کدگذاری SSL/TLS بخشی جدایی‌ناپذیر از زیرساخت شبکه محسوب می‌شود. در تمام سرورهای وب و ایمیل امکان فعالسازی کدگذاری داده‌ها وجود دارد. در این مطلب نگاهی خواهیم داشت به فرآیند دستیابی به گواهی رایگان SSL در ابزار Let’s Encrypt.

اول از همه باید یک عنوان دامین در اختیار داشته باشید. رکورد A سرور DNS آن می‌بایست حاوی آدرس عمومی سرور شما باشد. همچنین اگر فایروال فعالی دارید، باید دسترسی به ترافیک HTTP و HTTPS را باز کنید.


sudo ufw allow 80

sudo ufw allow 443

گام ۱) نصب بسته Let’s Encrypt

فرآیند نصب بسته Let’s Encrypt و متعلقات آن بسیار ساده است. برای این منظور، فرمان زیر را تایپ کنید.


sudo apt install letsencrypt

این فرمان باعث می‌شود که ابزار certbot.timer نیز به همراه بسته Let’s Encrypt نصب شود که برای تازه‌سازی خودکار گواهی به کار می‌رود. certbot.timer اعتبار گواهی‌های SSL را در سیستم دو بار در روز بررسی می‌کند و آنهایی را که در ۳۰ روز آینده اعتبارشان به پایان می‌رسد، اضافه می‌کند. برای اطمینان از اجرای این ابزار، داریم:


sudo systemctl status certbot.timer

تنظیمات و شرایط مختلفی برای دستیابی به یک گواهی وجود دارند. در ادامه نگاهی به مواردی از این دست خواهیم داشت.

گام ۲) سرور جداگانه برای دریافت گواهی SSL ابزار Let’s Encrypt

ساده‌ترین راه برای دریافت یک گواهی SSL استفاده از یک گزینه سرور جداگانه در Certbot است. در فرمان زیر حتماً دقت کنید که domain-name.com را با دامین خودتان جایگزین کنید. سپس دستورالعمل‌های مربوطه را دنبال نمایید.


sudo certbot certonly --standalone --agree-tos --preferred-challenges http -d domain-name.com

گزینه certonly به این معناست که گواهی فقط به صورت «بدون نصب» در سرور وب به‌دست می‌آید. standalone نیز به شما اجازه می‌دهد که سرور خودتان را برای تأیید ورودی استفاده کنید. همچنین agree-tos به معنای قبول توافق عضویت سرور ACME است که یک پیش‌نیاز محسوب می‌شود. گزینه preferred-challenges http نیز به معنای اجرای تأییدیه با استفاده از HTTP است.

گام ۳) نصب خودکار گواهی SSL در وب‌سرور‌های nginx و آپاچی

Certbot این امکان را دارد که گواهی را به صورت اتوماتیک در وب‌سرورهای nginx و آ‌پاچی نصب کند. برای این منظور، باید یک بسته اضافی نصب کرده و یک نمونه مناسب از آن برای وب‌سرورتان انتخاب کنید.


apt install python3-certbot-nginx

apt install python3-certbot-apache

فرمان زیر را برای nginx اجرا نمایید.


sudo certbot --nginx --agree-tos --preferred-challenges http -d domain-name.com

و یا فرمان زیر برای آپاچی مورد استفاده قرار می‌گیرد.


sudo certbot --apache --agree-tos --preferred-challenges http -d domain-name.com

دستورالعمل‌ها را دنبال کنید تا Certbot برایتان یک گواهی SSL نصب کند.

گام ۴) گواهی SSL وایلدکارد Let’s Encrypt

تنها روش ممکن برای ایجاد یک گواهی وایلدکارد استفاده از DNS خواهد بود. در پارامتر d می‌بایست دامین و وایلدکارد را با هم مشخص کنید. توضیح اینکه گواهی وایلدکارد برای تمام زیردامنه‌ها قابل‌استفاده است.


sudo certbot certonly --manual --agree-tos --preferred-challenges dns -d domain-name.com -d *.domain-name.com

سپس رکورد خاص TXT را در سرور DNS قرار دهید و کار را ادامه دهید.

اگر همه‌چیز به خوبی پیش رفته باشد، مسیری را خواهید دید که گواهی جدید وایلدکارد در آن ذخیره شده است. همچنین برخی اطلاعات دیگر برایتان به نمایش درمی‌آید.