bg-tutorials

কিভাবে TrueNAS এ ACME SSL সার্টিফিকেট ইনস্টল করবেন

এই গাইডটি দেখায় যে কীভাবে একটি বাহ্যিক হোস্ট এবং ইএবি (বাহ্যিক অ্যাকাউন্ট বাইন্ডিং) ব্যবহার করে ট্রুনাসে একটি ACME SSL শংসাপত্র ইনস্টল করা যায়। এটি TrueNAS CORE এবং TrueNAS স্কেল উভয়ের সাথেই সামঞ্জস্যপূর্ণ।

ট্রুনাস একমি এসএসএল

ট্রুনাসের নেটিভ এসিএমই সমর্থন রয়েছে, তবে কেবল এর অন্তর্নির্মিত ডিএনএস -01 ইন্টিগ্রেশনের মাধ্যমে লেটস এনক্রিপ্টের জন্য। আপনি যদি ACME + EAB সহ কোনও বাণিজ্যিক ACME সরবরাহকারী (Sectigo, DigiCert, ইত্যাদি) ব্যবহার করতে চান তবে আপনাকে অবশ্যই acme.sh এর মতো ACME ক্লায়েন্ট ব্যবহার করে বাহ্যিকভাবে আপনার শংসাপত্রটি তৈরি এবং পুনর্নবীকরণ করতে হবে, তারপরে এটি TrueNAS এ স্থাপন করুন।


আপনি শুরু করার আগে

আপনার যা প্রয়োজন তা এখানে:

  • আপনার TrueNAS পাবলিক আইপি নির্দেশ করে একটি ডোমেন নাম (উদাঃ, nas.example.com)
  • TrueNAS CORE 13.x বা TrueNAS স্কেল 23.x+
  • একটি বাহ্যিক লিনাক্স / বিএসডি মেশিন, ভিপিএস বা হোম সার্ভার (acme.sh চালানোর জন্য)
  • আপনার বাণিজ্যিক CA থেকে ACME ডিরেক্টরি URL, EAB কী ID এবং EAB HMAC
  • আপনি যদি সিঙ্কিং স্বয়ংক্রিয় করার পরিকল্পনা করেন তবে ট্রুনাসে এসএসএইচ অ্যাক্সেস

বিঃদ্রঃ TrueNAS তার UI তে নির্বিচার ACME সরবরাহকারীদের সমর্থন করে না। সমস্ত বাণিজ্যিক ACME অটোমেশন অবশ্যই TrueNAS এর বাইরে ঘটতে হবে।


ধাপ 1: আপনার বাহ্যিক হোস্টে acme.sh ইনস্টল করুন

এই মেশিনটি ACME অ্যাকাউন্ট রেজিস্ট্রেশন, ইস্যু এবং পুনর্নবীকরণ পরিচালনা করবে।

চালনা:

curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version

যদি সংস্করণটি সঠিকভাবে মুদ্রিত হয় তবে আপনি ভাল।


ধাপ 2: আপনার ACME অ্যাকাউন্টটি আপনার কমার্শিয়াল CA (ACME + EAB) এর সাথে নিবন্ধন করুন

আপনার CA ড্যাশবোর্ড সরবরাহ করবে:

  • EAB কী ID
  • EAB HMAC কী
  • একমি ডিরেক্টরি ইউআরএল

আপনার ACME অ্যাকাউন্ট নিবন্ধন করুন:

acme.sh --register-account \
  --server https://acme.yourca.com/v2/acme \
  --eab-kid YOUR_EAB_KID \
  --eab-hmac-key YOUR_EAB_HMAC_KEY \
  --accountemail [email protected]

আপনার নিজের দিয়ে মানগুলি প্রতিস্থাপন করুন। আপনি কেবল একবারই এটি চালান।


ধাপ 3: সার্টিফিকেট ইস্যু করুন (DNS-01 বৈধতা প্রয়োজনীয়)

