LogoENEnglish

جایگزینی خودکار گواهینامه SSL در cPanel & WHM

این مقاله توضیح می‌دهد که cPanel & WHM چگونه گواهینامه‌های SSL ضعیف، منقضی‌شونده، نامعتبر یا سلف‌ساین را به‌صورت خودکار با گواهینامه رایگان Let’s Encrypt جایگزین می‌کند. همچنین شرایط جایگزینی، روند خودکار، مثال‌ها، نحوه غیرفعال‌سازی، مدیریت گواهینامه‌ها و رفع مشکلات رایج مانند CAA و نبود FQDN را بررسی می‌کند.

Automatic SSL replacementLet’s Encrypt cPanel

~5 دقیقه مطالعه • بروزرسانی ۲۸ بهمن ۱۴۰۴

1. مقدمه


گواهینامه SSL امنیت و رمزنگاری ارتباط بین مرورگر و سرور را فراهم می‌کند. بسیاری از مرورگرها دسترسی به سایت‌هایی که SSL معتبر ندارند را مسدود می‌کنند.


سرورهایی که لایسنس معتبر cPanel & WHM دارند، به‌صورت خودکار یک گواهینامه رایگان Let’s Encrypt برای hostname و سرویس‌های مرتبط دریافت می‌کنند.


هشدار: اگر شریک تجاری cPanel این قابلیت را در Manage2 غیرفعال کرده باشد، سرور گواهینامه رایگان دریافت نخواهد کرد.


2. شرایط جایگزینی خودکار SSL


cPanel & WHM گواهینامه‌های hostname یا سرویس‌ها را در شرایط زیر به‌صورت خودکار جایگزین می‌کند:

  • استفاده از الگوریتم امضای ضعیف.
  • گواهینامه لغو شده (Revoked).
  • گواهینامه Self-Signed.
  • گواهینامه نامعتبر (مثلاً hostname به IP اصلی سرور resolve نشود).
  • در حال انقضا:
    • گواهینامه Let’s Encrypt با کمتر از 25 روز تا انقضا.
    • گواهینامه سایر CAها با کمتر از 3 روز تا انقضا.

3. روند جایگزینی خودکار


وقتی گواهینامه شرایط جایگزینی را داشته باشد، سرور هنگام اجرای اسکریپت /usr/local/cpanel/scripts/upcp یک گواهینامه جدید سفارش می‌دهد.


پس از صدور گواهینامه توسط Let’s Encrypt، سیستم آن را دانلود و نصب می‌کند.


اگر گواهینامه قبل از دریافت جایگزین منقضی شود، سیستم یک گواهینامه Self-Signed موقت نصب می‌کند و بعد از دریافت گواهینامه Let’s Encrypt آن را جایگزین می‌کند.


هشدار: این فرایند فقط زمانی انجام می‌شود که ارائه‌دهنده هاست آن را غیرفعال نکرده باشد.


4. مثال‌های جایگزینی


مثال ۱: سرویس Dovecot

اگر گواهینامه Let’s Encrypt سرویس Dovecot کمتر از 25 روز تا انقضا داشته باشد،
سیستم یک گواهینامه جدید سفارش می‌دهد و پس از دریافت، جایگزین می‌کند.

مثال ۲: سرویس FTP

اگر گواهینامه سرویس FTP توسط CA دیگری صادر شده باشد و کمتر از 3 روز تا انقضا داشته باشد،
سیستم یک گواهینامه Let’s Encrypt سفارش می‌دهد.

اگر گواهینامه CA قبل از دریافت جایگزین منقضی شود، سیستم یک گواهینامه Self-Signed نصب می‌کند
و پس از دریافت گواهینامه Let’s Encrypt آن را جایگزین می‌کند.

5. غیرفعال‌سازی جایگزینی خودکار SSL


با ایجاد فایل‌های زیر می‌توانید بخش‌های مختلف این قابلیت را غیرفعال کنید:

فایلاثر
/var/cpanel/ssl/disable_auto_hostname_certificate جایگزینی خودکار گواهینامه hostname غیرفعال می‌شود.
/var/cpanel/ssl/disable_service_certificate_management جایگزینی گواهینامه سرویس‌ها و اعلان‌های انقضا غیرفعال می‌شود.

