Let's Encrypt - bepul SSL sertifikati: uni qanday olish kerak, o'rnatish, sozlash va yangilash bo'yicha ko'rsatmalar. Let's Encrypt loyihasi haqida bepul SSL sertifikatlari

ISPmanager boshqaruv panelidan endi bepul Let’s Encrypt SSL sertifikatini o‘rnatishingiz mumkin.

Bu domen nomini tekshirgandan so'ng beriladigan bepul SSL sertifikati (DV - domenni tekshirish). Uning o'ziga xosligi shundaki, sertifikat har 3 oyda qo'lda yangilanishi kerak. Ammo ISPsystem ISPmanager boshqaruv paneli uchun alohida modul yaratdi, u sertifikatning amal qilish muddati tugashidan 7 kun oldin uni avtomatik ravishda yangilaydi.

Sertifikat 6 bosqichda o'rnatiladi

1. ISPmanager paneliga root foydalanuvchi sifatida kiring.

2. Integratsiya –> Modullar bo‘limida Let’s Encrypt Encrypt plaginini o‘rnating.

3. Veb-server sozlamalari -> SSL sertifikatlari bo'limida Shifrlaymiz-ni tanlang.

4. Sertifikatni o'rnatmoqchi bo'lgan foydalanuvchi va domenni tanlab, shakl maydonlarini to'ldiring. E'tibor bering, domen veb-sayt ochishi kerak, aks holda domen tekshiruvdan o'tmaydi va sertifikat berilmaydi.

5. "Ok" tugmasini bosgandan so'ng saytda o'z-o'zidan imzolangan sertifikat o'rnatiladi. Domenni tekshirish jarayoni tugallangandan so'ng, turi "Mavjud" ga o'zgaradi.

6. Bajarildi. Domeningizga o'ting, uning chap tomonida yashil qulf paydo bo'ladi, ya'ni ulanish xavfsiz.

Tez-tez beriladigan savollarga javoblar

Let's Encrypt faqat veb-saytlar uchun mos keladi
U pochta yoki kodni himoya qilish uchun ishlatilmaydi

Sertifikatlar qo'llab-quvvatlash milliy belgilar domenlari (IDN)
Sertifikat har qanday domenlar, shu jumladan milliy domenlar uchun ham beriladi. Sertifikat.rf zonasidagi domenlar uchun berilishi mumkin.

Faqat domen egaligi tekshiriladi
Tashkiliy audit va kengaytirilgan audit (OV va EV) rejalashtirilmagan.

Sertifikat bir necha daqiqada beriladi
Agar domen vakolat berilgan bo'lsa, ya'ni. sayt domenda ochiladi, keyin hiqichoq bo'lmasligi kerak.

Sertifikat abadiy amal qiladi
Panel avtomatik ravishda sertifikatni yangilaydi. Bu sizda panel mavjud ekan, sertifikat amal qiladi degan ma'noni anglatadi.

Brauzerlar tomonidan ishonchli deb topildi
Sertifikat ko'pgina zamonaviy brauzerlar tomonidan qo'llab-quvvatlanadi. To'liq ro'yxat rasmiy Let’s Encrypt qo‘llab-quvvatlash forumidagi brauzerlar.

Subdomenlar qo'llab-quvvatlanmaydi
Agar sizga subdomenlar uchun sertifikatlar kerak bo'lsa, har bir subdomen uchun alohida sertifikat bering.

Avtomatlashtirish faqat bitta domen uchun qo'llab-quvvatlanadi
Bitta sertifikat 100 tagacha domenni qo'llab-quvvatlaydi, biroq avtomatlashtirish jarayoni bir sertifikatdan bir nechta domenlar uchun foydalanishga ruxsat bermaydi. Bitta domen uchun alohida sertifikat bering yoki ko'p domenli qo'llab-quvvatlanadigan pullik sertifikatlardan birini buyurtma qiling.

Dmitriy, xayrli kech! Iltimos aytolmaysizmi. Men bir necha kundan beri Lets encrypt sertifikati bilan muammoni hal qilmoqchiman. Hosting.energy saytida dommeb.com.ua saytini yaratishda men ISP panelidan bepul Lets encrypt dasturini uladim. Bir necha kun davomida hamma narsa yaxshi edi, men A+ da ssllabs.com/ssltest/analyze.html SSL testlaridan o'tdim. Men standart brauzer va Maxton yordamida mobil telefondan Android 2.3.6 ga yuklab olishga harakat qildim - faqat sertifikatning ishonchsizligi haqida ogohlantirishlar paydo bo'ldi, keyin Davom etish tugmasini bosing va saytga kirish mumkin edi.

