bg-tutorials

लाइटस्पीड पर ACME SSL प्रमाणपत्र कैसे स्थापित करें

इस गाइड में लाइटस्पीड पर ACME SSL प्रमाणपत्र स्थापित करने के लिए आवश्यक सभी चीजें शामिल हैं, जिसमें OpenLiteSpeed और LiteSpeed Enterprise दोनों शामिल हैं।

लाइटस्पीड एसीएमई एसएसएल

आप ACME क्लाइंट सेट करेंगे, इसे अपने प्रमाणपत्र प्रदाता से कनेक्ट करेंगे, एक सुरक्षित प्रमाणपत्र का अनुरोध करेंगे, और इसका उपयोग करने के लिए लाइटस्पीड को कॉन्फ़िगर करेंगे, यह सब कुछ स्पष्ट चरणों में। एक बार पूरा हो जाने पर, आपके प्रमाणपत्र बिना किसी मैन्युअल हस्तक्षेप की आवश्यकता के स्वचालित रूप से नवीनीकृत हो जाएंगे।

हम ACME.sh का उपयोग करेंगे, जो एक हल्का और विश्वसनीय उपकरण है जो बाहरी खाता बाइंडिंग (ईएबी) का समर्थन करता है, जो सेक्टिगो और डिजीसर्ट के वाणिज्यिक एसीएमई एसएसएल के लिए आवश्यक है।


शुरू करने से पहले आपको क्या चाहिए

सुनिश्चित करें कि आपने ये तैयार कर लिए हैं:

  • लाइटस्पीड वेब सर्वर स्थापित (ओपनलाइटस्पीड या एंटरप्राइज)
  • रूट या sudo विशेषाधिकारों के साथ SSH एक्सेस
  • आपके डोमेन का A/AAAA DNS रिकॉर्ड इस सर्वर की ओर इशारा करता है
  • एक सक्रिय ACME SSL सदस्यता (Sectigo या DigiCert से)
  • आपकी EAB क्रेडेंशियल्स (KID + HMAC कुंजी)
  • पोर्ट 80 खुला – ACME चुनौती सादे HTTP के माध्यम से चलती है
  • आपके ACME प्रदाता के समापन बिंदु तक आउटबाउंड इंटरनेट पहुंच

उपयोग करने के लिए ACME समापन बिंदु:

  • सेक्टिगो: https://acme.sectigo.com/v2/DV
  • डिजीसर्ट: https://acme.digicert.com/v2/acme

चरण 1: ACME.sh स्थापित करें

हम ACME.sh स्थापित करके शुरू करेंगे, जो हल्की स्क्रिप्ट है जो आपके प्रमाणपत्र अनुरोधों और नवीनीकरण को संभालती है।

एक टर्मिनल विंडो खोलें (एसएसएच) और अपने लाइटस्पीड सर्वर से रूट के रूप में कनेक्ट करें। यदि आप VPS या क्लाउड सर्वर कनेक्ट का उपयोग कर रहे हैं, तो निम्न का उपयोग कर रहे हैं:

ssh root@your-server-ip

एक बार जब आप अंदर आ जाएं, तो ACME.sh को स्थापित करने के लिए निम्न आदेश चलाएँ:

curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version

यह स्क्रिप्ट डाउनलोड करता है, परिवेश सेट करता है, और पुष्टि करता है कि यह सही ढंग से स्थापित है।

यदि स्थापना विफल हो जाती है:

  • सुनिश्चित करें curl और git आपके सर्वर पर स्थापित हैं
  • अगर कुछ अटक गया है, तो –force के साथ इंस्टॉल को फिर से चलाएं

चरण 2: अपना ACME खाता पंजीकृत करें (EAB के साथ)

यह चरण आपकी सदस्यता से EAB क्रेडेंशियल्स का उपयोग करके आपके ACME क्लाइंट को CA से लिंक करता है।

acme.sh --register-account \
  --server https://acme.sectigo.com/v2/DV \
  --eab-kid EAB_KID \
  --eab-hmac-key EAB_HMAC_KEY \
  --accountemail [email protected]

मूल्यों को अपने वास्तविक क्रेडेंशियल्स से बदलें। यदि आप पहले से ही एक ही ईएबी जोड़ी के साथ पंजीकृत हैं, तो कोई बात नहीं है, ACME.sh मौजूदा खाते का पुन: उपयोग करेंगे।

यदि यह विफल हो जाता है, तो जांचें:

  • क्या आपके ईएबी क्रेडेंशियल्स सही हैं?
  • क्या आपका सर्वर आउटबाउंड HTTPS (पोर्ट 443) तक पहुंच सकता है?