ট্রুনাস প্রায় সর্বদা ন্যাটের পিছনে থাকে, তাই ডিএনএস বৈধতা সবচেয়ে নিরাপদ।

এখানে একটি ম্যানাউল ডিএনএস উদাহরণ রয়েছে:

acme.sh --issue \
  -d nas.example.com \
  --dns dns_manual \
  --server https://acme.yourca.com/v2/acme

acme.sh আপনাকে একটি টিএক্সটি রেকর্ড তৈরি করতে বলব:

_acme-challenge.nas.example.com   TXT   <token>

আপনার DNS পরিচালকে TXT রেকর্ড তৈরি করুন এবং প্রচারের জন্য অপেক্ষা করুন।

প্রচার পরীক্ষা করুন:

dig TXT _acme-challenge.nas.example.com +short

একবার টোকেনটি উপস্থিত হয়ে গেলে, একই কমান্ডটি পুনরায় চালান এবং acme.sh শংসাপত্রটি ইস্যু করা শেষ করবে। আপনার ফাইলগুলি ~/.acme.sh/nas.example.com/ এ সংরক্ষণ করা হবে।

ভিতরে আপনি পাবেন:

  • fullchain.cer: সার্ভার সার্ট + ইন্টারমিডিয়েট
  • nas.example.com.key: ব্যক্তিগত কী
  • ca.cer: CA চেইন (যদি আলাদাভাবে সরবরাহ করা হয়)

ধাপ 4: ট্রুনাসে শংসাপত্র আমদানি করুন

  1. এখানে যান: TrueNAS UI সিস্টেম > সার্টিফিকেট >
  2. যোগ করুন ক্লিক করুন এবং শংসাপত্র আমদানি নির্বাচন করুন
  3. আপনার শংসাপত্র ফাইলগুলি আপলোড করুন এবং সংরক্ষণ ক্লিক করুন

আপনার পরিষেবাগুলিতে শংসাপত্র বরাদ্দ করুন:

  • ওয়েব ইউআই
  • এসএমবি / এনএফএস পরিষেবাগুলি (যদি প্রযোজ্য হয়)
  • মিডলওয়্যার এপিআই
  • HTTPS (TrueNAS SCALE) ব্যবহার করে প্রক্সি বা অ্যাপ্লিকেশনগুলি বিপরীত করুন

ধাপ 5: স্বয়ংক্রিয় পুনর্নবীকরণ এবং স্থাপনা

TrueNAS শংসাপত্রগুলি স্বয়ংক্রিয়ভাবে পুল করে না। আপনাকে অবশ্যই ট্রুনাসে পুনর্নবীকরণ শংসাপত্রগুলি পুশ করতে হবে।

1. একটি মোতায়েন স্ক্রিপ্ট তৈরি করুন

আপনার বাহ্যিক ACME হোস্টে, / usr/local/bin/truenas-deploy.sh তৈরি করুন:

দ্রষ্টব্য: এই স্ক্রিপ্টটি কেবল তখনই কাজ করে যদি TrueNAS ব্যবহারকারীর সাথে চালানোর midcltঅনুমতি দেয় এসএসএইচ অ্যাক্সেসের অনুমতি দেয়। এটি নতুন কী + সার্টিফিকেট /tmp/ আপলোড করে এবং ট্রুনাস এপিআইয়ের মাধ্যমে সক্রিয় শংসাপত্রটি প্রতিস্থাপন করে। আপনার পথ এবং ডোমেন আপনার acme.sh সেটআপের সাথে মেলে তা নিশ্চিত করুন।

#!/bin/bash

DOMAIN="nas.example.com"
NAS_USER="root"
NAS_HOST="truenas.local"

