Let's Encrypt - бесплатный SSL-сертификат: как получить, инструкция по установке, настройке и продлению
На данный момент инсталлятор Let’s Encrypt, со слов авторов проекта, может автоматически исправлять конфигурацию только Apache . Поддержка nginx и других HTTP-серверов находится в разработке. Тем не менее, это не помешает вам получить сертификат.
Если у вас уже работает какой-то веб-сервер, то инсталлятор следует запустить с ключом --webroot . Ключ certonly указывает, что мы только хотим получить сертификат. Ключом -w мы сообщаем расположение корневой папки сайта.
Так же следует перечислить домены, на которых работает сайт, с помощью ключа -d .
Через несколько секунд вы получите сообщение о том, что сертификат получен и его можно использовать.
Работающий веб-сервер нужен инсталлятору, чтобы подтвердить ваше право владения доменом. Если вы ещё не настраивали его, то инсталлятор может сам запустить такой временный сервер на 80 или 443 порту.
Это делается с помощью ключа --standalone .
В отличие от режима webroot, в режиме standalone можно не указывать домены в командной строке.
Инсталлятор запросит их позже в диалоговом окне.
Все генерированные ключи и выпущенные сертификаты лежат в папке /etc/letsencrypt/live/$domain .
- privkey.pem - приватный ключ. Он должен всё время храниться в секрете. Это тот файл, который указывается в опции SSLCertificateKeyFile у Apache или в опции ssl_certificate_key у nginx.
- cert.pem – сертификат для домена. Этот файл указывается в опции SSLCertificateFile у Apache.
- chain.pem - цепочка из промежуточных и корневого сертификатов центра сертификации. Путь до этого файла указывается в опции SSLCertificateChainFile у Apache.
- fullchain.pem - Все сертификаты в одном файле, включая сертификат для домена. Данный файл нужно указать в опции ssl_certificate у nginx.
Ранее мною была подана заявка на участие в тестировании сервиса выдачи бесплатных SSL сертификатов Let’s Encrypt. И вот сегодня, наконец-то пришло письмо о том что я могу принять участие в тестировании и получить сертификат для указанного в заявке домена.
На данный момент процесс закрытого бета-тестирования Let’s Encrypt закончен и любой желающий может создать сертификат для своего сайта.
В этой статье я опишу процесс создания и автоматического продления сертификатов с помощью сервиса Let’s Encrypt. Я использую Nginx на всех своих сайтах, поэтому, инструкция рассчитана под использование именно этого веб-сервера.
Для автоматизации получения сертификата, Let’s Encrypt использует ACME — специальный клиент написанный на Perl. Все действия осуществляются непосредственно через консоль и после получения сертификата, дальнейшее его продление будет проходить полностью в автоматическом режиме.
Для создания сертификатов использовалась виртуальная машина с OS Debian 8.2, но вы можете использовать любой другой Linux дистрибутив по своему усмотрению.
Перед тем как перейти к процессу создания сертификатов Let’s Encrypt, необходимо определится с расположением файлов ACME. Клиент нам понадобится в дальнейшем для продления сертификатов.
В моем случае ACME будет расположен в директории home:
Cd /home
Если следовать официальной инструкции, для загрузки ACME необходимо установить клиент Git:
# apt-get install git
После чего загрузить файлы командой:
# git clone https://github.com/letsencrypt/letsencrypt # cd letsencrypt
Как альтернативный вариант, я предлагаю просто скачать zip-архив ACME с официального репозитория GitHub.
# wget https://github.com/letsencrypt/letsencrypt/archive/master.zip
Извлекаем архив и переходим в каталог с файлами:
# unzip master.zip # mv letsencrypt-master letsencrypt # cd letsencrypt
Для проверки владения доменом, необходимо добавить в настройки виртуального хоста Nginx:
Server { listen 80; server_name test..сайт; location "/.well-known/acme-challenge" { default_type "text/plain"; alias /tmp/letsencrypt-auto"; } }
Для уже существующего сайта, нужно добавить в секцию server алиас:
Location "/.well-known/acme-challenge" { default_type "text/plain"; alias /tmp/letsencrypt-auto"; }
Создание сертификата Let’s Encrypt
Есть несколько параметров запуска клиента Let’s Encrypt. Подробнее о каждом из них можно прочитать на странице официальной документации . Чтобы создать сертификат, просто выполните команды ниже:
# export DOMAINS="-d test..test../letsencrypt-auto certonly --server https://acme-v01.api.letsencrypt.org/directory -a webroot --webroot-path=$DIR --agree-dev-preview $DOMAINS
Не забудьте заменить названия доменов на свои.
