VPS: إنشاء شهادة SSL (Let's Encrypt) لسيرفر لينكس
تم إنشاء هذا الدليل باستخدام المنتجات التالية:
(قد تختلف التفاصيل مع المنتجات من مزودين مختلفين ولكن المفاهيم الرئيسية تظل كما هي)
مقدمة
شهادات SSL هي جزء أساسي من الإنترنت، تضمن أن البيانات تُنقل بأمان بين العميل والمضيف. في هذا الدليل، سنستعرض كيفية إعداد أداة Certbot مفتوحة المصدر لطلب شهادات SSL مجانية من سلطة الشهادات غير الربحية Let's Encrypt.
التحضير
لاستخدام Certbot، ستحتاج إلى سيرفر لينكس ونطاق تملكه. يجب أن يكون لديك وصول إلى إعدادات DNS للنطاق ويجب عليك إنشاء سجل A في DNS يشير إلى عنوان IP الخاص بسيرفرك لينكس لكل نطاق رئيسي أو نطاق فرعي تخطط لاستخدامه.
يحتوي Certbot أيضًا على إضافات (plugins) تتيح لك إعداد شهادة بنقرة واحدة بسهولة لنطاق يعمل مع مجموعة متنوعة من سيرفرات الويب مثل Nginx أو Apache. نوصي باستخدام Nginx لأنه سيرفر ويب مفتوح المصدر عالي الأداء وشائع. راجع دليلنا الوكيل العكسي على لينكس للمساعدة في إعداده.
التثبيت
ابدأ بتثبيت حزمة Certbot مفتوحة المصدر، التي ستستخدمها لطلب شهادات SSL مجانية من Let's Encrypt.
sudo apt install certbot
بعد تثبيت Certbot، يمكنك المتابعة لطلب شهادات لنطاقاتك. توفر Let's Encrypt وCertbot مجموعة متنوعة من تحديات ACME للتحقق من ملكية النطاق.
ننصح بشدة باستخدام طريقة HTTP-01 الافتراضية لأنها تسمح بالتجديد التلقائي. ولكن إذا واجهت مشاكل، يمكنك تجربة طريقة DNS-01 كبديل يدوي لا يدعم التجديد التلقائي لأنه يعتمد على التحقق باستخدام سجل DNS من نوع TXT.
للمستخدمين الذين يستخدمون سيرفر ويب مثل Nginx أو Apache أو سيرفر ويب خاص بهم، نوصي بالانتقال إلى قسم إضافات سيرفر الويب أدناه الذي يوضح كيفية استخدام إضافات Certbot الإضافية لهذه السيرفرات لإعداد شهادة بنقرة واحدة وطلب الشهادات دون الحاجة لإيقاف سيرفر الويب.
تحدي HTTP-01
بعد تثبيت Certbot، يمكنك الآن طلب شهادات لنطاقاتك. في هذا المثال، سنستخدم وضع standalone الذي يعني أن Certbot سيشغل سيرفر ويب مؤقت لأداء الإجراءات اللازمة. هذا يعني أنه يجب فتح المنفذ 80 في قواعد جدارك الناري وألا يكون هناك أي سيرفر ويب أو خدمة تعمل على المنفذ 80 للسماح للسيرفر المؤقت بالعمل وجلب التحدي (ومن هنا جاء اسم التحدي HTTP).
في الأمر التالي، ستستخدم المعامل --standalone لإخبار Certbot بأنك تريد استخدام خيار السيرفر المؤقت.
# للنطاقات الرئيسية
certbot certonly --standalone -d [your_root_domain] -d www.[your_root_domain]
# للنطاقات الفرعية
certbot certonly --standalone -d [your_domain]
# الإعداد التفاعلي
certbot certonly --standalone
بعد تشغيل الأمر، قد يُطلب منك إكمال إعداد تفاعلي لأول مرة يطلب منك إدخال بريد إلكتروني للتواصل بخصوص الشهادة، يليها خيار الاشتراك في قائمة بريدية وشروط الاستخدام التي يجب قبولها.
سيقوم Certbot الآن بإنشاء تحدي ACME واستضافته عبر السيرفر المؤقت. ستقوم خوادم Let's Encrypt بمحاولة جلب هذا التحدي من سيرفرك وعند النجاح سيتم إنشاء الشهادات وحفظها في المسار /etc/letsencrypt/live/[your_domain].
