bg-tutorials

Cum să instalați un certificat SSL ACME pe LiteSpeed

Acest ghid acoperă tot ce aveți nevoie pentru a instala certificate SSL ACME pe LiteSpeed, inclusiv OpenLiteSpeed și LiteSpeed Enterprise.

Litespeed ACME SSL

Veți configura clientul ACME, îl veți conecta la furnizorul dvs. de certificate, veți solicita un certificat securizat și veți configura LiteSpeed pentru a-l utiliza, totul în doar câțiva pași clari. Odată finalizat, certificatele dvs. se vor reînnoi automat, fără a fi necesară nicio intervenție manuală.

Vom utiliza ACME.sh, un instrument ușor și fiabil care acceptă EAB (External Account Binding), necesar pentru SSL-urile ACME comerciale de la Sectigo și DigiCert.


Ce vă trebuie înainte de a începe

Asigurați-vă că le aveți pregătite:

  • LiteSpeed Web Server instalat (OpenLiteSpeed sau Enterprise)
  • Acces SSH cu privilegii root sau sudo
  • Înregistrarea DNS A/AAAA a domeniului dvs. direcționată către acest server
  • Un abonament SSL ACME activ (de la Sectigo sau DigiCert)
  • acreditările dvs. EAB (KID + cheie HMAC)
  • Portul 80 deschis – provocarea ACME rulează prin HTTP simplu
  • Acces de ieșire la internet către punctul final al furnizorului dvs. ACME

Puncte finale ACME de utilizat:

  • Sectigo: https://acme.sectigo.com/v2/DV
  • DigiCert: https://acme.digicert.com/v2/acme

Pasul 1: Instalarea ACME.sh

Vom începe prin a instala ACME.sh, scriptul ușor care gestionează cererile și reînnoirile de certificate.

Deschideți o fereastră de terminal (SSH) și conectați-vă la serverul LiteSpeed ca root. Dacă utilizați un server VPS sau cloud, conectați-vă utilizând:

ssh root@your-server-ip

Odată ce ați intrat, executați următoarele comenzi pentru a instala ACME.sh:

curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version

Aceasta descarcă scriptul, configurează mediul și confirmă instalarea corectă.

Dacă instalarea eșuează:

  • Asigurați-vă că curl și git sunt instalate pe serverul dvs.
  • Dacă s-a blocat ceva, rulați din nou instalarea cu –force

Pasul 2: Înregistrați-vă contul ACME (cu EAB)

Acest pas vă conectează clientul ACME la AC utilizând acreditările EAB din abonamentul dvs.

acme.sh --register-account \
  --server https://acme.sectigo.com/v2/DV \
  --eab-kid EAB_KID \
  --eab-hmac-key EAB_HMAC_KEY \
  --accountemail [email protected]

Înlocuiți valorile cu credențialele dvs. reale. Dacă v-ați înregistrat deja cu aceeași pereche EAB, nicio problemă, ACME.sh va reutiliza contul existent.

Dacă nu reușește, verificați:

  • Legitimațiile dumneavoastră EAB sunt corecte?
  • Serverul dvs. poate ajunge la HTTPS de ieșire (portul 443)?

Pasul 3: Configurați Webroot și testați validarea HTTP

ACME utilizează provocările HTTP-01 pentru a verifica proprietatea domeniului. Aceasta înseamnă că serverul dvs. trebuie să răspundă la: http://yourdomain.com/.well-known/acme-challenge/

Aceasta înseamnă că clientul ACME va arunca un fișier de testare într-un folder numit .well-known, iar serverul dvs. trebuie să îl servească prin HTTP simplu (portul 80).

Unde este webroot-ul pe serverul dvs.?

Depinde de ceea ce rulați. Pe OpenLiteSpeed (instalare proaspătă), în mod implicit, rădăcina Web este la /usr/local/lsws/Example/html.

Pe LiteSpeed Enterprise (WHM sau configurare manuală), rădăcina web este oriunde indică domeniul dvs., adesea ceva de genul: /home/youruser/public_html

Crearea folderului de validare și a fișierului de testare

În rădăcina documentului (ajustați calea pentru a se potrivi cu a dvs.), executați:

mkdir -p /your/webroot/.well-known/acme-challenge
echo "ok" > /your/webroot/.well-known/acme-challenge/testfile
curl -I http://yourdomain.com/.well-known/acme-challenge/testfile

If you see HTTP/1.1 200 OK, your server is ready to answer ACME challenges.