Bir hafta oldin men mobil telefondan yuklab olish va qayta yo'naltirishlarni sinab ko'rishda (men hostingdagi domen sozlamalarida http-https dan qayta yo'naltirishni o'rnatdim) url:443 (SSL portining nomi) qo'shilganini payqadim. Va yuklashda saytga kirish imkoni yo'q (xato xabari).

Men hostingga yozdim va muammo bir necha kun ichida hal qilindi. Ular "Biz qayta yo'naltirishlar bo'yicha Nginx konfiguratsiyasini tuzatdik, konfiguratsiyalarda xatolik (ehtimol boshqaruv paneli tufayli) paydo bo'ldi va ikkita qayta yo'naltirish bor edi" deb yozishdi.

:443 endi mobil qurilmadan va qayta yo'naltirish uchun sinov paytida qo'shilmadi.
Ammo sayt hali ham yuklanmadi, chunki bu ikki marta yo'naltirishlar paydo bo'lishi bilan: 443 (Android 2.3.6 da xato, yuklashda saytga kirish imkoni yo'q).

Men ssl testini ko‘rdim, A+ natijasi ham bor, lekin “Qo‘l siqish simulyatsiyasi” bo‘limida xatolik paydo bo‘ldi SNI 2Android 2.3.7 Yo‘q SNI 2 Server halokatli ogohlantirish yubordi: handshake_failure

Ushbu xatoni Googleda topdi:
Bu erda ular bu xato va yechim haqida yozadilar talk.plesk.com/threads/https-websites-not-loading-in-ie.338346/ Men barcha ma'lumotlarni hosting qo'llab-quvvatlashiga yubordim.

Men bir necha kun davomida hosting bilan xat yozdim, ular hosting sozlamalari konfiguratsiyasida hech narsani o'zgartirmaganliklarini aytishdi, ular standart Lets Encrypt sertifikat plaginidan foydalanishadi. Va ular LetsEncryt ning SSL eski platformalarda ishlashiga kafolat bermaydi. Ular oyiga 1,5 dollarga maxsus IP taklif qilishdi.
Garchi bir necha kun oldin hamma narsa ishlagan bo'lsa-da va ikkala saytda ham o'zgarishlar bo'lmagan (men brauzerlardagi barcha ma'lumotlarni o'chirib tashladim). Va hosting saytining o'zi (shuningdek, ushbu sertifikatda u mobil telefondan normal yuklanadi va hatto ogohlantirishsiz)

Umumiy hostingdagi veb-saytlar, maxsus IPsiz. Men Opencart-da Lets encrypt sertifikati bilan bitta sayt yaratdim, hammasi yaxshi edi. WordPress-dagi ikkinchi test - android 2.3.6 bilan ham hamma narsa yaxshi edi. Uchinchi saytni (WordPress) http dan https ga o'tmoqchi edim va birinchi ikkitasi Android 2.3.6 da normal yuklanmadi...
Men barcha foydalanuvchilarning saytga normal kirishini xohlayman (hech bo'lmaganda Android 2.3.6 kabi eski platformalarda faqat e'tibor bermaslik mumkin bo'lgan ogohlantirish mavjud)
Iltimos, ayting-chi, ehtimol nima sabab bo'lishi mumkinligini bilasizmi?

Men Comodo namecheap.com/security/ssl-certificates/comodo/positivessl.aspx saytidagi yaxshi sertifikat kabi pullik sertifikatlarni ko'rib chiqishga qaror qildim.
lekin men sizning maqolangizda buni platformada o'qidim Android sertifikati Comodo ishonchsiz edi. Bu bilan biroz chalkash

Internet rivojlanishining eng boshida sayt va foydalanuvchi kompyuteri o'rtasidagi barcha ma'lumotlar HTTP protokoli orqali shifrlanmagan holda ochiq uzatilgan, ya'ni server va kompyuter o'rtasida joylashgan har qanday foydalanuvchi ushbu ma'lumotlarni o'qishi yoki hatto o'zgartirishi mumkin edi. bu. Hozir ham ko'plab saytlar ushbu sxema bo'yicha ishlaydi. Ammo bizning dunyomizda u xavfsiz emas, shuning uchun u ishlab chiqilgan HTTPS protokoli, bu sizga qurilmalar o'rtasida uzatish uchun ma'lumotlarni shifrlash imkonini beradi.

