:

certbot register --email <EMAIL> --server <SERVER URL> --eab-kid <KEY ID> --eab-hmac-key <HMAC KEY>
Primer korišćenja komande:

certbot register --email xxxxx@xxx.ac.rs --server https://acme-v02.harica.gr/acme/x_yourAlias_x/directory  --eab-kid 5vxxxxxxxx_axg --eab-hmac-key P-xxxxx0_xxxxxxi_xx_x_vmxxxxxxxxxA3utxxxE-xx_6xx-Loxxxxxxxxdx

Izveštaj uspešne registracije certbot agenta:

Napomena: Na prvi zahtev potrebno je odgovoriti potvrdno sa Y, a na drugi odrično sa N.

Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at: https://repo.harica.gr/documents/SA-ToU.pdf
You must agree in order to register with the ACME server. Do you agree?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing, once your first certificate is successfully issued, to
share your email address with the Electronic Frontier Foundation, a founding
partner of the Let's Encrypt project and the non-profit organization that
develops Certbot? We'd like to send you email about our work encrypting the web,
EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: N
Account registered.

Kreiranje novih sertifikata putem certbot agenta

U ovom postupku potrebno je kreirati nov sertifikat putem certbot agenta, a svaki sledeći sertifikat će biti obnovljen automatski.

Prilikom korišćenja naredne komande potrebno je navesti označene podatke.

  • <EMAIL> podatak podatak po izboru
  • <SERVER URL> podatak koji ste dobili prilikom kreiranja naloga na portalu
  • <DOMEN_SERTIFIKATA> podatak o domenu sertifikata
  • <NAZIV> direktorijuma u kom će biti smešteni sertifikati
  • <CERTBOT REŽIM> Certbot podržava nekoliko režima za izdavanje i obnavljanje sertifikata. Svaki se koristi u različitim slučajevima, u zavisnosti od toga kako je server podešen i koji web server se koristi.

    • --apache Direktna integracija sa Apache-om. Automatski podešava virtuelne hostove i omogućava HTTPS.

    • --standalone Certbot pokreće svoj privremeni web server za potrdu domena. Apache/nginx moraju u tom slučaju biti zaustavljeni.

    • --nginx Slično --apache, ali za NGINX server. Automatski menja konfiguraciju NGINX-a za HTTPS.

Sledi prikaz komande za kreiranje sertifikata putem certbot agenta u uopštenom obliku:

certbot certonly <CERTBOT REŽIM> --email <EMAIL> --server <SERVER URL> --domain <DOMEN_SERTIFIKATA> --key-type rsa --rsa-key-size 3072 --cert-name <NAZIV>

Primer korišćenja komande u --apache certbot režimu:

certbot certonly --apache --email xxxxxx@xxxxx.ac.rs --server https://acme-v02.harica.gr/acme/x_yourAlias_x/directory --domain test_domen.institucija.ac.rs --key-type rsa --rsa-key-size 3072 --cert-name test_domen.institucija.ac.rs

Izveštaj uspešnog izdavanja sertifikata:

1
2
3
4
5
6
7
8
9
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Requesting a certificate for test_domen.institucija.ac.rs

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/test_domen.institucija.ac.rs/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/test_domen.institucija.ac.rs/privkey.pem
This certificate expires on 2026-07-11.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.

Proveriti da li certbot ima tajmer za automatsku obnovu sertifikata

systemctl list-timers

Ova komanda prikazuje sve aktivne (i neke nedavne) tajmere koje systemd koristi za pokretanje servisa u zakazano vreme – slično kao cron, ali fleksibilnije.

Kreiranje ACME naloga, korak 8

Izveštaj o systemd tajmerima

Sertifikati su dostupni na putanji: /etc/letsencrypt/live/test_.ac.rs/

Napomena: Direktorijum u kom su sertifikati će imati naziv domena sertifikata.

lrwxrwxrwx 1 root root  48 Feb  5 03:02 cert.pem -> ../../archive/test_domen.institucija.ac.rs/cert.pem
lrwxrwxrwx 1 root root  49 Feb  5 03:02 chain.pem -> ../../archive/test_domen.institucija.ac.rs/chain.pem
lrwxrwxrwx 1 root root  53 Feb  5 03:02 fullchain.pem -> ../../archive/test_domen.institucija.ac.rs/fullchain.pem
lrwxrwxrwx 1 root root  51 Feb  5 03:02 privkey.pem -> ../../archive/test_domen.institucija.ac.rs/privkey.pem
-rw-r--r-- 1 root root 692 Feb  1 14:24 README

Proveriti validnost sertifikata:

openssl x509 -in /etc/letsencrypt/live/test_domen.institucija.ac.rs/cert.pem -text -noout

U istu svrhu može se iskoristiti i komanda: certbot certificates

certbot certificates

Izveštaj:

Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Found the following certs:
  Certificate Name: test_domen.institucija.ac.rs
    Serial Number: 6axxxxxxxxxxxxxxxxxxxxxxxxx
    Key Type: RSA
    Domains: test_domen.institucija.ac.rs
    Expiry Date: 2026-02-04 23:59:59+00:00 (VALID: 365 days)
    Certificate Path: /etc/letsencrypt/live/test_domen.institucija.ac.rs/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/test_domen.institucija.ac.rs/privkey.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Promena konfiguracije Apache servera

Simboličkim linkom prebaciti sertifikate na odgovarajuću putanju sa koje Apache WEB server može da ih usvoji (/etc/ssl/certs/ i /etc/ssl/private/):

ln -s /etc/letsencrypt/live/test_domen.institucija.ac.rs/cert.pem /etc/ssl/certs/cert.pem
ln -s /etc/letsencrypt/live/test_domen.institucija.ac.rs/privkey.pem /etc/ssl/private/privkey.pem
ln -s /etc/letsencrypt/live/test_domen.institucija.ac.rs/chain.pem /etc/ssl/certs/chain.pem

Izmeniti konfiguraciju Apache servera, tako da budu uneti novi sertifikati na gore navedenim putanjama.

Zatim treba restartovati Apache proces:

systemctl restart apache2