يمكنك الآن استخدام شهادات SSL في أي مكان تحتاجها ببساطة عبر توفير المسار المحلي للشهادات.
سجل TXT في DNS
إذا واجهت صعوبات في التحقق من نطاقك عبر طريقة HTTP-01، يمكنك كبديل تجربة طريقة DNS-01 التي تتطلب إنشاء سجل DNS من نوع TXT بقيمة توفرها Let's Encrypt.
كما ذُكر سابقًا، هذه الطريقة لا تدعم التجديد التلقائي إلا إذا قمت بإعداد بنية تحتية خاصة لإدارتها. لذلك، يُنصح بشدة باستخدام طريقة HTTP-01 حيثما أمكن.
في الأمر التالي، ستستخدم المعامل --preferred-challenges لإخبار Certbot بأنك تريد استخدام طريقة DNS-01.
# للنطاقات الرئيسية
certbot certonly --preferred-challenges dns-01 -d [your_root_domain] -d www.[your_root_domain] --manual -m [your_root_domain] -m www.[your_root_domain]
# للنطاقات الفرعية
certbot certonly --preferred-challenges dns-01 -d [your_domain] --manual -m [your_domain]
# الإعداد التفاعلي
certbot certonly --preferred-challenges dns-01
بعد تشغيل الأمر، قد يُطلب منك إكمال إعداد تفاعلي لأول مرة يطلب منك إدخال بريد إلكتروني للتواصل بخصوص الشهادة، يليها خيار الاشتراك في قائمة بريدية وشروط الاستخدام التي يجب قبولها.
سيزودك Certbot الآن بتعليمات لإنشاء سجل DNS من نوع TXT بقيمة محددة يجب استخدامها. الهدف عادةً ما يكون _acme-challenge. متبوعًا بنطاقك (في هذا المثال، سيكون _acme-challenge.zapdocs.example.com) والقيمة التي يجب تعيينها ستظهر في الكونسول.
بعد إنشاء السجل، اضغط Enter للمتابعة. إذا كان كل شيء صحيحًا وتم نشر السجل، سيتم إنشاء الشهادات وحفظها في المسار /etc/letsencrypt/live/[your_domain].
يرجى التحلي بالصبر لأن تغييرات سجلات DNS قد تستغرق بعض الوقت للانتشار. عادةً ما يحدث ذلك خلال دقائق، لكن في حالات نادرة قد يستغرق وقتًا أطول.
يمكنك الآن استخدام شهادات SSL في أي مكان تحتاجها ببساطة عبر توفير المسار المحلي للشهادات.
إضافات سيرفر الويب
يحتوي Certbot على مجموعة من إضافات سيرفر الويب المختلفة التي تجعل إدارة الشهادات أسهل حيث تقوم الإضافات تلقائيًا بتعديل إعدادات السيرفر المناسبة لك. لاستخدام إضافة، فقط أضف المعامل المناسب لأمر certbot الخاص بك.
كلتا الطريقتين تستخدمان تحدي HTTP-01 وتعملان بنفس الطريقة تقريبًا. عند استخدام إحدى الإضافات، يبحث Certbot أولًا عن إعداد السيرفر المناسب الذي يحتوي على النطاق المطلوب كمعامل server_name. عند العثور عليه، ينشئ Certbot تحدي ACME ويضيف كتلة موقع مؤقتة location /.well-known/acme-challenge/... إلى إعداد السيرفر.
بعدها تحاول خوادم Let's Encrypt جلب هذا التحدي من سيرفرك وعند النجاح يتم إنشاء الشهادة وتعديل إعدادات السيرفر تلقائيًا لاستخدام HTTPS (المنفذ 443) وإضافة المسارات للشهادة الجديدة.
- Nginx
- Apache
- Webroot
إضافة Nginx
قبل استخدام الإضافة، تأكد من تثبيتها.
sudo apt install python3-certbot-nginx
لاستخدام إضافة Nginx، استخدم المعامل --nginx في الأمر كما يلي.