Ushbu protokol ma'lumotlarni shifrlash uchun SSL sertifikatlaridan foydalanadi. Endi HTTPS katta mashhurlikka erishmoqda, Google kabi kompaniyalar tobora ko'proq Internet-saytlarni o'z ma'lumotlarini himoya qilish va xavfsizroq ulanishni ta'minlash uchun SSL-dan foydalanishga majburlamoqda. Boshqa tomondan, Lets Encrypt xizmati paydo bo'ldi, bu har bir kishiga SSL sertifikatini mutlaqo bepul olish imkonini beradi. Ushbu maqolada Lets Encrypt-dan Apache ssl sertifikatini qanday o'rnatishni ko'rib chiqamiz.

Apache'da Lets Encrypt SSL sertifikatini o'rnatish

Sizda allaqachon Apache o'rnatilgan va http protokoli orqali ishlash uchun sozlangan deb taxmin qilaman. Agar bunday bo'lmasa, maqolani ko'rib chiqing. Veb-serverning o'zini sozlashga o'tishdan oldin biz SSL sertifikatini olishimiz kerak va buning uchun tizimga xizmat mijozini o'rnatishimiz kerak.

1-qadam: Lets Encrypt mijozini o'rnating

Lets Encrypt mijozini rasmiy omborlardan o‘rnatamiz. Lets Encrypt-ning rasmiy mijozi certbot deb ataladi; Ubuntu 16.04 omborlarida soddalashtirilgan versiya - Letsencrypt mavjud. Biz uning funksionalligidan to'liq qoniqdik. O'rnatish uchun buyruqlarni bajaring:

sudo apt yangilanishi
$ sudo apt o'rnatish python-letsencrypt-apache

Shundan so'ng, mijoz foydalanishga tayyor bo'ladi.

2-qadam: Apache-ni sozlash

Agar Apache http orqali ishlash uchun sozlangan bo'lsa, ssl apache boshqa borishdan oldin sozlanishi kerak. Biz ssl modulini faollashtirishimiz va sukut bo'yicha ssl-ni yoqishimiz kerak.

Modulni faollashtirish uchun quyidagilarni kiriting:

sudo a2enmod ssl

Sukut bo'yicha SSL dan foydalanish uchun konfiguratsiya faylini qo'shing:

sudo a2ensite default-ssl.conf

O'zgarishlarni qo'llash uchun veb-serverni qayta ishga tushirish qoladi:

sudo systemctl apache2 ni qayta ishga tushiring

Qadam 3. SSL sertifikatini olish

Lets Encrypt mijozi yordamida SSL sertifikatini o'rnatish juda oddiy. Mijoz avtomatik ravishda domeningiz uchun yangi sertifikat soʻraydi va oʻrnatadi.

Bitta domen uchun sertifikat olish uchun ushbu domenni buyruq parametrlarida o'tkazing:

sudo letsencrypt --apache -d example.com

Agar sertifikatni bir nechta domenlar yoki subdomenlar uchun amal qilish kerak bo'lsa, ularni qo'shimcha parametrlarga o'tkazishingiz mumkin. Birinchi domen nomi asosiy bo'ladi, shuning uchun birinchi navbatda yuqori darajadagi domenni, keyin esa pastki domenlarni o'tkazish tavsiya etiladi:

sudo letsencrypt --apache -d example.com -d www.example.com

Keyin qabul qiling litsenziya shartnomasi Keling, shifrlaymiz:

Yordamchi dasturning o'zi Apache veb-serverini sozlaydi, siz faqat http-trafikga ruxsat berishni yoki darhol hamma narsani https-ga yo'naltirishni tanlashingiz kerak. Barcha kiruvchi trafikni https-ga yo'naltirish xavfsizroq va to'g'riroq.

