Acest ghid acoperă tot ce aveți nevoie pentru a instala certificate SSL ACME pe LiteSpeed, inclusiv OpenLiteSpeed și LiteSpeed Enterprise.

Veți configura clientul ACME, îl veți conecta la furnizorul dvs. de certificate, veți solicita un certificat securizat și veți configura LiteSpeed pentru a-l utiliza, totul în doar câțiva pași clari. Odată finalizat, certificatele dvs. se vor reînnoi automat, fără a fi necesară nicio intervenție manuală.
Vom utiliza ACME.sh, un instrument ușor și fiabil care acceptă EAB (External Account Binding), necesar pentru SSL-urile ACME comerciale de la Sectigo și DigiCert.
Ce vă trebuie înainte de a începe
Asigurați-vă că le aveți pregătite:
- LiteSpeed Web Server instalat (OpenLiteSpeed sau Enterprise)
- Acces SSH cu privilegii root sau sudo
- Înregistrarea DNS A/AAAA a domeniului dvs. direcționată către acest server
- Un abonament SSL ACME activ (de la Sectigo sau DigiCert)
- acreditările dvs. EAB (KID + cheie HMAC)
- Portul 80 deschis – provocarea ACME rulează prin HTTP simplu
- Acces de ieșire la internet către punctul final al furnizorului dvs. ACME
Puncte finale ACME de utilizat:
- Sectigo: https://acme.sectigo.com/v2/DV
- DigiCert: https://acme.digicert.com/v2/acme
Pasul 1: Instalarea ACME.sh
Vom începe prin a instala ACME.sh, scriptul ușor care gestionează cererile și reînnoirile de certificate.
Deschideți o fereastră de terminal (SSH) și conectați-vă la serverul LiteSpeed ca root. Dacă utilizați un server VPS sau cloud, conectați-vă utilizând:
ssh root@your-server-ip
Odată ce ați intrat, executați următoarele comenzi pentru a instala ACME.sh:
curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version
Aceasta descarcă scriptul, configurează mediul și confirmă instalarea corectă.
Dacă instalarea eșuează:
- Asigurați-vă că
curlșigitsunt instalate pe serverul dvs. - Dacă s-a blocat ceva, rulați din nou instalarea cu –force
Pasul 2: Înregistrați-vă contul ACME (cu EAB)
Acest pas vă conectează clientul ACME la AC utilizând acreditările EAB din abonamentul dvs.
acme.sh --register-account \
--server https://acme.sectigo.com/v2/DV \
--eab-kid EAB_KID \
--eab-hmac-key EAB_HMAC_KEY \
--accountemail [email protected]
Înlocuiți valorile cu credențialele dvs. reale. Dacă v-ați înregistrat deja cu aceeași pereche EAB, nicio problemă, ACME.sh va reutiliza contul existent.
Dacă nu reușește, verificați:
- Legitimațiile dumneavoastră EAB sunt corecte?
- Serverul dvs. poate ajunge la HTTPS de ieșire (portul 443)?
Pasul 3: Configurați Webroot și testați validarea HTTP
ACME utilizează provocările HTTP-01 pentru a verifica proprietatea domeniului. Aceasta înseamnă că serverul dvs. trebuie să răspundă la: http://yourdomain.com/.well-known/acme-challenge/
Aceasta înseamnă că clientul ACME va arunca un fișier de testare într-un folder numit .well-known, iar serverul dvs. trebuie să îl servească prin HTTP simplu (portul 80).
Unde este webroot-ul pe serverul dvs.?
Depinde de ceea ce rulați. Pe OpenLiteSpeed (instalare proaspătă), în mod implicit, rădăcina Web este la /usr/local/lsws/Example/html.
Pe LiteSpeed Enterprise (WHM sau configurare manuală), rădăcina web este oriunde indică domeniul dvs., adesea ceva de genul: /home/youruser/public_html
Crearea folderului de validare și a fișierului de testare
În rădăcina documentului (ajustați calea pentru a se potrivi cu a dvs.), executați:
mkdir -p /your/webroot/.well-known/acme-challenge
echo "ok" > /your/webroot/.well-known/acme-challenge/testfile
curl -I http://yourdomain.com/.well-known/acme-challenge/testfile
If you see HTTP/1.1 200 OK, your server is ready to answer ACME challenges.
