Настройка Let’s Encrypt SSL-сертификата на Ubuntu/Centos

1.Установка Let’s Encrypt

 

При использовании Nginx в качестве Web-сервера

Установка git
Ubuntu/Debian

Centos

Остановка Nginx, который прослушивает 80 порт.
Перед генерацией сертификатов необходимо убедиться, что все имена домена(включая www-поддомен ,если он должен быть включен в сертификат), для которых генерируются сертификаты имеют запись типа А в ДНС.
Также необходимо остановить службу, которая слушает 80 порт на время генерирования сертификата(например, Nginx)
Ubuntu 14, Centos 6

Debian 8, Centos 7

 

2.Генерирование SSL-сертификатов, например.для сайтов kamaok.org.ua и example.com

После успешной генерации сертификатов запускаем Nginx

Либо

В каталоге /etc/letsencrypt/live/ будут созданы каталоги с именами доменов, на которые генерировались сертификаты

 

3.Настройка Nginx на поддержку SSL

Генерация ключа Диффи-Хельмана

Если необходима принудительное перенаправление с http на https

 

4.Проверка сертификата SSL-настроек
https://www.ssllabs.com/ssltest/

 

5.Настройка автоматического продления сертификата

Создаем скрипт для автоматического продления сертификата для КОНКРЕТНОГО домена/подддомена

Если корень сайта закрыт базовой аутентификацией,то разрешаем доступ каталогу .well-known в корне сайта без аутентификации, добавляя в виртуальный хост сайта в  Nginx

Автоматическое продление сертификатов для ВСЕХ ДОМЕНОВ, использующих LetsEncrypt

Добавляем скрипт в cron на выполнение раз в месяц (сертификат выдается на срок 3 месяца)

 

В качестве альтернативного типа аутентификации и установки сертификата вместо режима standalone,
который требует остановки WEB-сервера на время получения/продления сертификата можно использовать режим/плагин nginx,который не требует остановки WEB-сервера(Nginx)

Получение сертификата для домена example.com и поддомена www.example.com для Nginx-сервера

Для включение/отключение force-redirect http->https используем опции

По умолчанию(если не указывать соотвествующие опции) будет запрос о включении ли принудительного перенаправления
Принудительное обовление сертификата (—force-renewal)

Продление всех сертификатов
Добавляем в планировщик  cron задание

Проверка автообновления без сохранения сертификатов на диск

Другие полезные команды
Изменение Email-адреса, указанного при регистрации(создании аккаунта)

Просмотр выданных LetsEncrypt-сертификатов

Вместо файла letsencrypt-auto – bash-скрипта, которые запускает последнюю версию Certbot клиента можно устнаовить и использовать непосредственно бинарник certbot
Например,установка на Ubuntu16.04

https://certbot.eff.org/lets-encrypt/ubuntuxenial-nginx

Автообновление всех сертификатов с помощью certboot

Поддерживаемые опции для letsencrypt-auto и certbot одинаковые
https://certbot.eff.org/docs/using.html

 

При использовании Apache в качестве Web-сервера

Настройка автоматического продления сертификата для конкретного домена

Автоматически создается файл такого содержания

Если выбрали принудительное пернаправление с http на https при генерировании сертификата

В конец вирт.хоста example.com автоматически добавилось принудительное перенаправление с http на https

Также был создан файл вирт.хоста для SSL-подключений путем копирования вирт.хоста http и добавлением строк

Файл /etc/letsencrypt/options-ssl-apache.conf был создан автоматически Let’s Encrypt

 

Автоматическое продление сертификатов для ВСЕХ ДОМЕНОВ, использующих LetsEncrypt

Источник:
http://www.tecmint.com/secure-nginx-with-lets-encrypt-ssl-certificate-on-ubuntu-and-debian
http://www.tecmint.com/setup-https-with-lets-encrypt-ssl-certificate-for-nginx-on-centos
http://www.cyberciti.biz/faq/how-to-configure-nginx-with-free-lets-encrypt-ssl-certificate-on-debian-or-ubuntu-linux/
http://www.tecmint.com/install-lets-encrypt-ssl-certificate-to-secure-apache-on-rhel-centos
http://www.tecmint.com/install-free-lets-encrypt-ssl-certificate-for-apache-on-debian-and-ubuntu

Комментирование и размещение ссылок запрещено.

Комментарии закрыты.

Яндекс.Метрика