Qachon SSL o'rnatish Apache ubuntu sertifikati tugallanadi, siz yaratilgan sertifikat fayllarini /etc/letsencrypt/live papkasida topasiz. Ushbu papkada to'rtta fayl bo'ladi:

• cert.pem- domeningiz sertifikati;
• zanjir.pem- Keling, zanjir sertifikatini shifrlaymiz;
• fullchain.pem- cert.pem va chain.pem birga;
• privkey.pem- sertifikatingizning shaxsiy kaliti.

Endi siz https orqali saytga kirishingiz mumkin. SSL qanday ishlashini va SSL sertifikati saytda to'g'ri o'rnatilganligini tekshirish uchun brauzeringizda quyidagi havolani ochishingiz mumkin:

https://www.ssllabs.com/ssltest/analyze.html?d=example.com&latest

Qadam 4. Sertifikatni avtomatik yangilash

Apache ssl sozlamalari tugallandi. Ammo bitta kamchilik bor: Lets Encrypt-dan olingan barcha sertifikatlar faqat 90 kun davomida amal qiladi va amal qilish muddatini har 60 kunda yangilash tavsiya etiladi. Letsecnrypt mijozida tekshirish imkonini beruvchi yangilash buyrug'i mavjud o'rnatilgan sertifikatlar va agar amal qilish muddati tugashiga 30 kundan kamroq vaqt qolgan bo'lsa, ularni yangilang.

Barcha sozlangan domenlar uchun yangilanish jarayonini boshlash uchun quyidagilarni bajaring:

sudo letsencrypt yangilanadi

Agar sertifikat yaqinda berilgan bo'lsa, buyruq uning amal qilish muddatini tekshiradi va yangilash hali talab qilinmaganligi haqida xabarni ko'rsatadi. Agar siz bir nechta domenlar uchun sertifikat yaratgan bo'lsangiz, chiqishda faqat asosiy domen ko'rsatiladi. Ammo yangilanish hamma uchun tegishli bo'ladi.

Ushbu jarayonni avtomatlashtirishning eng oson yo'li makkajo'xori rejalashtiruvchisiga yordamchi qo'ng'iroqni qo'shishdir. Buning uchun buyruqni bajaring:

Keyin, ochilgan holda matn muharriri qatorni qo'shing va o'zgarishlarni saqlang:

30 2 * * 1 /usr/bin/letsencrypt yangilash >> /var/log/le-renew.log

Shunday qilib, biz yangilash buyrug'ini har dushanba kuni soat 2:30 da bajaradigan vazifa yaratdik. Bajarish natijasi haqidagi ma'lumotlar /var/log/le-renewal.log faylida saqlanadi.

xulosalar

Ushbu maqolada biz Apache Lets Encrypt SSL sertifikatini qanday o'rnatishni ko'rib chiqdik. Bu sizning saytingizni MITM hujumlaridan, tinglash va trafikni o'zgartirishdan himoya qilishga yordam beradi va https-ga o'tishni rag'batlantiradigan tendentsiyalar trafik o'sishiga ijobiy ta'sir ko'rsatishi mumkin.

Maqolada biz bepul Let's Encrypt-ning afzalliklari va kamchiliklarini ko'rib chiqamiz, u kimga mos keladi, uni Plesk 12.5 paneli bilan veb-saytga qanday olish va o'rnatish kerak.

Keling, shifrlaymiz- ochiq CA (sertifikat organi) bilan bepul, avtomatlashtirilgan loyiha.

ASOSIY AVZUVLARI

DASTURIY TA'MINOTNI JOYIB OLISH

SSL SERTIFIKATINI O'RNATISH SHIFRLASH (KO'RSATMALAR)

Kerakli variantlarni tanlang va "O'rnatish" tugmasini bosgandan so'ng, o'rnatish bir daqiqadan kamroq vaqt ichida amalga oshiriladi.

Ushbu sertifikat 90 kundan ortiq bo'lmagan muddatga mo'ljallanganligi sababli, Asboblar va Sozlamalar - Vazifalarni rejalashtiruvchi bo'limidagi splash panelida tegishli cron vazifasi yaratilgan.

Shuni ta'kidlash kerakki, sertifikat yaratishda ba'zi cheklovlar mavjud:

• takroriy sertifikatlar - haftasiga 5 tadan ko'p bo'lmagan;
• sertifikat yaratishga urinishlar soni soatiga 5 martadan ko'p emas.