चरण 3: वेबरूट सेट करें और HTTP सत्यापन का परीक्षण करें

ACME डोमेन स्वामित्व की पुष्टि करने के लिए HTTP-01 चुनौतियों का उपयोग करता है। इसका मतलब है कि आपके सर्वर को यहां जवाब देना होगा: http://yourdomain.com/.well-known/acme-challenge/

इसका मतलब है कि ACME क्लाइंट .well-known नामक फ़ोल्डर में एक परीक्षण फ़ाइल छोड़ देगा, और आपके सर्वर को इसे सादे HTTP (पोर्ट 80) पर परोसना होगा।

आपके सर्वर पर वेबरूट कहां है?

यह इस बात पर निर्भर करता है कि आप क्या चला रहे हैं। OpenLiteSpeed (ताजा स्थापना) पर, डिफ़ॉल्ट रूप से, वेब रूट /usr/local/lsws/Example/html पर है।

लाइटस्पीड एंटरप्राइज (WHM या मैनुअल कॉन्फ़िगरेशन) पर, वेब रूट वह जगह है जहां आपका डोमेन इंगित करता है, अक्सर कुछ इस तरह: /home/youruser/public_html

सत्यापन फ़ोल्डर और परीक्षण फ़ाइल बनाएँ

अपने दस्तावेज़ रूट में (अपने से मेल खाने के लिए पथ समायोजित करें), चलाएँ:

mkdir -p /your/webroot/.well-known/acme-challenge
echo "ok" > /your/webroot/.well-known/acme-challenge/testfile
curl -I http://yourdomain.com/.well-known/acme-challenge/testfile

If you see HTTP/1.1 200 OK, your server is ready to answer ACME challenges.

यदि आप HTTPS को मजबूर कर रहे हैं तो क्या होगा?

यदि आपकी साइट स्वचालित रूप से HTTP को HTTPS पर रीडायरेक्ट करती है, तो आपको ACME पथ के लिए एक अपवाद बनाना होगा ताकि यह सत्यापन के दौरान HTTP पर रह सके। इसे अपनी .htaccess फ़ाइल में जोड़ें:

RewriteEngine On
# Let ACME validation go through
RewriteRule ^\.well-known/acme-challenge/ - [L]
# Redirect everything else to HTTPS
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

इससे यह सुनिश्चित होता है कि चुनौती तब भी काम करती है जब आपकी साइट HTTPS का उपयोग करती है।

अतिरिक्त जांच: क्या पोर्ट 80 खुला है?

यदि सत्यापन विफल हो जाता है, तो हो सकता है कि आपका सर्वर HTTP पर न सुन रहा हो. अपने लाइटस्पीड श्रोताओं की जाँच करें।

OpenLiteSpeed के लिए:

  1. लाइटस्पीड वेबएडमिन में साइन इन करें: https://:7080
  2. श्रोता > डिफ़ॉल्ट पर नेविगेट करें (यह नए इंस्टॉल पर मौजूद है)।
  3. अस्त हो:
    • पोर्ट = 80
    • आईपी = कोई भी

लाइटस्पीड एंटरप्राइज के लिए:

WHM या WebAdmin में लॉग इन करें, और सुनिश्चित करें कि आपका डोमेन पोर्ट 80 पर सुन रहा है। यदि कोई अन्य सेवा उस पोर्ट का उपयोग कर रही है, तो चलाएँ:

sudo lsof -i :80

परस्पर विरोधी प्रक्रिया को रोकें, फिर लाइटस्पीड को पुनरारंभ करें।


चरण 4: अपना एसएसएल प्रमाणपत्र जारी करें

अब ACME क्लाइंट के माध्यम से अपने SSL प्रमाणपत्र का अनुरोध करने का समय आ गया है। आप इस आदेश को सीधे अपने सर्वर के टर्मिनल (एसएसएच) में चलाएंगे, उसी स्थान पर जिसे आपने पहले ACME.sh स्थापित किया था।

acme.sh --issue \
  -d yourdomain.com \
  -w /path/to/your/webroot \
  --server https://acme.yourca.com/v2/endpoint

आइए इसे तोड़ें:

  • acme.sh –issue – बताता है कि आप ACME.sh एक नया प्रमाणपत्र जारी करना चाहते हैं।
  • -d yourdomain.com – आपका मुख्य डोमेन नाम। आप उप डोमेन या www संस्करण के लिए अधिक -d फ़्लैग जोड़ सकते हैं, जैसे -d www.yourdomain.com.
  • -w /path/to/your/webroot – आपकी वेबसाइट के दस्तावेज़ रूट का पूरा पथ।
  • –server https://acme.yourca.com/v2/endpoint – इसे अपने CA के ACME URL से बदलें:
    • सेक्टिगो: https://acme.sectigo.com/v2/DV
    • डिजीसर्ट: https://acme.digicert.com/v2/acme

यदि यह त्रुटियों के साथ विफल रहता है: “अनधिकृत”, “प्रत्यायोजित नहीं”, या “अमान्य प्रतिक्रिया”, तो आमतौर पर इसका अर्थ होता है:

  • डोमेन का DNS A/AAAA रिकॉर्ड अभी तक इस सर्वर की ओर इशारा नहीं करता है।
  • आपका वेबरूट पथ गलत है। ACME चुनौती फ़ाइल नहीं ढूँढ सकता।
  • पोर्ट 80 को अवरुद्ध या HTTPS पर पुनर्निर्देशित किया गया है।
  • आपने अपने उत्पाद के लिए गलत CA सर्वर URL का उपयोग किया है.

