CentminMod (130.00stable): Let's Encrypt

  • Linux
  • 2025. február 15.
Tartalomjegyzék

A CentminMod egy optimalizált NGINX + PHP-FPM + MariaDB stack, amely támogatja az SSL/TLS konfigurációt, beleértve az önaláírt (self-signed) tanúsítványokat és a Let’s Encrypt integrációját.

Self-Signed SSL a CentminMod-ban

A CentminMod automatikusan generál egy self-signed tanúsítványt minden új HTTPS-engedélyezett domainhez, ha nincs érvényes SSL-tanúsítvány telepítve. Ez hasznos lehet fejlesztési vagy belső tesztelési célokra. Éles környezetben kötelező Let’s Encrypt vagy más hitelesített SSL-szolgáltató tanúsítványát használni, hogy biztosítsd a titkosított kapcsolatot és elkerüld a biztonsági figyelmeztetéseket. A CentminMod beépített Let’s Encrypt integrációja lehetővé teszi az automatikus SSL-tanúsítványok telepítését és megújítását, így biztosítva a biztonságos és zökkenőmentes HTTPS kapcsolatot.

Az integráció alapból nem aktív, az alábbiakban leírom hogyan lehet engedélyezni.

A Letsencrypt támogatás bekapcsolása

A CentminMod Nginx natív Let’s Encrypt SSL tanúsítványtámogatásának engedélyezéséhez a /etc/centminmod/custom_config.inc perzisztens konfigurációs fájlban (ha még nem létezik, létre kell hozni) be kell állítani az alábbi változót:

LETSENCRYPT_DETECT='y'

Ezt könnyen megtehetjük az alábbi paranccsal is:

echo "LETSENCRYPT_DETECT='y'" >> /etc/centminmod/custom_config.inc

Ez lehetővé teszi, hogy a CentminMod Nginx vhost létrehozási folyamatai az addons/acmetool.sh kiegészítő szkriptet használják a Let’s Encrypt által kiállított ingyenes SSL tanúsítványok beszerzésére a kívánt domainhez. Ha ezt a változót nem állítod be, akkor az Nginx vhost generálás alapértelmezés szerint önaláírt SSL-tanúsítványokat hozhat létre, amelyek nem számítanak megbízható SSL-tanúsítványnak a böngészők számára, ezért érvénytelen tanúsítványként jelennek meg. Azonban ez lehetőséget biztosít HTTPS-fejlesztési tesztek végrehajtására anélkül, hogy egy valódi, böngésző által hitelesített SSL-tanúsítványt kellene kiállítani. Ez különösen akkor hasznos, ha tesztelés során nincs szükség nyilvánosan elérhető SSL-tanúsítványra, amely bekerülne a kereshető SSL tanúsítvány-átláthatósági naplókba.

RSA és ECC kettős tanúsítvány támogatás

Ha a /etc/centminmod/custom_config.inc fájlban engedélyezed az LETSENCRYPT_DETECT=‘y’ beállítást, akkor alapértelmezés szerint RSA 2048 bites SSL tanúsítvány kerül beszerzésre. A CentminMod Nginx alapértelmezés szerint az OpenSSL 1.1.1 kriptográfiai könyvtárat használja, amely támogatja az RSA 2048 bites + ECC 256 bites ECDSA SSL tanúsítványok egyidejű használatát, ha a következő változót is beállítod:

DUALCERTS='y'

Ez lehetővé teszi, hogy a CentminMod addons/acmetool.sh szkript egyszerre szerezze be mindkét típusú tanúsítványt (RSA 2048 bit és ECC 256 bit ECDSA), és konfigurálja az Nginx vhost beállításait mindkét SSL-tanúsítvány használatára. Ha egy böngésző támogatja a gyorsabb és biztonságosabb ECC 256 bites ECDSA SSL tanúsítványokat, akkor a CentminMod Nginx ezt fogja kiszolgálni. Ha a böngésző nem támogatja ezt a típust, akkor automatikusan visszavált az alapértelmezett RSA 2048 bites SSL tanúsítványra.

Ezekkel a beállításokkal optimalizálhatod a CentminMod szervered SSL teljesítményét és kompatibilitását.