В процессе генерации сертификата Let’s Encrypt необходимо будет указать email:
Enter email address (used for urgent notices and lost key recovery)
Примите условия использования:
Please read the Terms of Service at https://letsencrypt.org/documents/LE-SA-v1.0.1-July-27-2015.pdf. You must agree in order to register with the ACME server at https://acme-staging.api.letsencrypt.org/directory
Соглашаемся на сохранение вашего адреса в логах Let’s Encrypt:
NOTE: The IP of this machine will be publicly logged as having requested this certificate. If you"re running letsencrypt in manual mode on a machine that is not your server, please ensure you"re okay with that. Are you OK with your IP being logged?
Если проверка прошла успешно, то вы увидите следующее сообщение:
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/test..pem. Your cert will expire on 2016-03-06. To obtain a new version of the certificate in the future, simply run Let"s Encrypt again. - If like Let"s Encrypt, please consider supporting our work by: Donating to ISRG / Let"s Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
Сгенерированный сертификат и ключи для нашего домена будет расположены в папке:
/etc/letsencrypt/live/test.сайт/
Не меняя расположение, вам необходимо указать путь к файлам в настройка Nginx или другого веб-сервера.
Продление сертификата Let’s Encrypt
Все сертификаты Let’s Encrypt имеют срок действия равный 90 дней. Поэтому, обновлять вручную сертификаты каждые 3 месяца не совсем удобно. По словам представителей Let’s Encrypt, время жизни сертификата в будущем может быть уменьшено.
Чтобы автоматизировать процесс продления сертификата, необходимо добавить в cron скрипт:
Export DOMAINS="-d test..test.сайт" export DIR=/tmp/letsencrypt-auto mkdir -p $DIR /home/letsencrypt/letsencrypt-auto --renew certonly --server https://acme-v01.api.letsencrypt.org/directory -a webroot --webroot-path=$DIR --agree-dev-preview $DOMAINS service nginx restart
SSL сертификат - это цифровое удостоверение сайта. Он необходим, если вы хотите настроить доступ к сайту по протоколу HTTPS.
Обычно сертификаты стоят денег, но можно самостоятельно и легко сгенерировать бесплатный с помощью Lets Encrypt .
Подготовка
Для получения и установки сертификата вам понадобится доступ к серверу по протоколу SSH. Вам нужно подключиться через терминал с помощью команды
Ssh user_name@host_name
либо поискать веб-консоль в панели управления вашим хостингом.
Для получения и обновления сертификата вам потребуется программа Certbot , которая будет работать с сервисом Let’s Encrypt. Чтобы её установить, введите следующие команды:
Wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto
Настройка одной командой
Следующий шаг зависит от того, какой веб-сервер у вас установлен.
Apache
./certbot-auto --apache
Nginx
./certbot-auto --nginx
После ввода одной из данных команд вы увидите ответ приблизительно следующего содержания.
Запрос на ввод Email
Введите ваш или произвольный email адрес и нажмите Enter .
Запрос на согласие с правилами сервисаТеперь вам предлагают ознакомиться с правилами использования сервиса. Введите A и нажмите Enter .
Запрос на присоединение к почтовой рассылкеВам предлагают согласиться с получением почтовой рассылки на ваш адрес. Смело вводим N для отказа и нажимаем Enter .
Перечень ваших сайтовНаконец, программа выведет все ваши домены, которые нашла у Apache или Nginx и предложит ввести номер того домена, который вы хотите подключить. В моём случае это будет №1. Введите число и нажмите Enter .
Результат работы программыВам также предложат выбрать, желаете ли вы оставить сайт доступным и по HTTP и по HTTPS или только HTTPS. Выбираем подходящий вариант и нажимаем Enter .
