bg-tutorials

LiteSpeed’e ACME SSL Sertifikası Nasıl Kurulur

Bu kılavuz, hem OpenLiteSpeed hem de LiteSpeed Enterprise dahil olmak üzere ACME SSL sertifikalarını LiteSpeed’e yüklemek için ihtiyacınız olan her şeyi kapsar.

Litespeed ACME SSL

ACME istemcisini kuracak, sertifika sağlayıcınıza bağlayacak, güvenli bir sertifika talep edecek ve LiteSpeed’i bu sertifikayı kullanacak şekilde yapılandıracaksınız. Tamamlandığında, sertifikalarınız manuel müdahale gerektirmeden otomatik olarak yenilenecektir.

Sectigo ve DigiCert‘in ticari ACME SSL’leri için gerekli olan Harici Hesap Bağlama’yı (EAB) destekleyen hafif ve güvenilir bir araç olan ACME .sh‘yi kullanacağız.


Başlamadan Önce İhtiyacınız Olanlar

Bunları hazırladığınızdan emin olun:

  • LiteSpeed Web Sunucusu yüklü (OpenLiteSpeed veya Enterprise)
  • Root veya sudo ayrıcalıkları ile SSH erişimi
  • Alan adınızın bu sunucuya işaret eden A/AAAA DNS kaydı
  • Etkin bir ACME SSL aboneliği (Sectigo veya DigiCert’ten)
  • EAB kimlik bilgileriniz (KID + HMAC anahtarı)
  • Port 80 açık – ACME meydan okuması düz HTTP üzerinden çalışır
  • ACME sağlayıcınızın uç noktasına giden internet erişimi

Kullanılacak ACME uç noktaları:

  • Sectigo: https://acme.sectigo.com/v2/DV
  • DigiCert: https://acme.digicert.com/v2/acme

Adım 1: ACME.sh dosyasını yükleyin

Sertifika taleplerinizi ve yenilemelerinizi gerçekleştiren hafif betik ACME.sh’yi yükleyerek başlayacağız.

Bir terminal penceresi (SSH) açın ve LiteSpeed sunucunuza root olarak bağlanın. Eğer bir VPS veya bulut sunucusu kullanıyorsanız şu şekilde bağlanın:

ssh root@your-server-ip

İçeri girdikten sonra, ACME.sh dosyasını yüklemek için aşağıdaki komutları çalıştırın:

curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version

Bu, betiği indirir, ortamı ayarlar ve doğru şekilde yüklendiğini onaylar.

Yükleme başarısız olursa:

  • curl ve git adreslerinin sunucunuzda yüklü olduğundan emin olun
  • Bir şey takıldıysa, yüklemeyi –force ile yeniden çalıştırın

Adım 2: ACME Hesabınızı Kaydedin (EAB ile)

Bu adım, aboneliğinizdeki EAB kimlik bilgilerini kullanarak ACME istemcinizi CA’ya bağlar.

acme.sh --register-account \
  --server https://acme.sectigo.com/v2/DV \
  --eab-kid EAB_KID \
  --eab-hmac-key EAB_HMAC_KEY \
  --accountemail [email protected]

Değerleri gerçek kimlik bilgilerinizle değiştirin. Aynı EAB çifti ile zaten kayıt olduysanız, sorun değil, ACME.sh mevcut hesabı yeniden kullanacaktır.

Başarısız olursa, kontrol edin:

  • EAB kimlik bilgileriniz doğru mu?
  • Sunucunuz giden HTTPS’ye (443 numaralı bağlantı noktası) ulaşabiliyor mu?

Adım 3: Webroot’u Kurun ve HTTP Doğrulamasını Test Edin

ACME, alan adı sahipliğini doğrulamak için HTTP-01 meydan okumalarını kullanır. Bu, sunucunuzun şu adrese yanıt vermesi gerektiği anlamına gelir: http://yourdomain.com/.well-known/acme-challenge/

Bu, ACME istemcisinin .well-known adlı bir klasöre bir test dosyası bırakacağı ve sunucunuzun bunu düz HTTP (port 80) üzerinden sunması gerektiği anlamına gelir.