6. مدیریت گواهینامه‌ها


می‌توانید گواهینامه رایگان

سرورهایی که تازه نصب شده‌اند و hostname آن‌ها یک دامنه کامل (FQDN) نیست، به‌صورت خودکار یک hostname معتبر از شرکت WebPros International دریافت می‌کنند. این hostname یک زیر دامنه از cprapid.com خواهد بود.


2. چرا به hostname صادرشده خودکار نیاز دارید؟


داشتن یک hostname معتبر و قابل resolve برای دریافت گواهینامه رایگان Let’s Encrypt ضروری است.


گواهینامه SSL امنیت و رمزنگاری ارتباط بین مرورگر و سرور را فراهم می‌کند. بسیاری از مرورگرها دسترسی به سایت‌هایی که SSL معتبر ندارند را مسدود می‌کنند.


cPanel & WHM بلافاصله پس از نصب تلاش می‌کند سرور را با SSL ایمن کند:

  • ابتدا یک گواهینامه Self-Signed نصب می‌کند.
  • سپس یک گواهینامه رایگان Let’s Encrypt برای hostname درخواست می‌دهد.

اگر hostname یک FQDN معتبر نباشد یا DNS آن تنظیم نشده باشد، Let’s Encrypt نمی‌تواند گواهینامه صادر کند و سرور فقط از Self-Signed استفاده می‌کند. این باعث نمایش هشدار امنیتی هنگام ورود به WHM، cPanel و Webmail می‌شود.


برای جلوگیری از این مشکل، cPanel یک hostname معتبر و قابل resolve به‌صورت خودکار صادر می‌کند.


3. محدودیت‌های hostname صادرشده خودکار


  • hostname فقط زیر دامنه‌ای از cprapid.com است و به IP اصلی سرور اشاره می‌کند.
  • نمی‌توانید این زیر دامنه را مدیریت یا به سرور دیگری منتقل کنید.
  • برای ساخت nameserverهای اختصاصی، باید hostname را به دامنه‌ای که مالک آن هستید تغییر دهید.
  • nameserverهای ساخته‌شده روی دامنه cprapid.com به‌طور کامل کار نمی‌کنند.
  • اگر ارائه‌دهنده هاست hostname را با اسکریپت اختصاصی تنظیم کند، فقط در صورتی پذیرفته می‌شود که FQDN باشد و به IP سرور resolve شود.
  • اگر شریک تجاری cPanel صدور گواهینامه رایگان را غیرفعال کند، سرور فقط از Self-Signed استفاده می‌کند.

یادآوری: اگر hostname فقط Self-Signed باشد، هنگام ورود هشدار امنیتی نمایش داده می‌شود.


4. جایگزینی hostname صادرشده خودکار


بهتر است hostname خودکار را با دامنه‌ای که مالک آن هستید جایگزین کنید. این کار باعث:

  • افزایش اعتبار برند
  • امکان ساخت nameserverهای اختصاصی
  • کنترل کامل DNS

برای تغییر hostname از مسیر زیر استفاده کنید:

WHM » Home » Networking Setup » Change Hostname

5. جایگزینی گواهینامه hostname


وقتی hostname تغییر کند، Let’s Encrypt به‌صورت خودکار یک گواهینامه جدید صادر می‌کند.


نکته: اگر می‌خواهید از گواهینامه تجاری استفاده کنید (برای جلوگیری از محدودیت‌های Let’s Encrypt)، می‌توانید از مسیر زیر گواهینامه جدید خریداری و نصب کنید:

WHM » Home » SSL/TLS » Purchase and Install an SSL Certificate

نتیجه‌گیری


Hostnameهای صادرشده خودکار یک راه‌حل سریع برای جلوگیری از هشدارهای امنیتی و فعال‌سازی SSL هستند. با این حال، برای مدیریت حرفه‌ای‌تر سرور و ساخت nameserverهای اختصاصی، بهتر است hostname را با دامنه‌ای که مالک آن هستید جایگزین کنید.


نوشته و پژوهش شده توسط دکتر شاهین صیامی

Next Article