Готово . Теперь вы можете зайти на сайт по адресу https://<имя сайта>
Программа получила все необходимые сертификаты и положила их в директорию
/etc/letsencrypt/live/<имя вашего домена>/cert.pem
Попутно она создала новый конфиг для вашего веб-сервера и настроила доступ к сайту по протоколу HTTPS. Конфигурационный файл можно найти по адресу
/etc/apache2/sites-available/<имя домена>-le-ssl.conf
Продление
Сертификат Let’s Encrypt выдаётся на 3 месяца. Для обновления достаточно вызвать команду
./certbot-auto renew
и затем перезагрузить сервер. Удачи!
Подключаемся к серверу по SSH . И переходим, например, в домашнюю директорию:
Cd /home/
В нее мы установим клиент Let’s Encrypt . Для этого нам понадобится git, если у вас на сервере уже установлен git, то просто выполните следующие команды:
Git clone https://github.com/letsencrypt/letsencrypt cd letsencrypt
Если у вас не установлен git, то либо установите его следующей командой:
Apt-get install git
Либо просто распакуйте zip архив из репозитория GitHub:
Wget https://github.com/letsencrypt/letsencrypt/archive/master.zip unzip master.zip mv letsencrypt-master letsencrypt cd letsencrypt
Проверяем:
./letsencrypt-auto --help
В ответ вы увидите следующие:
Все, клиент Let’s Encrypt установлен.
Создаем SSL сертификат для HTTPS протокола на сайт
Перейдем к созданию сертификата Let’s Encrypt. Для этого сначала необходимо остановить nginx:
Service nginx stop
и запустить команду создания SSL сертификата:
./letsencrypt-auto certonly --standalone -d devreadwrite.com -d www.devreadwrite.com
В случае успешного создания сертификата для HTTPS протокола вы увидите примерно следующие
Не забудте поменять доменое имя devreadwrite.com на свое.
В процессе создания сертификата, вам предложат ввести e-mail, для важных сообщений и для восстановления ключа при необходимости. Далее нужно будет согласиться с лицензионным соглашением. Созданный SSL сертификат сертификат и вся цепочка сохранится по следующему пути:
Файлы SSL сертификата
В /etc/letsencrypt/live/devreadwrite.com/ будут следующие файлы:
privkey.pem - приватный ключ для сертификата. В Apache он используется в директиве SSLCertificateKeyFile . В Nginx используется в директиве ssl_certificate_key .
cert.pem - сертификат сервера. Его требует директива Apache SSLCertificateFile .
chain.pem - связка всех сертификатов, которые обслуживаются браузером, за исключением cert.pem . Используется Apache SSLCertificateChainFile .
fullchain.pem - вся связка сертификатов (объединение chain.pem и cert.pem ). Используется в Nginx для ssl_certificate .
Вот мы и получили сертификат. Не забудьте запустить Nginx :
Service nginx start
Теперь мы можем подключить протокол HTTPS к сайту.
Настройка HTTPS (SSL/TLS) в Nginx
Откройте файл конфигурации Nginx для сайта (обычно это: /etc/nginx/vhosts/userName/
Server { #... ssl on; ssl_certificate /etc/letsencrypt/live/devreadwrite.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/devreadwrite.com/privkey.pem; ssl_session_timeout 5m; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers "HIGH:!aNULL:!MD5 or HIGH:!aNULL:!MD5:!3DES"; ssl_prefer_server_ciphers on; listen server_ip:443 ssl; listen server_ip:80; }
Nginx service reload
Nginx service restart
Nginx, 301 редирект с протокола http на https
server { #... # force https-redirects if ($scheme = http) { return 301 https://$server_name$request_uri; } }Настройка HTTPS (SSL/TLS) в Apache
Откройте файл конфигурации Apache для сайта (обычно это: /etc/apache2/vhosts/userName/ ) и добавьте следующие строки:
SSLEngine on SSLCertificateFile /etc/letsencrypt/live/devreadwrite.com/cert.pem SSLCertificateKeyFile /etc/letsencrypt/live/devreadwrite.com/privkey.pem
В итоге получится что-то вроде:
Перезапускаем Apache :
Service apache2 restart
301 редирект с протокола http на https в Apache
Добавьте следующий код в файл .htaccess вашего сайта:
RewriteCond %{HTTPS} !=on RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1
Дополнительно
Для того чтобы получить зеленый замочек в адресной строке, который будет указывать пользователю что сайт правильно работает по протоколу HTTPS , необходимо все пути к подключаемым файлам (картинкам, css, js, ...) поменять с http на https . Так же можно вместо http или https поставить два слеша (//). Например:
заменить на:
В таком случае файл будет получен по тому же протаколу в каком был запрошен сайт, в нашем случае https . Или же указать протокол явно.