Sunucunuzdaki webroot nerede?

Bu ne çalıştırdığınıza bağlıdır. OpenLiteSpeed ‘de (yeni kurulum), varsayılan olarak Web kökü /usr/local/lsws/Example/html adresindedir.

LiteSpeed Enterprise ‘da (WHM veya manuel yapılandırma), Web kökü alan adınızın işaret ettiği yerdir, genellikle aşağıdaki gibi bir şeydir: /home/kullanıcınız/public_html

Doğrulama klasörünü ve test dosyasını oluşturma

Belge kök dizininizde (yolu sizinkine uyacak şekilde ayarlayın), çalıştırın:

mkdir -p /your/webroot/.well-known/acme-challenge
echo "ok" > /your/webroot/.well-known/acme-challenge/testfile
curl -I http://yourdomain.com/.well-known/acme-challenge/testfile

If you see HTTP/1.1 200 OK, your server is ready to answer ACME challenges.

Ya HTTPS’yi zorluyorsanız?

Siteniz HTTP’yi otomatik olarak HTTPS’ye yönlendiriyorsa, doğrulama sırasında HTTP’de kalabilmesi için ACME yolu için bir istisna yapmanız gerekir. Bunu .htaccess dosyanıza ekleyin:

RewriteEngine On
# Let ACME validation go through
RewriteRule ^\.well-known/acme-challenge/ - [L]
# Redirect everything else to HTTPS
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Bu, siteniz HTTPS kullansa bile meydan okumanın çalışmasını sağlar.

Ekstra kontrol: 80 numaralı bağlantı noktası açık mı?

Doğrulama başarısız olursa, sunucunuz HTTP’yi dinlemiyor olabilir. LiteSpeed dinleyicilerinizi kontrol edin.

OpenLiteSpeed için:

  1. LiteSpeed WebAdmin’de oturum açın: https://:7080
  2. Dinleyiciler > Varsayılan bölümüne gidin (bu yeni kurulumlarda mevcuttur).
  3. Set:
    • Port = 80
    • IP = ANY

LiteSpeed Enterprise için:

WHM veya WebAdmin’de oturum açın ve alan adınızın 80 numaralı bağlantı noktasını dinlediğinden emin olun. Eğer başka bir servis bu portu kullanıyorsa, çalıştırın:

sudo lsof -i :80

Çakışan işlemi durdurun, ardından LiteSpeed’i yeniden başlatın.


Adım 4: SSL Sertifikanızı Yayınlayın

Şimdi sıra ACME istemcisi aracılığıyla SSL sertifikanızı talep etmeye geldi. Bu komutu doğrudan sunucunuzun terminalinde (SSH), daha önce ACME.sh dosyasını yüklediğiniz yerde çalıştıracaksınız.

acme.sh --issue \
  -d yourdomain.com \
  -w /path/to/your/webroot \
  --server https://acme.yourca.com/v2/endpoint

Hadi parçalara ayıralım:

  • acme.sh –issue – ACME.sh’ye yeni bir sertifika vermek istediğinizi söyler.
  • -d yourdomain.com – ana alan adınız. Alt alan adları veya www sürümü için -d www.yourdomain.com gibi daha fazla -d bayrağı ekleyebilirsiniz.
  • w /path/to/your/webroot – web sitenizin belge köküne giden tam yol.
  • –server https://acme.yourca.com/v2/endpoint – bunu CA’nızın ACME URL’si ile değiştirin:
    • Sectigo: https://acme.sectigo.com/v2/DV
    • DigiCert: https://acme.digicert.com/v2/acme

Eğer aşağıdaki gibi hatalarla başarısız olursa: “yetkisiz”, “yetkilendirilmemiş” veya “geçersiz yanıt” gibi hatalarla başarısız olursa, bu genellikle şu anlama gelir

  • Etki alanının DNS A/AAAA kaydı henüz bu sunucuyu işaret etmiyor.
  • Webroot yolunuz yanlış. ACME meydan okuma dosyasını bulamıyor.
  • Port 80 engellenir veya HTTPS’ye yönlendirilir.
  • Ürününüz için yanlış CA sunucusu URL’sini kullandınız.

