شهادة SSL التلقائية: دعونا نقوم بتشفير تكامل اللوحة
الحصول على شهادة SSL وتجديدها وإدارتها لأكثر من نطاق كلها مهام يدوية. تقوم لوحة VDS بأتمتة هذه العملية بالكامل من خلال تكامل Let's Encrypt.
HTTPS لم يعد اختياريًا. إن تصنيفات بحث Google، وتحذيرات المتصفح، ومتطلبات واجهات برمجة تطبيقات الويب الحديثة (عامل الخدمة، تحديد الموقع الجغرافي، وما إلى ذلك) للعمل جميعها جعلت شهادة SSL إلزامية. بفضل Let’s Encrypt، أصبحت شهادات SSL مجانية؛ لكن إدارتها لا تزال مهمة يدوية.
في هذه المقالة، سنفحص عملية شهادة SSL باستخدام Let’s Encrypt، والصعوبات اليدوية الشائعة، وحل اللوحة الذي يحولها إلى أتمتة كاملة.
كيف يعمل Let’s Encrypt؟
تتحقق Let’s Encrypt من ملكية النطاق الخاص بك وتمنحك شهادة SSL لمدة 90 يومًا. طرق التحقق:
- HTTP-01: يرسل Let’s Encrypt طلبًا إلى URL P0.
- DNS-01: يمكنك إضافة سجل TXT خاص إلى سجلات DNS الخاصة بك. مطلوبة لشهادات أحرف البدل (*.domain.com).
- TLS-ALPN-01: المصادقة بمصافحة TLS خاصة عبر المنفذ 443.
التثبيت اليدوي: certbot
الأداة الأكثر شيوعًا هي certbot. في أوبونتو:
ص0
يقوم Certbot بتحليل تكوين nginx الخاص بك، وإضافة كتل TLS، وكتابة الشهادة ضمن P0. تم إعادة تحميل Nginx.
للتجديد التلقائي تحتاج إلى إضافة crontab:
ص1
مشاكل العملية اليدوية
على موقع صغير لا توجد مشكلة. ولكن مع زيادة الحجم، تظهر الصعوبات:
1. إدارة النطاقات المتعددة
عند إضافة 5-10 مجالات، يصبح أمر certbot أطول. في كل مرة تقوم فيها بإضافة تكوين nginx، يتم تحديث التكوين يدويًا. إذا قمت بخطأ ما، سوف تتأثر كافة المواقع.
2. قد يفشل التحديث
تغيير DNS، خطأ في تكوين nginx، حظر المنفذ 80، أي من هذه الأمور سيؤدي إلى فشل عملية التجديد. تنتهي صلاحية الشهادة، ويتعطل الموقع، ولن تعرف ذلك حتى تنظر إلى سجل crontab.
سيناريو تعطل طبقة المقابس الآمنة (SSL) الأكثر شيوعًا: تشغيل certbot cron، وفشل التجديد (تم حظر المنفذ 80 في جدار الحماية، وما إلى ذلك)، ولكن سجل crontab موجود في مكان لا ينظر إليه أحد. يتصل العميل ويقول “الموقع لا يفتح” وقد نسي شهادة الـ 90 يومًا.
3. شهادة البدل
HTTP-01 ليس كافيًا لـ P0؛ يلزم التكامل في واجهة برمجة تطبيقات موفر DNS (Cloudflare، Route53، وما إلى ذلك). توجد مكونات إضافية لـ Certbot، لكن التكوين مهمة منفصلة.
4. التدريج مقابل الإنتاج
إذا كنت تريد شهادة لأغراض الاختبار، فيجب عليك استخدام بيئة التشغيل المرحلية الخاصة بـ Let’s Encrypt (لتجنب حدود المعدل).
5. انحراف تكوين Nginx
يقوم Certbot تلقائيًا بتغيير تكوين nginx الخاص بك. إذا قمت بتغيير شيء ما يدويًا، فقد يكون هناك تعارض. من الصعب إدخاله في التحكم في الإصدار.
أتمتة SSL مع لوحة VDS
يعمل تكامل Let’s Encrypt الخاص بـ VDS Panel على حل جميع هذه المشكلات:
إضافة نطاق
اكتب P0 في حقل “المجال الخاص” لمشروعك. قم بتوجيه سجل DNS الخاص بك إلى لوحة IP. لوحة:
- 01يتحكم في انتشار DNSينتظر Max 5 دقائق، ويتحقق من أن السجل A يشير إلى عنوان IP الصحيح.