चरण 5: प्रमाणपत्र स्थापित करें और पुनः लोड सेट करें

अब हम प्रमाणपत्र स्थापित करते हैं और लाइटस्पीड को नवीनीकरण के बाद पुनः लोड करने के लिए कहते हैं।

सबसे पहले, प्रमाणपत्र के लिए एक निर्देशिका बनाएं:

mkdir -p /usr/local/lsws/conf/cert/yourdomain.com

फिर इसे स्थापित करें:

acme.sh --install-cert -d yourdomain.com \
  --key-file /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key \
  --fullchain-file /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt \
  --reloadcmd "/usr/local/lsws/bin/lswsctrl reload"

अनुमतियाँ ठीक करें:

chmod 600 /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
chown -R nobody:nogroup /usr/local/lsws/conf/cert/yourdomain.com

अपने वास्तविक लाइटस्पीड उपयोगकर्ता के साथ कोई नहीं:nogroup बदलें और यदि भिन्न हो तो समूह।


चरण 6: लाइटस्पीड में HTTPS कॉन्फ़िगर करें

अब जब आपका प्रमाणपत्र स्थापित हो गया है, तो आइए इसे लाइटस्पीड से कनेक्ट करें ताकि आपकी वेबसाइट HTTPS पर लोड हो जाए।

OpenLiteSpeed (WebAdmin पैनल) के लिए

  1. WebAdmin कंसोल में लॉग इन करें। पर जाएँ: https://your-server-ip:7080
  2. Create a secure HTTPS listener. In the left menu, go to: Listeners > Add > Then set the following:
    • नाम: HTTPS
    • आईपी पता: कोई भी
    • बंदरगाह: 443
    • सुरक्षित: हाँ

      लाइटस्पीड श्रोता
  3. सहेजें पर क्लिक करें.
  4. सेव करने के बाद अपने नए HTTPS श्रोता पर क्लिक करें और SSL टैब पर जाएं।
  5. आपके द्वारा पहले स्थापित प्रमाणपत्र और कुंजी फ़ाइलों के लिए पूर्ण पथ दर्ज करें और फिर से सहेजें क्लिक करें।
    • निजी कुंजी फ़ाइल: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
    • प्रमाणपत्र फ़ाइल: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt

      लाइटस्पीड निजी कुंजी
  6. अभी भी HTTPS श्रोता के अंतर्गत, वर्चुअल होस्ट मैपिंग टैब पर जाएं।
  7. इस तरह से मैपिंग जोड़ें:
    • वर्चुअल होस्ट: उदाहरण (यदि आपने इसे बदल दिया है, तो उदाहरण को अपने वास्तविक वर्चुअल होस्ट नाम से बदलें.)
    • डोमेन: *

      लाइटस्पीड जनरल
  8. सभी परिवर्तनों को लागू करने के लिए, लाइटस्पीड को पुनरारंभ करें। आप इसे WebAdmin से कर सकते हैं: क्रियाएँ सुंदर > पुनरारंभ करें

लाइटस्पीड एंटरप्राइज के लिए

यदि आप लाइटस्पीड एंटरप्राइज (उदाहरण के लिए WHM/cPanel के साथ) का उपयोग कर रहे हैं, तो चरण समान हैं, लेकिन लेआउट थोड़ा भिन्न हो सकता है।

  1. WebAdmin या WHM तक पहुंचें
  2. या तो WebAdmin पैनल (ऊपर के समान) का उपयोग करें या अपने होस्टिंग पैनल के माध्यम से SSL कॉन्फ़िगर करें।
  3. प्रमाणपत्र और कुंजी पथ असाइन करें
  4. जहां भी आपके डोमेन का वर्चुअल होस्ट निर्धारित किया गया है, सेट करें:
    • निजी कुंजी फ़ाइल: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
    • प्रमाणपत्र फ़ाइल: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt
  5. लाइटस्पीड पुनः लोड करें
  6. सेवा lsws पुनः लोड चलाकर परिवर्तनों को लागू करें

