Инструменты пользователя

Инструменты сайта


letsencrypt:letsencrypt

Это старая версия документа!


Let's Encrypt

Let’s Encrypt (в переводе с английского: Давайте шифровать) — центр сертификации, начавший работу в бета-режиме с 3 декабря 2015 года, предоставляющий бесплатные криптографические сертификаты X.509 для TLS шифрования (HTTPS). Процесс выдачи сертификатов полностью автоматизирован.

Проект Let’s Encrypt создан для того, чтобы большая часть интернет-сайтов смогла перейти к шифрованным подключениям (HTTPS). В отличие от коммерческих центров сертификации, в данном проекте не требуется оплата, переконфигурация веб-серверов, использование электронной почты, обработка просроченных сертификатов, что делает процесс установки и настройки TLS-шифрования значительно более простым. Например, на типичном веб-сервере на базе Linux, требуется исполнить две команды, которые настроят HTTPS шифрование, получат и установят сертификат примерно за 20-30 секунд.

Пакет с утилитами автонастройки и получения сертификата включён в официальные репозитарии дистрибутива Debian. Разработчики популярных браузеров, Mozilla и Google намерены постепенно отказаться от поддержки незашифрованного протокола HTTP путём отказа от поддержки новых веб-стандартов для http-сайтов.

https://letsencrypt.org/

Let's Encrypt wildcard

Certbot

Certbot — набор скриптов для автоматизации процессов создания и обновления сертификатов Let's Encrypt.

https://certbot.eff.org

Certbot documentation

Apache

Настройка Apache под Debian 8 (jessie).

Примеры файлов здесь.

Debian 8 (jessie)

CertBot: Apache on Debian 8 (jessie)

1. Устанавливаем необходимые пакеты:

apt-get install python-certbot-apache -t jessie-backports

Если необходимо, то модно установить пакет с документацией:

apt-get install python-certbot-doc

2. Настраиваем Apache:

certbot --apache

В процессе настройки программа будет задавать ряд вопросов.

Если возникает ошибка:

Expected </VirtualHost> but saw </VirtualHost></IfModule>

Нужно выполнить:

for f in /etc/apache2/sites-available/*; do sed -i '$a\' "$f"; done

и повторить команду настройки.

В случае успешной установки вы увидите поздравление:

Congratulations! You have successfully enabled
https://wiki.yola.ru

А также предложение выполнить анализ вашего сайта:

You should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=wiki.yola.ru

Debian 7 (wheezy)

Настройка Apache под Debian 7 (wheezy).

Apache on Debian 7 (wheezy)

FIXME

Обновление сертификата

Поскольку сертификат Let's Encrypt выдаётся на 90 дней, нужно настроить автоматическое обновление сертификата.

В пакете для Debian присутствует файл настройки для Cron который выполняет процедуру проверки срока действия сертификата и выполняет его обновление только в том случае, если до окончания действия сертификата остаётся 30 или менее дней. Протокол выполнения процедуры обновления записывается в файл /var/log/letsencrypt/letsencrypt.log. Вот это файл для Cron:

/etc/cron.d/certbot
# /etc/cron.d/certbot: crontab entries for the certbot package
#
# Upstream recommends attempting renewal twice a day
#
# Eventually, this will be an opportunity to validate certificates
# haven't been revoked, etc.  Renewal will only occur if expiration
# is within 30 days.
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
 
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew

Ручное обновление

Также можно вручную настроить Cron, вот пример:

1 4 * * 1 /usr/bin/certbot renew >> /var/log/letsencrypt/certbot-renew.log

Ссылки

letsencrypt/letsencrypt.1528616224.txt.gz · Последние изменения: 2018-06-10 10:37 — GreyWolf