Как продлить сертификат
Сертификат выдается на 3 месяца, поэтому за несколько дней до окончания его необходимо продлить.
Для продления сертификата необходимо выполнить команду:
./letsencrypt-auto renew
Эту команду вы можете добавить в крон таб, для автоматического продления SSL сертификата.
Плюсы и минусы данного способа создания сертификата
Один и самый большой плюс данного способа - это создание сертификата без танцев с бубном. Существует множество других способов, но этот единственный, который заработал сразу.
Минус данного способа создания SSL сертификата заключается в том, что для создания сертификата необходимо остановит Nginx , следовательно сайты на Nginx во время создания сертификата не будут работать, это примерно 5-10 секунд (по крайней мере на моем сервере).
Результат
В результате мы получаем рабочий SSL сертификат и протокол HTTPS на сайте.
ИльяДмитрий, добрый вечер! Подскажите пожалуйста. Как раз несколько дней пытаюсь решить вопрос с Lets encrypt сертификатом. На хостинге hosting.energy при создании сайта dommeb.com.ua подключил бесплатный Lets encrypt из Isp панели. Все было хорошо несколько дней, проходил тесты SSL ssllabs.com/ssltest/analyze.html на А+. Пробовал загрузить с мобильного на Android 2.3.6 с стандартного браузера и Maxton — появлялось только предупреждения о ненадежности сертификата, а дальше можно нажать Продолжить и сайт был доступен.
Неделю назад заметил, что при загрузке с мобильного и тестов на редиректы (поставил в настройках домена на хостинге редиректы с http-https) происходит добавление в url:443 (название SSL порта). И сайт не доступен при загрузке (надпись ошибки).
Написал в хостинг, решили в течении нескольких дней вопрос. Написали «Исправили конфигурации Nginx относительно редиректов, в конфиги закралась ошибка (вероятно, из-за панели управления) и было 2 редиректа.»
:443 уже не дописывался с мобильного и при тесте на редиректы.
Но сайт по прежнему не грузился, как с появлением этих двойных редиректов:443 (ошибка на Android 2.3.6 сайт не доступен при загрузке).
Посмотрел ssl тест, тоже А+ результат, но появилась ошибка в подпункте Handshake Simulation No SNI 2Android 2.3.7 No SNI 2 Server sent fatal alert: handshake_failure
Погуглил по этой ошибке:
Здесь про эту ошибку и решение пишут talk.plesk.com/threads/https-websites-not-loading-in-ie.338346/ Передал всю информацию в тех поддержку хостинга.
Несколько дней переписывался с хостингом, говорят ничего в конфигурации настроек хостинга не меняли, используют стандартный плагин Lets Encrypt сертификата. И они не гарантируют работу SSL от LetsEncryt на устаревших платформах. Предложили выделенный IP за 1.5$ в месяц.
Хотя несколько дней назад все работало и правок не было на обеих сайтах (все данные в браузерах очищал). А сам сайт хостинга (тоже на этом сертификате, нормально и сейчас грузится с с мобильного и даже без предупреждения)
Сайты на виртуальном хостинге, без выделенного IP. Один сайт сделал на Opencart с Lets encrypt сертификатом, все было в порядке. Второй тестовый на WordPress — все было тоже хорошо с android 2.3.6. Собирался переходить на третьем сайте (WordPress) с http на https, и уже первые два нормально не грузятся на Android 2.3.6…
Хотелось бы чтобы все пользователи могли нормально заходить на сайт (в крайнем случае на старых платформах как Android 2.3.6 чтобы было только предупреждение, которое можно пропустить)
Подскажите пожалуйста, может вы знаете в чем может быть причина?
Решил посмотреть платные сертификаты, вроде хороший этот от Comodo namecheap.com/security/ssl-certificates/comodo/positivessl.aspx ,
но у вас в статье прочитал, что на платформе Android сертификат Comodo был недостоверным. Немного запутался с этим