Adım 5: Sertifikayı Yükleyin ve Yeniden Yüklemeyi Ayarlayın

Şimdi sertifikayı yüklüyoruz ve LiteSpeed’e yenilemelerden sonra yeniden yüklemesini söylüyoruz.

İlk olarak, sertifika için bir dizin oluşturun:

mkdir -p /usr/local/lsws/conf/cert/yourdomain.com

Sonra yükleyin:

acme.sh --install-cert -d yourdomain.com \
  --key-file /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key \
  --fullchain-file /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt \
  --reloadcmd "/usr/local/lsws/bin/lswsctrl reload"

İzinleri düzeltin:

chmod 600 /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
chown -R nobody:nogroup /usr/local/lsws/conf/cert/yourdomain.com

nobody:nogroup yerine gerçek LiteSpeed kullanıcınızı ve farklıysa grubunuzu yazın.


Adım 6: LiteSpeed’de HTTPS’yi Yapılandırın

Artık sertifikanız yüklendiğine göre, web sitenizin HTTPS üzerinden yüklenmesi için onu LiteSpeed’e bağlayalım.

OpenLiteSpeed için (WebAdmin paneli)

  1. WebAdmin konsolunda oturum açın. Ziyaret edin: https://your-server-ip:7080
  2. Create a secure HTTPS listener. In the left menu, go to: Listeners > Add > Then set the following:
    • İsim: HTTPS
    • IP Adresi: HERHANGİ BİR
    • Bağlantı Noktası: 443
    • Güvenli: Evet

      Litespeed Dinleyici
  3. Kaydet’e tıklayın.
  4. Kaydettikten sonra, yeni HTTPS dinleyicinize tıklayın ve SSL sekmesine gidin.
  5. Daha önce yüklediğiniz sertifika ve anahtar dosyalarının tam yollarını girin ve tekrar Kaydet ‘e tıklayın.
    • Özel Anahtar Dosyası: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
    • Sertifika Dosyası: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt

      Litespeed Özel Anahtarı
  6. Hala HTTPS dinleyicisinin altında Sanal Ana Bilgisayar Eşlemeleri sekmesine gidin.
  7. Bunun gibi bir eşleme ekleyin:
    • Sanal Ana Bilgisayar: Example (Değiştirdiyseniz Example’ı gerçek sanal ana bilgisayar adınızla değiştirin).
    • Etki alanları: *

      Litespeed Genel
  8. Tüm değişiklikleri uygulamak için LiteSpeed’i yeniden başlatın. Bunu WebAdmin’den yapabilirsiniz: Eylemler > Zarif Yeniden Başlatma

LiteSpeed Enterprise için

LiteSpeed Enterprise kullanıyorsanız (örneğin WHM/cPanel ile), adımlar benzerdir, ancak düzen biraz farklı olabilir.

  1. WebAdmin veya WHM’ye erişin
  2. Ya WebAdmin panelini kullanın (yukarıdakiyle aynı) ya da hosting paneliniz üzerinden SSL yapılandırın.
  3. Sertifika ve anahtar yollarını atama
  4. Alan adınızın sanal ana bilgisayarının tanımlandığı her yerde, ayarlayın:
    • Özel Anahtar Dosyası: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
    • Sertifika Dosyası: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt
  5. LiteSpeed’i Yeniden Yükle
  6. service lsws reload komutunu çalıştırarak değişiklikleri uygulayın

İşte bu kadar. LiteSpeed yeniden yüklendiğinde, siteniz yüklediğiniz ACME sertifikasını kullanarak HTTPS üzerinden trafik sunmaya başlayacaktır.