Let’s Encrypt Domain DNS Validáció

Cloudflare DNS API Validáció

A CentminMod addons/acmetool.sh szkript és az alatta működő acme.sh kliens támogatja a DNS alapú domain validációt is. Ebben az esetben a kliens automatikusan létrehoz egy DNS TXT rekordot a domain DNS-szolgáltatójának API-ján keresztül, amelyet a Let’s Encrypt leolvas, és ezzel igazolja a domain tulajdonjogát az SSL tanúsítvány kiállításához.

Jelenleg az addons/acmetool.sh szkript csak a Cloudflare DNS API-t támogatja, de a jövőben további DNS-szolgáltatók integrálása is várható. A Cloudflare DNS API használatáról részletes példát találhatsz a CentminMod hivatalos blogján és a CentminMod közösségi fórumán.

Cloudflare DNS API használata Let’s Encrypt SSL tanúsítványokhoz

Az alapértelmezett webroot URL alapú hitelesítés helyett az addons/acmetool.sh már teljes körű Cloudflare DNS API domain validációt is támogat a Let’s Encrypt SSL tanúsítványokhoz. Ez a funkció opcionálisan engedélyezhető, ha a Cloudflare API Token be van állítva a /etc/centminmod/custom_config.inc perzisztens konfigurációs fájlban.

A DNS validáció engedélyezéséhez az alábbi változókat kell hozzáadni a fájlhoz (ha nem létezik, hozd létre):

LETSENCRYPT_DETECT='y'
CF_DNSAPI_GLOBAL='y'
CF_Token="YOUR_CF_TOKEN"
CF_Account_ID="YOUR_CF_ACCOUNT_ID"

Ez a módszer ajánlott, ha a CentminMod Nginx domain Cloudflare proxyn keresztül érhető el, és a Cloudflare Full vagy Full Strict SSL módja be van kapcsolva.

Cloudflare API Token beállítása

A Cloudflare DNS API működéséhez létre kell hoznod egy Cloudflare API Tokent az alábbi jogosultságokkal:

  • Zone.Zone olvasási hozzáférés
  • Zone.DNS szerkesztési/írási hozzáférés
  • Minden zónára kiterjedő engedélyek

A Cloudflare API Token létrehozásához látogass el ide: 🔗 Cloudflare API Token kezelőfelület

A Cloudflare Account ID-t bármelyik Cloudflare domained fő irányítópultjának jobb oldali oszlopában találhatod meg.

Fontos megjegyzés

Jelenleg csak egyetlen Cloudflare fiók támogatott, így minden érintett domainnek ugyanahhoz a Cloudflare fiókhoz kell tartoznia. Ha több Cloudflare fiókot kezelsz, és rendelkezel meghívott adminisztrátori hozzáféréssel más fiókokhoz, akkor olyan CF API Tokent kell létrehoznod, amely hozzáférést biztosít az összes szükséges Cloudflare fiókhoz.

Hasonló bejegyzések

Első bejegyzés - Hugooo!

Ez az első bejegyzésem. Kiégtem a WordPress fejlesztéstől, és teljesen kiábrándultam a “blokkszerkesztőkből”. Tagadhatatlan, hogy gyorsan és egyszerűen lehet velük oldalakat építeni, mégis úgy érzem, hogy ez egy zsákutca. Szerintem a WordPress rossz irányba halad, bár open-source közösségi projektként továbbra is meghatározó szereplője a CMS-piacnak. Ha a közösség időben reagál a kihívásokra, még hosszú ideig a felszínen maradhat.

Bővebben

CentminMod telepítése AlmaLinux 9.5 alatt

A CentminMod egy automatizált telepítési és optimalizálási script CentOS és AlmaLinux rendszerekhez, amely egy LEMP stacket (Linux, Nginx, MariaDB, PHP) állít be. Célja a teljesítményoptimalizált webkiszolgálók gyors és egyszerű telepítése, fejlett cache-megoldásokkal (pl. Redis, Opcache). Főként haladó felhasználóknak és nagy teljesítményű szerverekhez ajánlott.

Bővebben