CERT_PATH="$HOME/.acme.sh/$DOMAIN"
KEY="$CERT_PATH/$DOMAIN.key"
CERT="$CERT_PATH/fullchain.cer"

scp "$KEY" "$NAS_USER@$NAS_HOST:/tmp/key.key"
scp "$CERT" "$NAS_USER@$NAS_HOST:/tmp/cert.cer"

ssh "$NAS_USER@$NAS_HOST" <<EOF
midclt call certificate.update '{"certificate": "custom", "csr": null, "privatekey": "$(cat /tmp/key.key)", "certificate": "$(cat /tmp/cert.cer)"}'
EOF

এটি এক্সিকিউটেবল করুন:

chmod +x /usr/local/bin/truenas-deploy.sh

2. একটি পুনর্নবীকরণ হুক যুক্ত করুন

acme.sh একটি ডিপ্লয় হুক যুক্ত করুন:

acme.sh --deploy-hook truenas-deploy \
  -d nas.example.com

অথবা এটি ~ /.acme.sh/deploy/truenas-deploy.sh এর ভিতরে যুক্ত করুন।

3. acme.sh সবকিছু পরিচালনা করতে দিন

acme.sh স্বয়ংক্রিয়ভাবে যা করে তা এখানে:

  • প্রতিদিন পুনর্নবীকরণের জন্য চেক
  • সার্টিফিকেট পুনর্নবীকরণ করুন
  • আপনার ডিপ্লয় স্ক্রিপ্ট ট্রিগার করে
  • ট্রুনাসে আপডেট হওয়া সার্টিফিকেটগুলি ধাক্কা দেয়
  • নীরবে পরিবর্তন প্রয়োগ করে

একবার কনফিগার হয়ে গেলে, সার্টিফিকেট পুনর্নবীকরণের জন্য আপনাকে আবার ট্রুনাস স্পর্শ করতে হবে না।


সাধারণ প্রশ্ন

আপনি যদি প্রথমবারের মতো ট্রুনাসে ACME অটোমেশন সেট আপ করছেন তবে এই দ্রুত উত্তরগুলি ব্যবহারকারীরা প্রায়শই যে সমস্যাগুলির মুখোমুখি হন তা কভার করে।

আমি কি TrueNAS GUI এবং অন্যান্য পরিষেবা (SMB, NFS, iSCSI পোর্টাল) উভয়ের জন্য একটি শংসাপত্র ব্যবহার করতে পারি?

হ্যাঁ। একবার আপনি সিস্টেম শংসাপত্রগুলিতে শংসাপত্রটি আমদানি করার পরে, আপনি ওয়েব UI এর জন্য এবং HTTPS প্রকাশ করে এমন যে কোনও পরিষেবার জন্য একই শংসাপত্রটি নির্বাচন করতে পারেন (ওয়েব UI, API, আপনি যদি এটি ব্যবহার করেন তবে সম্ভবত বিপরীত প্রক্সি / HAProxy)। আপনি বিভিন্ন হোস্টনাম না চাইলে আপনার প্রতি পরিষেবার জন্য আলাদা শংসাপত্রের প্রয়োজন হবে না।

আমার এনএএস সিজিএনএটি বা ডাবল এনএটি-র পিছনে রয়েছে। আমি কি এখনও ACME ব্যবহার করতে পারি?

হ্যাঁ, তবে আপনাকে অবশ্যই DNS-01 বৈধতা ব্যবহার করতে হবে। এইচটিটিপি -01 কাজ করবে না কারণ ACME সার্ভারটি পোর্ট 80 এর উপর আপনার NAS-এ পৌঁছাতে পারে না। ডিএনএস -01 এর সাথে, সিএ কেবল আপনার টিএক্সটি রেকর্ডটি _ acme-challenge.yourdomain.com এ পরীক্ষা করে, তাই এটি এনএএস আসলে কোথায় বসে তা নিয়ে চিন্তা করে না।

যদি acme.sh শংসাপত্রটি পুনর্নবীকরণ করি তবে আমি এটি ট্রুনাসে পুনরায় আমদানি করতে ভুলে যাই তবে কী হবে?