KELINGLAR SHIFRLASHNING KAMCHILIKLARI HAQIDA

1. Bepul Let's Encrypt sertifikati qisqa muddatli boʻlib, 90 kundan ortiq boʻlmagan muddatga moʻljallangan, toʻlanganidan farqli oʻlaroq, 3 yilgacha boʻlgan muddatga beriladi.Siz, albatta, sertifikatni har 3 oyda qayta rasmiylashtirishingiz mumkin, lekin belgilangan muddatlarni kuzatib boring.Sertifikat uch xil usulda qayta chiqarilishi mumkin: qo‘lda, cron vazifa rejalashtiruvchisini sozlash orqali yoki avtomatik.

   Agar siz qo'lda yangilash usulini tanlagan bo'lsangiz, keyin belgilangan muddatlarga qat'iy rioya qiling va sertifikatni o'z vaqtida qayta rasmiylashtiring. Aks holda, siz norozi sayt foydalanuvchilari oqimini va ularning keyingi ishdan chiqishini xavf ostiga qo'yasiz.

   cron vazifa rejalashtiruvchisi- bu sozlash usuli avtomatik yangilash. Usul Linux boshqaruvi ko'nikmalariga ega bo'lganlar va kronlar bilan qanday ishlashni biladiganlar uchun yaxshi. Shuningdek, tojning ishlashida sertifikatni qayta rasmiylashtirishga xalaqit beradigan xatolar bo'lishi mumkinligini hisobga olish kerak. Xulosa: siz hali ham yangilanishni kuzatishingiz kerak bo'ladi.

   Avtomatik yangilash. Bu usul siz qabul qilishingizni nazarda tutadi avtomatik sozlash Sertifikatlashtirish markazi tomonidan taqdim etiladi. Va bu erda siz CA serveringizning dasturiy ta'minoti va sozlamalariga o'z xohishiga ko'ra o'zgartirishlar kiritishiga rozi ekanligingizni tushunishingiz kerak.

2. Barcha domenlarni bepul Let's Encrypt bilan himoyalab bo'lmaydi.Ushbu sertifikat faqat bitta domenni kompaniya tekshiruvisiz himoya qilish uchun mo'ljallangan, DV SSL (Domain Validation).

   Shunday qilib, Let's Encrypt yordamida siz quyidagi turdagi sertifikatlarni yarata olmaysiz:

   - WildCard sertifikati ma'lum bir domenning subdomenlarini himoya qilish;
   - OV SSL (tashkilotni tekshirish) sertifikatlari, bu nafaqat domenni, balki kompaniyani ham tekshirishni o'z ichiga oladi;
   - EV SSL (kengaytirilgan tekshirish) sertifikatlari. Maksimal himoya darajasi va yashil brauzer manzil satriga ega sertifikat;
   - Ko'p domen sertifikati UCC turi;



3. Muhim nuqta- Let'sEncrypt-dan foydalanish uchun moliyaviy kafolatlar yo'q.Agar bepul sertifikat to'satdan buzilgan bo'lsa, u holda pul kompensatsiyasi uni sizga hech kim bermaydi.

XULOSA

Va agar sizga bitta domen uchun oddiy sertifikat kerak bo'lsa, sizda tegishli ma'muriy ko'nikmalar mavjud bo'lsa va agar kompaniyani tasdiqlash (OV-tashkilotni tekshirish) yoki yashil manzil satri va sertifikatda kompaniya nomi bilan SSL kerak bo'lmasa, unda ushbu sertifikat foydalanish mumkin.

Biroq, biz tavsiya qilamiz yirik kompaniyalar, onlayn-do'konlar, banklar va boshqa elektron tijorat loyihalari, masalan, GlobalSign, Comodo kabi taniqli sertifikatlashtirish idoralaridan tijorat loyihalarini o'rnatadi.
Shunday qilib, siz foydalanuvchilarning ishonchini qozonasiz va mijozlar ma'lumotlari xavfsizligi haqida qayg'uradigan jiddiy kompaniya ekanligingizni ko'rsatasiz.