बस। एक बार जब लाइटस्पीड पुनः लोड हो जाता है, तो आपकी साइट आपके द्वारा इंस्टॉल किए गए ACME प्रमाणपत्र का उपयोग करके HTTPS पर ट्रैफ़िक देना शुरू कर देगी।


चरण 7: HTTPS और ऑटो-नवीनीकरण की जाँच करें

अपनी साइट पर जाएँ. आपको देखना चाहिए:

  • सही सीएन/सैन
  • कोई ब्राउज़र चेतावनी नहीं

अब जांचें कि क्या ACME.sh क्रॉन जॉब जोड़ा है:

crontab -l

यह इस तरह दिखना चाहिए:

24 13 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

मैन्युअल रूप से परीक्षण नवीनीकरण:

acme.sh --renew -d yourdomain.com --force
tail -n 40 ~/.acme.sh/acme.sh.log

यदि आपका रीलोड कमांड सही है, तो लाइटस्पीड स्वचालित रूप से नया प्रमाणपत्र उठा लेगा।


समस्याएँ आ रही हैं? यहां बताया गया है कि क्या जांचना है

यदि जारी करने या नवीनीकरण के दौरान कुछ काम नहीं कर रहा है, तो इन त्वरित जांचों से इसे हल करना चाहिए:

404 नहीं मिला” चुनौती फ़ाइल पर

  • आपके द्वारा उपयोग किए गए -w पथ की जाँच करें। क्या यह सही दस्तावेज़ रूट की ओर इशारा कर रहा है?
  • सुनिश्चित करें कि . well-known/acme-challenge/folder उस रूट के अंदर मौजूद है
  • HTTP (कर्ल या ब्राउज़र) पर मैन्युअल रूप से किसी परीक्षण फ़ाइल तक पहुँचने का प्रयास करें

“अनधिकृत” या “प्रत्यायोजित नहीं” त्रुटियाँ

  • हो सकता है कि आपका DNS अभी तक सर्वर की ओर इशारा नहीं कर रहा हो. अपने A/AAAA रिकॉर्ड की जाँच करें
  • अपने CA –server URL को दोबारा जांचें
  • क्या आप अपने एसएसएल प्रदाता से सही ईएबी क्रेडेंशियल्स का उपयोग कर रहे हैं?

प्रमाणपत्र नवीनीकरण के बाद लाइटस्पीड पुनः लोड नहीं हुआ

यदि आपका प्रमाणपत्र नवीनीकृत हो गया है, लेकिन साइट अभी भी पुराना दिखा रही है, तो आमतौर पर इसका मतलब है कि लाइटस्पीड स्वचालित रूप से पुनः लोड नहीं हुआ। जांचें कि आप किस लाइटस्पीड संस्करण का उपयोग कर रहे हैं।

यदि आप OpenLiteSpeed पर हैं, तो सर्वर को मैन्युअल रूप से पुनः लोड करें:

/usr/local/lsws/bin/lswsctrl reload

यदि आप लाइटस्पीड एंटरप्राइज पर हैं, तो इसका उपयोग करें:

service lsws reload

अपने ACME.sh रीलोड कमांड को अपडेट करें ताकि यह प्रत्येक नवीनीकरण के बाद सही लाइन चलाए।

--reloadcmd "/usr/local/lsws/bin/lswsctrl reload"

यह सुनिश्चित करता है कि लाइटस्पीड अगली बार नवीनीकृत होने पर प्रमाणपत्र को स्वचालित रूप से ताज़ा कर देता है।


आपका काम हो गया

अब आपने लाइटस्पीड पर सफलतापूर्वक एक एसीएमई एसएसएल प्रमाणपत्र स्थापित कर लिया है, और इसे बिना किसी मैन्युअल काम के स्वचालित रूप से नवीनीकृत करने के लिए सेट किया है। आपका सर्वर सुरक्षित ईएबी-आधारित प्रमाणपत्रों का उपयोग कर रहा है, सब कुछ लाइटस्पीड में वायर्ड है, और प्रत्येक नवीनीकरण के बाद पुनः लोड चुपचाप होता है।

आज ऑर्डर करते समय एसएसएल प्रमाणपत्रों पर 10% की बचत करें!

तेजी से जारी करना, मजबूत एन्क्रिप्शन, 99.99% ब्राउज़र ट्रस्ट, समर्पित समर्थन और 25 दिन की मनी-बैक गारंटी। कूपन कोड: SAVE10

उड़ान में एक ड्रैगन की एक विस्तृत छवि
द्वारा लिखित

एसएसएल प्रमाणपत्रों में विशेषज्ञता वाला अनुभवी सामग्री लेखक। जटिल साइबर सुरक्षा विषयों को स्पष्ट, आकर्षक सामग्री में बदलना। प्रभावशाली आख्यानों के माध्यम से डिजिटल सुरक्षा को बेहतर बनाने में योगदान करें।