Ce se întâmplă dacă forțați HTTPS?

Dacă site-ul dvs. redirecționează automat HTTP către HTTPS, trebuie să faceți o excepție pentru calea ACME, astfel încât aceasta să poată rămâne pe HTTP în timpul validării. Adăugați acest lucru la fișierul dvs. .htaccess:

RewriteEngine On
# Let ACME validation go through
RewriteRule ^\.well-known/acme-challenge/ - [L]
# Redirect everything else to HTTPS
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Acest lucru asigură că provocarea funcționează chiar dacă site-ul dvs. utilizează HTTPS.

Verificare suplimentară: portul 80 este deschis?

Dacă validarea eșuează, este posibil ca serverul dvs. să nu asculte pe HTTP. Verificați ascultătorii LiteSpeed.

Pentru OpenLiteSpeed:

  1. Conectați-vă la LiteSpeed WebAdmin: https://:7080
  2. Navigați la Listeners > Default (acesta există la instalațiile noi).
  3. Set:
    • Port = 80
    • IP = ANY

Pentru LiteSpeed Enterprise:

Autentificați-vă în WHM sau WebAdmin și asigurați-vă că domeniul dvs. este ascultat pe portul 80. Dacă un alt serviciu utilizează acel port, executați:

sudo lsof -i :80

Opriți procesul conflictual, apoi reporniți LiteSpeed.


Pasul 4: Emiteți certificatul SSL

Acum este momentul să solicitați certificatul SSL prin clientul ACME. Veți rula această comandă direct în terminalul serverului dvs. (SSH), în același loc în care ați instalat ACME.sh mai devreme.

acme.sh --issue \
  -d yourdomain.com \
  -w /path/to/your/webroot \
  --server https://acme.yourca.com/v2/endpoint

Să analizăm în detaliu:

  • acme.sh –issue – spune ACME.sh că doriți să emiteți un nou certificat.
  • -d yourdomain.com – numele domeniului dvs. principal. Puteți adăuga mai multe indicații -d pentru subdomenii sau versiunea www, cum ar fi -d www.yourdomain.com.
  • -w /path/to/your/webroot – calea completă către rădăcina documentului site-ului dvs. web.
  • –server https://acme.yourca.com/v2/endpoint – înlocuiți această adresă cu URL-ul ACME al CA:
    • Sectigo: https://acme.sectigo.com/v2/DV
    • DigiCert: https://acme.digicert.com/v2/acme

Dacă eșuează cu erori precum: „neautorizat”, „nu este delegat” sau „răspuns invalid”, înseamnă de obicei:

  • Înregistrarea DNS A/AAAA a domeniului nu indică încă acest server.
  • Calea dvs. webroot este greșită. ACME nu poate găsi fișierul de provocare.
  • Portul 80 este blocat sau redirecționat către HTTPS.
  • Ați folosit adresa URL greșită a serverului CA pentru produsul dvs.

Pasul 5: Instalarea certificatului și setarea reîncărcării

Acum instalăm certificatul și îi spunem lui LiteSpeed să se reîncarce după reînnoiri.

În primul rând, creați un director pentru cert:

mkdir -p /usr/local/lsws/conf/cert/yourdomain.com

Apoi instalați-l:

acme.sh --install-cert -d yourdomain.com \
  --key-file /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key \
  --fullchain-file /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt \
  --reloadcmd "/usr/local/lsws/bin/lswsctrl reload"

Fixarea permisiunilor:

chmod 600 /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
chown -R nobody:nogroup /usr/local/lsws/conf/cert/yourdomain.com

Înlocuiți nobody:nogroup cu utilizatorul și grupul dvs. LiteSpeed real, dacă sunt diferite.


Pasul 6: Configurați HTTPS în LiteSpeed

Acum că certificatul dvs. este instalat, să îl conectăm la LiteSpeed, astfel încât site-ul dvs. să se încarce prin HTTPS.