TrueNAS কেবল আপনার গতবার আমদানি করা পুরানো শংসাপত্রটি ব্যবহার করতে থাকবে। পুনর্নবীকরণ করা ফাইলগুলি আপনার বাহ্যিক হোস্টে বসে থাকে যতক্ষণ না আপনি সেগুলি আবার আপলোড করেন (বা আপনার স্ক্রিপ্ট / এপিআই এটি পরিচালনা করে)।

আপনার সাইটটি এখনও কাজ করবে, তবে শেষ পর্যন্ত ব্রাউজারগুলি মেয়াদোত্তীর্ণ সার্টিফিকেট সম্পর্কে সতর্কতা শুরু করবে। এজন্য পুনরায় আমদানি করা বা মেয়াদ শেষ হওয়ার তারিখের কাছাকাছি একটি অনুস্মারক স্থাপন করা মূল্যবান।

আমি কি TrueNAS এর সাথে একটি ওয়াইল্ডকার্ড সার্টিফিকেট (যেমন *.example.com) ব্যবহার করতে পারি

হ্যাঁ। যতক্ষণ না প্রাইভেট কী এবং সার্টিফিকেট মিলছে, ট্রুনাস এটি ওয়াইল্ডকার্ড বা একক-হোস্ট সার্টিফিকেট কিনা তা নিয়ে চিন্তা করে না। আপনাকে এখনও acme.sh ডিএনএস -01 এর মাধ্যমে ওয়াইল্ডকার্ড ইস্যু করতে হবে, তারপরে ট্রুনাসে fullchain.cer + *.example.com.key আমদানি করতে হবে। আপনি কোথায় সেই চাবিটি পুনরায় ব্যবহার করছেন সে বিষয়ে সতর্ক থাকুন। একটি ওয়াইল্ডকার্ড সার্ট এটি কভার করা সমস্ত সাবডোমেইনগুলির উপর সম্পূর্ণ নিয়ন্ত্রণ দেয়।


শেষ কথা

এই ওয়ার্কফ্লো আপনাকে সিস্টেমের সাথে লড়াই না করে ট্রুনাসে এসিএমই সার্টিফিকেট ইনস্টল করার একটি স্থিতিশীল, নির্ভরযোগ্য উপায় দেয়। আপনার বাহ্যিক হোস্ট শংসাপত্র জারি করা, পুনর্নবীকরণ এবং পরিচালনা পরিচালনা করে, যখন ট্রুনাস যখনই ফাইলগুলি আপডেট করা হয় তখন কেবল পরিষ্কার আমদানি গ্রহণ করে।

একবার প্রক্রিয়াটি কার্যকর হয়ে গেলে, সবকিছু ব্যাকগ্রাউন্ডে চুপচাপ চলে এবং আপনি যদি স্ক্রিপ্টগুলি সামঞ্জস্য করতে বা শংসাপত্রগুলি ঘোরাতে চান তবেই আপনি পদক্ষেপ নেন।

আজ অর্ডার করার সময় SSL শংসাপত্রে 10% সংরক্ষণ করুন!

দ্রুত ইস্যু, শক্তিশালী এনক্রিপশন, 99.99% ব্রাউজার বিশ্বাস, নিবেদিত সমর্থন, এবং 25 দিনের অর্থ ফেরত গ্যারান্টি। কুপন কোড: SAVE10

উড়ন্ত একটি ড্রাগনের একটি বিস্তারিত চিত্র
লিখেছেন

SSL শংসাপত্রে বিশেষজ্ঞ অভিজ্ঞ বিষয়বস্তু লেখক। জটিল সাইবারসিকিউরিটি বিষয়গুলিকে পরিষ্কার, আকর্ষক সামগ্রীতে রূপান্তর করা। প্রভাবশালী বর্ণনার মাধ্যমে ডিজিটাল নিরাপত্তার উন্নতিতে অবদান রাখুন।