Ce se întâmplă dacă forțați HTTPS?
Dacă site-ul dvs. redirecționează automat HTTP către HTTPS, trebuie să faceți o excepție pentru calea ACME, astfel încât aceasta să poată rămâne pe HTTP în timpul validării. Adăugați acest lucru la fișierul dvs. .htaccess:
RewriteEngine On
# Let ACME validation go through
RewriteRule ^\.well-known/acme-challenge/ - [L]
# Redirect everything else to HTTPS
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Acest lucru asigură că provocarea funcționează chiar dacă site-ul dvs. utilizează HTTPS.
Verificare suplimentară: portul 80 este deschis?
Dacă validarea eșuează, este posibil ca serverul dvs. să nu asculte pe HTTP. Verificați ascultătorii LiteSpeed.
Pentru OpenLiteSpeed:
- Conectați-vă la LiteSpeed WebAdmin: https://:7080
- Navigați la Listeners > Default (acesta există la instalațiile noi).
- Set:
- Port = 80
- IP = ANY
Pentru LiteSpeed Enterprise:
Autentificați-vă în WHM sau WebAdmin și asigurați-vă că domeniul dvs. este ascultat pe portul 80. Dacă un alt serviciu utilizează acel port, executați:
sudo lsof -i :80
Opriți procesul conflictual, apoi reporniți LiteSpeed.
Pasul 4: Emiteți certificatul SSL
Acum este momentul să solicitați certificatul SSL prin clientul ACME. Veți rula această comandă direct în terminalul serverului dvs. (SSH), în același loc în care ați instalat ACME.sh mai devreme.
acme.sh --issue \
-d yourdomain.com \
-w /path/to/your/webroot \
--server https://acme.yourca.com/v2/endpoint
Să analizăm în detaliu:
- acme.sh –issue – spune ACME.sh că doriți să emiteți un nou certificat.
- -d yourdomain.com – numele domeniului dvs. principal. Puteți adăuga mai multe indicații -d pentru subdomenii sau versiunea www, cum ar fi -d www.yourdomain.com.
- -w /path/to/your/webroot – calea completă către rădăcina documentului site-ului dvs. web.
- –server https://acme.yourca.com/v2/endpoint – înlocuiți această adresă cu URL-ul ACME al CA:
- Sectigo: https://acme.sectigo.com/v2/DV
- DigiCert: https://acme.digicert.com/v2/acme
Dacă eșuează cu erori precum: „neautorizat”, „nu este delegat” sau „răspuns invalid”, înseamnă de obicei:
- Înregistrarea DNS A/AAAA a domeniului nu indică încă acest server.
- Calea dvs. webroot este greșită. ACME nu poate găsi fișierul de provocare.
- Portul 80 este blocat sau redirecționat către HTTPS.
- Ați folosit adresa URL greșită a serverului CA pentru produsul dvs.
Pasul 5: Instalarea certificatului și setarea reîncărcării
Acum instalăm certificatul și îi spunem lui LiteSpeed să se reîncarce după reînnoiri.
În primul rând, creați un director pentru cert:
mkdir -p /usr/local/lsws/conf/cert/yourdomain.com
Apoi instalați-l:
acme.sh --install-cert -d yourdomain.com \
--key-file /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key \
--fullchain-file /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt \
--reloadcmd "/usr/local/lsws/bin/lswsctrl reload"
Fixarea permisiunilor:
chmod 600 /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
chown -R nobody:nogroup /usr/local/lsws/conf/cert/yourdomain.com
Înlocuiți nobody:nogroup cu utilizatorul și grupul dvs. LiteSpeed real, dacă sunt diferite.
Pasul 6: Configurați HTTPS în LiteSpeed
Acum că certificatul dvs. este instalat, să îl conectăm la LiteSpeed, astfel încât site-ul dvs. să se încarce prin HTTPS.
Pentru OpenLiteSpeed (panoul WebAdmin)
- Conectați-vă la consola WebAdmin. Vizitați: https://your-server-ip:7080
- Create a secure HTTPS listener. In the left menu, go to: Listeners > Add > Then set the following:
- Nume: HTTPS
- Adresa IP: ANY
- Port: 443
- Sigur: Da
- Faceți clic pe Salvare.