- 02يكتب التكوين Nginxيتم إنشاء تكوين HTTP مؤقت فقط ويصبح مسار الاختبار قابلاً للوصول.
- 03يقوم certbot بإجراء تحدي HTTP-01 باستخدام Let's Encryptيتم التحقق من ملكية النطاق والحصول على الشهادة.
- 04يقوم Nginx بتحديث التكوين باستخدام كتلة SSLمنفذ 443 نشط، وتم إنشاء إعادة توجيه 80 → 443.
- 05يضيف رؤوس الأمان HSTS+أمن النقل الصارم، TLS 1.3 الإلزامي، مجموعة التشفير الحديثة.
- 06إعادة تحميل نجينكسالانتقال السلس إلى التكوين الجديد، لا تنقطع الاتصالات الموجودة.
التجديد التلقائي
الندوة كل ليلة الساعة 03:00:
- يقوم بمسح جميع الشهادات
- يتم تجديد المشغلات للشهادات المتبقية لمدة 30 يومًا أو أقل
- إعادة تحميل Nginx لأولئك الناجحين
- التسجيل في سجل الأحداث + تحذير المشرف للأحداث غير الناجحة
ويعمل دون أي تدخل منك. ليست هناك إمكانية للنسيان.
دعم البدل
إذا كنت تستخدم Cloudflare أو Route53 أو DigitalOcean DNS، فيمكنك الحصول على شهادة بدل عن طريق إدخال مفتاح API في إعدادات اللوحة. شهادة واحدة لـ P0، صالحة لجميع النطاقات الفرعية.
لوحة تحكم SSL
في علامة التبويب “SSL” باللوحة، يتم إدراج حالة جميع الشهادات: النطاق، والأيام المتبقية، وحالة التجديد التلقائي، وتاريخ التجديد الأخير. ستلاحظ على الفور عندما تتحول الشهادة إلى اللون الأحمر.
عندما يأتي طلب إلى نطاق فرعي غير معروف، تقدم اللوحة شهادة افتراضية موقعة ذاتيًا. بحيث لا يؤدي تكوين DNS غير الصحيح إلى تعطل nginx؛ يتم استقبال طلبات HTTPS برقم 404.
حماية الانجراف التكوين Nginx
تقوم اللوحة بإعادة إنشاء تكوين nginx وفقًا للقالب الخاص بها. يتم تخزين كافة التكوينات في لوحة قاعدة البيانات، والتي تم إصدارها مثل git.
طبقات إضافية من الأمان
لا تدير اللوحة طبقة المقابس الآمنة (SSL) فحسب، بل تدير أيضًا جميع موضوعات الأمان ذات الصلة:
- HSTS: ص0
- TLS 1.2+: إيقاف TLS 1.0/1.1 القديم
- مجموعة التشفير الحديثة: ملف تعريف Mozilla Intermediate
- تدبيس OCSP: نشط تلقائيًا
- نقاط SSL Labs: التكوين الافتراضي الذي يستهدف A+
خاتمة
لا ينبغي أن تكون إدارة شهادات SSL مهمة يدوية في عام 2026. عندما تجتمع شهادات Let’s Encrypt المجانية مع أتمتة واجهة اللوحة معًا، تصبح “HTTPS” الآن ميزة لا يمكن النقر عليها وتمريرها إلا باستخدام مربع.
لمزيد من المعلومات حول أتمتة SSL الخاصة بـ VDS Panel وطبقات الأمان العامة، يمكنك مراجعة قسم الأمان أو اطلب عرضًا توضيحيًا.
قد ترغب أيضا في هذه
تقوية الخادم: الحماية ضد الهجمات باستخدام Fail2Ban وUFW وPentest
دليل أمان شامل يشرح استخدام Fail2Ban، وجدار الحماية UFW، وتقوية SSH، وتحديد المعدل، والماسح الضوئي المدمج لتأمين VPS الخاص بك.
ابدأ القراءةاستراتيجية النسخ الاحتياطي VPS والتعافي من الكوارث: القاعدة 3-2-1
كيف تحمي خادمك في سيناريوهات الكوارث؟ النسخ الاحتياطي المشفر التلقائي، وقاعدة النسخ الاحتياطي 3-2-1، وعمليات الاختبار والاستعادة، وأهداف RTO وRPO.
ابدأ القراءةهل ترغب في تجربتها على الخادم الخاص بك؟
اتصل بنا عبر نموذج الاتصال ودعنا نجهز ترخيصًا + خطة تثبيت مناسبة لسيناريو الاستخدام الخاص بك.