Pentru OpenLiteSpeed (panoul WebAdmin)

  1. Conectați-vă la consola WebAdmin. Vizitați: https://your-server-ip:7080
  2. Create a secure HTTPS listener. In the left menu, go to: Listeners > Add > Then set the following:
    • Nume: HTTPS
    • Adresa IP: ANY
    • Port: 443
    • Sigur: Da

      Ascultător Litespeed
  3. Faceți clic pe Salvare.
  4. După salvare, faceți clic pe noul ascultător HTTPS și mergeți la fila SSL .
  5. Introduceți căile complete către fișierele cert și cheie pe care le-ați instalat anterior și faceți clic din nou pe Salvare .
    • Fișier cheie privată: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
    • Fișier certificat: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt

      Cheie privată Litespeed
  6. Tot sub ascultătorul HTTPS, mergeți la fila Virtual Host Mappings.
  7. Adăugați o cartografiere ca aceasta:
    • Gazdă virtuală: Exemplu (înlocuiți Exemplu cu numele real al gazdei virtuale, dacă l-ați schimbat).
    • Domenii: *

      Litespeed General
  8. Pentru a aplica toate modificările, reporniți LiteSpeed. Puteți face acest lucru din WebAdmin: Acțiuni > Graceful Restart

Pentru LiteSpeed Enterprise

Dacă utilizați LiteSpeed Enterprise (de exemplu, cu WHM/cPanel), pașii sunt similari, dar aspectul poate diferi ușor.

  1. Accesați WebAdmin sau WHM
  2. Fie utilizați panoul WebAdmin (la fel ca mai sus), fie configurați SSL prin intermediul panoului de găzduire.
  3. Atribuiți calea certificatului și a cheii
  4. Oriunde este definită gazda virtuală a domeniului dvs., setați:
    • Fișier cheie privată: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
    • Fișier certificat: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt
  5. Reîncărcați LiteSpeed
  6. Aplicați modificările executând service lsws reload

Asta este tot. După ce LiteSpeed se reîncarcă, site-ul dvs. va începe să servească traficul prin HTTPS utilizând certificatul ACME pe care l-ați instalat.


Pasul 7: Verificați HTTPS și reînnoirea automată

Vizitați site-ul dvs. Ar trebui să vedeți:

  • CN/SAN corect
  • Nu există avertismente în browser

Acum verificați dacă ACME.sh a adăugat un cron job:

crontab -l

Ar trebui să arate ca:

24 13 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

Testați manual reînnoirea:

acme.sh --renew -d yourdomain.com --force
tail -n 40 ~/.acme.sh/acme.sh.log

Dacă comanda dvs. de reîncărcare este corectă, LiteSpeed va prelua automat noul certificat.


Aveți probleme? Iată ce trebuie să verificați

Dacă ceva nu funcționează în timpul emiterii sau reînnoirii, aceste verificări rapide ar trebui să rezolve problema:

404 Not Found” pe fișierul de provocare

  • Verificați calea -w pe care ați utilizat-o. Este îndreptată către rădăcina corectă a documentului?
  • Asigurați-vă că dosarul.well-known/acme-challenge/ există în rădăcina respectivă
  • Încercați să accesați manual un fișier de testare prin HTTP (curl sau browser)

Erorile „neautorizat” sau „nu a fost delegat”

  • Este posibil ca DNS-ul dvs. să nu fie încă direcționat către server. Verificați înregistrările A/AAAA
  • Verificați de două ori CA –server URL
  • Utilizați acreditările EAB corecte de la furnizorul SSL?

LiteSpeed nu s-a reîncărcat după reînnoirea certificatului

Dacă certificatul dvs. s-a reînnoit, dar site-ul încă îl afișează pe cel vechi, de obicei înseamnă că LiteSpeed nu s-a reîncărcat automat. Verificați ce versiune LiteSpeed utilizați.

Dacă sunteți pe OpenLiteSpeed, reîncărcați manual serverul cu:

/usr/local/lsws/bin/lswsctrl reload

Dacă sunteți pe LiteSpeed Enterprise, utilizați:

service lsws reload

Actualizați-vă comanda ACME.sh reload astfel încât să ruleze linia corectă după fiecare reînnoire.

--reloadcmd "/usr/local/lsws/bin/lswsctrl reload"

Acest lucru face ca LiteSpeed să actualizeze automat certificatul data viitoare când se reînnoiește.


Sunteți gata

Ați instalat cu succes un certificat SSL ACME pe LiteSpeed și l-ați configurat pentru a se reînnoi automat fără nicio operațiune manuală. Serverul dvs. utilizează certificate sigure bazate pe EAB, totul este conectat la LiteSpeed, iar reîncărcarea are loc în liniște după fiecare reînnoire.

Economisește 10% la certificatele SSL în momentul plasării comenzii!

Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10

A detailed image of a dragon in flight

Autor cu experiență, specializat în certificate SSL. Transformă subiectele complexe despre securitatea cibernetică în conținut clar și captivant. Contribuie la îmbunătățirea securității digite prin narațiuni cu impact.