- După salvare, faceți clic pe noul ascultător HTTPS și mergeți la fila SSL .
- Introduceți căile complete către fișierele cert și cheie pe care le-ați instalat anterior și faceți clic din nou pe Salvare .
- Fișier cheie privată: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
- Fișier certificat: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt
- Tot sub ascultătorul HTTPS, mergeți la fila Virtual Host Mappings.
- Adăugați o cartografiere ca aceasta:
- Gazdă virtuală: Exemplu (înlocuiți Exemplu cu numele real al gazdei virtuale, dacă l-ați schimbat).
- Domenii: *
- Pentru a aplica toate modificările, reporniți LiteSpeed. Puteți face acest lucru din WebAdmin: Acțiuni > Graceful Restart
Pentru LiteSpeed Enterprise
Dacă utilizați LiteSpeed Enterprise (de exemplu, cu WHM/cPanel), pașii sunt similari, dar aspectul poate diferi ușor.
- Accesați WebAdmin sau WHM
- Fie utilizați panoul WebAdmin (la fel ca mai sus), fie configurați SSL prin intermediul panoului de găzduire.
- Atribuiți calea certificatului și a cheii
- Oriunde este definită gazda virtuală a domeniului dvs., setați:
- Fișier cheie privată: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
- Fișier certificat: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt
- Reîncărcați LiteSpeed
- Aplicați modificările executând service lsws reload
Asta este tot. După ce LiteSpeed se reîncarcă, site-ul dvs. va începe să servească traficul prin HTTPS utilizând certificatul ACME pe care l-ați instalat.
Pasul 7: Verificați HTTPS și reînnoirea automată
Vizitați site-ul dvs. Ar trebui să vedeți:
- CN/SAN corect
- Nu există avertismente în browser
Acum verificați dacă ACME.sh a adăugat un cron job:
crontab -l
Ar trebui să arate ca:
24 13 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
Testați manual reînnoirea:
acme.sh --renew -d yourdomain.com --force
tail -n 40 ~/.acme.sh/acme.sh.log
Dacă comanda dvs. de reîncărcare este corectă, LiteSpeed va prelua automat noul certificat.
Aveți probleme? Iată ce trebuie să verificați
Dacă ceva nu funcționează în timpul emiterii sau reînnoirii, aceste verificări rapide ar trebui să rezolve problema:
404 Not Found” pe fișierul de provocare
- Verificați calea -w pe care ați utilizat-o. Este îndreptată către rădăcina corectă a documentului?
- Asigurați-vă că dosarul.well-known/acme-challenge/ există în rădăcina respectivă
- Încercați să accesați manual un fișier de testare prin HTTP (curl sau browser)
Erorile „neautorizat” sau „nu a fost delegat”
- Este posibil ca DNS-ul dvs. să nu fie încă direcționat către server. Verificați înregistrările A/AAAA
- Verificați de două ori CA –server URL
- Utilizați acreditările EAB corecte de la furnizorul SSL?
LiteSpeed nu s-a reîncărcat după reînnoirea certificatului
Dacă certificatul dvs. s-a reînnoit, dar site-ul încă îl afișează pe cel vechi, de obicei înseamnă că LiteSpeed nu s-a reîncărcat automat. Verificați ce versiune LiteSpeed utilizați.
Dacă sunteți pe OpenLiteSpeed, reîncărcați manual serverul cu:
/usr/local/lsws/bin/lswsctrl reload
Dacă sunteți pe LiteSpeed Enterprise, utilizați:
service lsws reload
Actualizați-vă comanda ACME.sh reload astfel încât să ruleze linia corectă după fiecare reînnoire.
--reloadcmd "/usr/local/lsws/bin/lswsctrl reload"
Acest lucru face ca LiteSpeed să actualizeze automat certificatul data viitoare când se reînnoiește.
Sunteți gata
Ați instalat cu succes un certificat SSL ACME pe LiteSpeed și l-ați configurat pentru a se reînnoi automat fără nicio operațiune manuală. Serverul dvs. utilizează certificate sigure bazate pe EAB, totul este conectat la LiteSpeed, iar reîncărcarea are loc în liniște după fiecare reînnoire.
Economisește 10% la certificatele SSL în momentul plasării comenzii!
Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10




