Clever Geek Handbook

احتياطي لـ Let's Encrypt - مراجع مصدقة تلقائية مجانية

بالنسبة للكثيرين ، أصبح Let's Encrypt جزءًا لا يتجزأ من تطوير الويب ، والتجديد التلقائي للشهادة كل 90 يومًا هو إجراء روتيني. في الواقع ، هو الآن المرجع المصدق الأكثر شيوعًا على الإنترنت. إنه رائع ، لكنه خطير أيضًا.



السؤال الذي يطرح نفسه: ماذا لو توقف برنامج Let's Encrypt عن العمل مؤقتًا؟ لا أريد أن أفكر في الأسباب المحتملة للفشل. لكن من المستحسن توفير احتياطي. أي ، نفس مركز الاعتماد المجاني الآلي المريح.



لحسن الحظ ، هناك احتياطات. اثنان على الأقل. نفس المراجع المصدقة الآلية المجانية على غرار Let's Encrypt.



بروتوكول ACME



تتم جميع الاتصالات مع Let's Encrypt باستخدام بروتوكول ACME (بيئة إدارة الشهادات الآلية). إنه بروتوكول مفتوح لأتمتة التفاعلات مع CAs. لا يوجد شيء محدد لـ Let's Encrypt ، فهو مدعوم من قبل العديد من المراجع المصدقة الأخرى.



هذه هي اللحظة التي يبدأ فيها المزيد والمزيد من CAs العمل من خلال ACME. هذا يعني أن جميع الأدوات والبرامج النصية والعمليات الخاصة بنا تقريبًا للحصول على الشهادات من Let's Encrypt ستعمل بشكل جيد مع المراجع المصدقة الأخرى التي تدعم ACME.



لإعادة البناء إلى مرجع مصدق آخر ، تحتاج فقط إلى تغيير عنوان API في البرامج النصية المكونة من https://acme-v02.api.letsencrypt.org/directory(Let's Encrypt) إلى https://api.buypass.com/acme/directory(BuyPass ، انظر أدناه) أو غير ذلك.



BuyPass



نحتاج إلى مرجع مصدق يفي بمعيارين:



  1. ACME;

  2. .


يتم استيفاء هذه المعايير من قبل CA النرويجية تسمى BuyPass .



تسمى الخدمة المجانية BuyPass Go SSL : الإصدار التلقائي وتجديد الشهادات + دعم ACME. ماذا تحتاج.



و المستند التقني يوضح كيفية إعداد الحصول على وتجديد شهادة باستخدام Certbot ، عميل رسمي من مؤسسة الحدود الإلكترونية للعمل مع تشفير دعونا أو أي CA الأخرى التي تدعم بروتوكول ACME.



التسجيل في CA والحصول على شهادة في BuyPass أمر أساسي ، كما في حالة Let's Encrypt ، لا يوجد فرق هنا.



التسجيل باستخدام عنوان بريدك الإلكتروني للإشعارات ("YOUR_EMAIL") والاتفاق على شروط الاستخدام (--agree-tos): 



root@acme:~# certbot register -m 'YOUR_EMAIL' --agree-tos --server 'https://api.buypass.com/acme/directory'


الحصول على شهادة: 



root@acme:~# certbot certonly --webroot -w /var/www/example.com/public_html/ -d example.com -d www.example.com --server 'https://api.buypass.com/acme/directory'


بعد ذلك ، إذا لزم الأمر ، يتم استخدام أوامر Certbot الأخرى لإلغاء شهادة ( revoke) ، وتجديد الشهادات منتهية الصلاحية ( renew) ، وحذف شهادة ( delete).



يوصى بوضع أمر التجديد في cron وتشغيله تلقائيًا للتحقق من الشهادات منتهية الصلاحية في حالة حدوث ذلك. على سبيل المثال ، مثل هذا: 



#Cron-job scheduled under root to run every 12th hour at a specified minute (eg. 23, change this to your preference)
23 */12 * * * /opt/certbot/certbot-auto renew -n -q >> /var/log/certbot-auto-renewal.log


لدى BuyPass بعض القيود على عربكو. الحد الرئيسي هو عدد الشهادات لنطاق مسجل (20 شهادة في الأسبوع). يشير هذا إلى جزء النطاق الذي تم شراؤه من مسجل اسم المجال. أي أن هذا هو الحد الإجمالي لجميع المجالات الفرعية. حد آخر هو 5 تكرارات في الأسبوع. هذا هو حد الشهادات لكل نطاق فرعي محدد. هناك حدود لأخطاء التحقق - 5 لكل حساب ولكل مضيف ولكل ساعة.



حد طلبات نقطة النهاية new-reg، new-authzو new-cert: 20 في الثانية. حد الاستعلام /directory: 40 في الثانية.



الحد الأقصى لعدد التراخيص في العملية (التصاريح المعلقة): 300 قطعة.



يمكن استخدام العميل البديل acme.sh بدلاً من Certbot، والذي تم تكوينه أيضًا في البداية لـ Let's Encrypt ، ولكنه يوجه بسهولة إلى مرجع مصدق آخر بدعم من ACME. 



./acme.sh --issue --dns dns_cf -d example.com --server "https://api.buypass.com/acme/directory"


ZeroSSL



المرجع المصدق الآخر الذي يصدر شهادات مجانية لمدة 90 يومًا بموجب بروتوكول ACME هو ZeroSSL النمساوي .



يحتوي برنامج acme.sh المذكور أعلاه على دعم ZeroSSL ، لذلك من السهل جدًا التسجيل: 



acme.sh --register-account -m foo@bar.com --server zerossl


بعد ذلك ، أمر واحد لإنشاء شهادة: 



acme.sh --issue --dns dns_cf -d example.com --server zerossl


لا توجد حدود على مكالمات API. هناك مزايا أخرى : يوفر هذا المرجع المصدق شهادات مجانية ليس فقط لمدة 90 يومًا ، ولكن أيضًا لمدة عام واحد ، وهناك لوحة تحكم على الويب ودعم فني.



بالمناسبة ، تقوم ZeroSSL بإنشاء شهادات حتى من خلال واجهة ويب ، خطوة بخطوة مع التحقق من المجال عن طريق البريد الإلكتروني. لكن ، بالطبع ، هذه الطريقة ليست مناسبة للأتمتة.



خوادم ACME الأخرى



فيما يلي قائمة بجميع خوادم ACME المعروفة. لا يزال هناك عدد قليل منهم ، لكن العدد في تزايد.





Let's Encrypt هي منظمة متميزة تقوم بعمل رائع. لكن من الخطر وضع كل بيضك في سلة واحدة. كلما زادت أعمال CA بموجب بروتوكول ACME ووزعت الشهادات المجانية في الوضع التلقائي ، زاد تنوع النظام البيئي وموثوقيته ككل.



قد تواجه Let's Encrypt وقت تعطل أو توقف مؤقتًا للنشاط - وبعد ذلك سيتدخل Buypass و ZeroSSL للتحوط. يؤدي وجود هذه العوائق في النهاية إلى زيادة مصداقية Let's Encrypt نفسها ، لأنها لم تعد نقطة فشل واحدة. ويستغرق تغيير CA لـ ACME بضع ثوانٍ.





عرض خاص من مركز اعتماد GlobalSign





More articles:


All Articles