# للنطاقات الرئيسية
certbot --nginx -d [your_root_domain] -d www.[your_root_domain]
# للنطاقات الفرعية
certbot --nginx -d [your_domain]
# الإعداد التفاعلي
certbot --nginx
إذا أردت تعطيل التعديلات التلقائية "بنقرة واحدة" على إعدادات السيرفر من Certbot، يمكنك إضافة معامل certonly في الأمر مثل certbot certonly.
إضافة Apache
قبل استخدام الإضافة، تأكد من تثبيتها.
sudo apt install python3-certbot-apache
لاستخدام إضافة Apache، استخدم المعامل --apache في الأمر كما يلي.
# للنطاقات الرئيسية
certbot --apache -d [your_root_domain] -d www.[your_root_domain]
# للنطاقات الفرعية
certbot --apache -d [your_domain]
# الإعداد التفاعلي
certbot --apache
إذا أردت تعطيل التعديلات التلقائية "بنقرة واحدة" على إعدادات السيرفر من Certbot، يمكنك إضافة معامل certonly في الأمر مثل certbot certonly.
إضافة Webroot
إذا كنت تشغل سيرفر ويب محلي خاص لا يستخدم برامج تقليدية، قد ترغب باستخدام طريقة webroot لتستخدم سيرفرك الخاص دون الحاجة لإيقافه.
لاستخدام إضافة Webroot، استخدم المعامل --webroot في الأمر كما يلي. ستحتاج أيضًا لإضافة -w [your_webserver_path] (اختصار لـ --webroot-path) وهو مسار الدليل الأعلى لسيرفر الويب الخاص بك.
# للنطاقات الرئيسية
certbot --webroot -w [your_webserver_path] -d [your_root_domain] -d www.[your_root_domain]
# للنطاقات الفرعية
certbot --webroot -w [your_webserver_path] -d [your_domain]
# الإعداد التفاعلي
certbot --webroot -w [your_webserver_path]
أحد المواقع الشائعة لجذر الويب هو /var/www/html. يمكنك أيضًا استخدام هذا مع سيرفرات مثل Nginx أو Apache في الحالات التي تريد فيها استخدام السيرفر بدون التعديلات التلقائية على إعدادات السيرفر التي توفرها الإضافات الأصلية.
التجديد التلقائي
في معظم الحالات، يجب أن يقوم Certbot بإعداد تجديد الشهادة تلقائيًا عبر cronjob و/أو مؤقت systemd. يمكنك التأكد من ذلك بتشغيل الأمر التالي الذي يستخدم المعامل --dry-run لاختبار العملية.
certbot renew --dry-run
كما ذُكر سابقًا، طريقة DNS-01 لا تدعم التجديد التلقائي عبر Certbot إلا إذا قمت بإعداد بنية تحتية خاصة لإدارتها. لذلك، يُنصح بشدة باستخدام طريقة HTTP-01.
يجب أن تنجح العملية إذا كان كل شيء كما هو متوقع. إذا أردت عرض أو تعديل التجديد التلقائي، ستجد الأمر في أحد المواقع التالية: /etc/crontab/، /etc/cron.*/* أو عبر systemctl list-timers.
إعداد Cronjob يدويًا
إذا لم يتم إعداد التجديد التلقائي لأي سبب، يمكنك إضافته بنفسك عبر cronjob. افتح قائمة crontab باستخدام crontab -e. إذا كانت هذه المرة الأولى، قد يُطلب منك اختيار محرر. اختر الخيار الأول، والذي عادةً ما يكون /bin/nano.
مع فتح الملف في nano، أضف السطر التالي لتشغيل التجديد يوميًا الساعة 6 صباحًا بالتوقيت المحلي.
0 6 * * * certbot renew
احفظ الملف واخرج من nano باستخدام CTRL + X، ثم Y للتأكيد وأخيرًا ENTER.
الخاتمة
لقد قمت بإعداد Certbot بنجاح لنطاقاتك عبر عدة طرق منها standalone، webroot أو عبر إحدى الإضافات، مما يوفر لموقعك نقل بيانات آمن عبر HTTPS. لأي أسئلة أو مساعدة إضافية، لا تتردد في التواصل مع فريق الدعم لدينا، المتوفر يوميًا لمساعدتك! 🙂