• Ulashish:

Loyiha birinchi navbatda Internet xavfsizligini ta'minlash, shuningdek, oddiy veb-ishlab chiquvchilarning hayotini osonlashtirish uchun mo'ljallangan (shaxsiy kalitlarni yaratish, CSR, domen huquqlarini tasdiqlash, veb-serverni sozlash va hokazolar bilan bu shov-shuvni kamaytiring). Bundan tashqari, SSL sertifikatlari , Let's Encrypt tomonidan chiqarilgan, butunlay bepul. Ular haqida haqiqatan ham bitta narsa bor, ular asosiy va amal qilish muddati 3 oy bilan cheklangan (lekin bu umuman muammo emas, chunki yangilanish avtomatik ravishda sozlanishi mumkin).

Men darhol aytamanki, men o'z blogimda Let's Encrypt sertifikatini o'rnatdim.

Ta'kidlash joizki, loyiha hozirda beta-testda, shuning uchun ularning skriptlari ishlashida xatolar yuzaga kelishi mumkin.

Xizmat bilan ishlashning butun jarayoni letsencrypt python skripti yordamida amalga oshiriladi.Ayni paytda barcha Linux distribyutorlarida letsencrypt paketlari mavjud emas, shuning uchun rasmiy hujjatlarda uni avval github’dan git repositoriyasini klonlash orqali o‘rnatish tavsiya etiladi.

$ git klon https://github.com/letsencrypt/letsencrypt $ cd letsencrypt $ ./letsencrypt-auto --help

letsencrypt-avto Bu atrofdagi o'rash skriptidir letsencrypt , bu joylashtirish jarayonini avtomatlashtiradi. Oddiy qilib aytganda, skript barcha kerakli bog'liqliklarni yuklab oladi, virtualenv-dan foydalangan holda Python uchun alohida virtual muhit yaratadi, tizim python-ni to'sib qo'ymasdan unga kerakli python modullarini o'rnatadi. Shuni ta'kidlash kerakki, skript to'g'ri ishlashi uchun tizim kataloglariga (sudo) yozish uchun ruxsat kerak.

Skript xavfsizlik sertifikatlarini o'rnatishni iloji boricha soddalashtirish uchun yaratilganligi sababli, u plagin tizimini qo'llab-quvvatlaydi. Masalan, standart paket Apache (to'liq ishlaydigan) va nginx (hozircha faqat tajriba bosqichida) bilan ishlash uchun plaginni o'z ichiga oladi.

Apache uchun SSL sertifikati o'rnatilmoqda

Mening blogim LAMP da ishlaydi, ya'ni. Linux, Apache, MySQL va PHP. Let's Encrypt ishlab chiquvchilari Apache uchun sertifikatni “osonroq bo‘lishi mumkin emas” darajasiga o‘rnatish uchun qo‘llaridan kelgancha harakat qilishdi. Butun jarayon quyidagi bosqichlarga borib taqaladi:

$ ./letsencrypt-auto --apache -d mydomain.com

Ushbu buyruqni kiritgandan so'ng, bir nechta ma'lumotlarni, shu jumladan, to'ldirishingiz kerak bo'lgan oyna paydo bo'ladi elektron manzil egasi. Qolganini skript siz uchun qiladi:

• Domen egaligini tekshiring
• 90 kunlik muddatga kerakli sertifikat beradi
• Apache veb-server uchun barcha kerakli sozlamalarni amalga oshiradi

Bu barcha manipulyatsiyalardan so'ng, men qilishim kerak bo'lgan yagona narsa http dan https ga 301 yo'naltirishni (Doimiy ko'chirildi) o'rnatish va veb-serverni qayta ishga tushirish edi.

ServerName saytini doimiy ravishda yo'naltirish / https://site/

Nginx-ni o'rnatishda ishlar yomonroq, birinchi navbatda, bu plagin hali letsencrypt-auto bilan birga ishlamaydi. Agar nginx uchun SSL sertifikatlarini sozlash zarurati tug'ilsa (va, albatta, nginx eng mashhur veb-serverlardan biri), men buni qo'lda qilishni tavsiya qilaman. Qanday qilib haqida quyida o'qing.

Boshqa veb-serverlar uchun SSL sertifikatlarini sozlash

Apache bilan ishlash uchun plaginga qo'shimcha ravishda, letsencrypt boshqa qatorlarni o'z ichiga oladi, xususan:

• mustaqil
• webroot
• qo'llanma
• nginx

Mustaqil

Mustaqillikning mohiyati shundan iboratki, skript sertifikat olish jarayonida (domen egaligini tasdiqlash uchun) o'z veb-serverini ko'tarishga harakat qiladi va buning uchun bo'shatish uchun allaqachon ishlayotganini o'chirib qo'yish kerak bo'ladi. portlar 80 va 443. Ko'pchilik veb-ishlab chiquvchilar uchun bu imkoniyat saytni yopish zarurati tufayli noqulay.