Adım 7: HTTPS ve Otomatik Yenilemeyi Kontrol Edin

Sitenizi ziyaret edin. Görmelisiniz:

  • Doğru CN/SAN
  • Tarayıcı uyarısı yok

Şimdi ACME.sh’nin bir cron işi ekleyip eklemediğini kontrol edin:

crontab -l

Şöyle görünmeli:

24 13 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

Yenilemeyi manuel olarak test edin:

acme.sh --renew -d yourdomain.com --force
tail -n 40 ~/.acme.sh/acme.sh.log

Yeniden yükle komutunuz doğruysa, LiteSpeed yeni sertifikayı otomatik olarak alacaktır.


Sorun mu Yaşıyorsunuz? İşte Kontrol Etmeniz Gerekenler

Düzenleme veya yenileme sırasında bir şey çalışmıyorsa, bu hızlı kontroller sorunu çözmelidir:

404 Not Found” meydan okuma dosyasında

  • Kullandığınız -w yolunu kontrol edin. Doğru belge köküne mi işaret ediyor?
  • .well-known/acme-challenge/ klasörünün bu kök içinde var olduğundan emin olun
  • HTTP üzerinden manuel olarak bir test dosyasına erişmeyi deneyin (curl veya tarayıcı)

“Yetkisiz” veya “Yetkilendirilmemiş” hataları

  • DNS’iniz henüz sunucuyu işaret etmiyor olabilir. A/AAAA kayıtlarınızı kontrol edin
  • CA –sunucu URL’nizi iki kez kontrol edin
  • SSL sağlayıcınızdan doğru EAB kimlik bilgilerini kullanıyor musunuz?

LiteSpeed sertifika yenilemesinden sonra yeniden yüklenmedi

Sertifikanız yenilendiyse ancak siteniz hala eski sertifikayı gösteriyorsa, bu genellikle LiteSpeed’in otomatik olarak yeniden yüklenmediği anlamına gelir. Hangi LiteSpeed sürümünü kullandığınızı kontrol edin.

OpenLiteSpeed kullanıyorsanız, sunucuyu manuel olarak yeniden yükleyin:

/usr/local/lsws/bin/lswsctrl reload

LiteSpeed Enterprise kullanıyorsanız, kullanın:

service lsws reload

ACME.sh reload komutunuzu her yenilemeden sonra doğru satırı çalıştıracak şekilde güncelleyin.

--reloadcmd "/usr/local/lsws/bin/lswsctrl reload"

Bu, LiteSpeed’in sertifikayı bir sonraki yenilemesinde otomatik olarak yenilemesini sağlar.


İşin bitti.

Artık LiteSpeed’e bir ACME SSL sertifikasını başarıyla yüklediniz ve herhangi bir manuel işlem yapmadan otomatik olarak yenilenecek şekilde ayarladınız. Sunucunuz güvenli EAB tabanlı sertifikalar kullanıyor, her şey LiteSpeed’e bağlı ve her yenilemeden sonra yeniden yükleme sessizce gerçekleşiyor.

Bugün SSL Dragon’dan sipariş vererek SSL Sertifikalarında %10 indirimden yararlanın!

Hızlı düzenleme, güçlü şifreleme, %99,99 tarayıcı güvenilirliği, özel destek ve 25 günlük para iade garantisi. Kupon kodu: SAVE10

A detailed image of a dragon in flight
Tarafından yazıldı

SSL Sertifikaları konusunda uzmanlaşmış deneyimli içerik yazarı. Karmaşık siber güvenlik konularını açık, ilgi çekici içeriğe dönüştürmek. Etkili anlatımlar yoluyla dijital güvenliğin geliştirilmesine katkıda bulunun.