$ ./letsencrypt-auto certonly --standalone -d mydomain.com

Webroot

Ushbu parametr mustaqillikdan qoniqmaganlar uchun javob beradi. --webroot kalitini ko'rsatishda siz veb-server tomonidan qayta ishlangan fayllar joylashgan katalogni ham ko'rsatishingiz kerak bo'ladi.

$ ./letsencrypt-auto certonly --webroot -webroot-path /var/www/mydomain/

Ushbu parametrdan foydalanganda veb-serverni fayllarni mos ravishda o'qish uchun sozlashingiz kerak.

Qo'llanma

Nomidan siz SSL sertifikatini sozlash va o'rnatish qo'lda amalga oshirilishini taxmin qilishingiz mumkin :-) Ehtimol, endi bu letsencrypt nginx plaginining "namligi" tufayli nginx uchun sertifikat o'rnatishning eng qulay variantidir.

$ ./letsencrypt-auto certonly --manual -d mydomain.com

Ushbu buyruqni kiritganingizdan so'ng, saytdagi kerakli katalogga ma'lum tarkibga ega faylni joylashtirish orqali domenni tasdiqlash uchun manipulyatsiyalarni mustaqil ravishda amalga oshirishingiz kerak bo'ladi. Sertifikatni yaratish jarayoni tugagach, barcha kerakli fayllar quyidagi yo'lda joylashgan bo'ladi /etc/letsencrypt/live/$domen . Pastki katalogda yashash barcha eng joriy sertifikatlar va kalitlari joylashgan, esa kalitlari Va Arxiv avval yaratilgan barcha fayllarni o'z ichiga oladi.

Nginx-da SSL-ni sozlash

Shunday qilib, agar qo'lda rejimda sertifikatlar yaratish tartibi muvaffaqiyatli bo'lsa, yuqoridagi katalogda biz xavfsiz ulanishni o'rnatish uchun barcha kerakli fayllarni topamiz.

• privkey.pem - bizning shaxsiy kalitimiz
• cert.pem - server sertifikati
• zanjir.pem - ildiz va oraliq
• fullchain.pem - veb-serverni sozlash uchun kerak bo'lgan barcha sertifikatlar.

Qanday qilib Ushbu holatda Nginx sozlamalari qanday ko'rinishga ega bo'ladi?

Server (80 tinglang; 443 ssl tinglang; server_name mydomain.com; ssl_certificate /etc/letsencrypt/live/mydomain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/mydomain.com/privkey.pem; ...;

Letsencryptdagi yigitlar fayllarni ko'chirishni maslahat bermaydilar, chunki... sertifikatni yangilashda eskilari avtomatik ravishda bir xil yo'llar bo'ylab yangilariga almashtiriladi, bu holda ramziy havolalarni yaratish yaxshiroqdir.

SSL sertifikatini yangilash

Yuqorida aytib o'tgan edimki, bepul SSL sertifikatlari atigi 90 kun "yashaydi", shuning uchun ularning amal qilish muddati tugagandan so'ng siz yangilash jarayonini boshlashingiz kerak, xayriyatki, u ham bepul :-)

Yangilash jarayoni qanday?

Let's Encrypt-ga ko'ra, amal qilish muddati tugashidan oldin sertifikatni yangilash vaqti kelganligini bildiruvchi elektron pochtaga tegishli bildirishnoma yuboriladi.Buni qo'lda bajarish uchun buyruqni bajaring:

$ ./letsencrypt-auto

Va ekrandagi ko'rsatmalarga amal qiling. Avtomatik yangilash konfiguratsiya fayli va oddiy crontab yordamida sozlanishi mumkin. Tojlarni yangilanish oyiga bir martadan ko'p bo'lmagan tarzda sozlash tavsiya etiladi.

Agar siz Windows-da ishlayotgan bo'lsangiz, letsencrypt-ni Docker-dan foydalanib joylashtirishingiz mumkin. Biroq, bu holda, veb-serverni to'g'ri sozlash uchun siz barcha fayllarni serverga qo'lda ko'chirishingiz kerak bo'ladi.