Установим и настроим certbot для получения и обновления SSL сертификатов Let's Encrypt. Операционная система Debian, веб-сервер Nginx. Инструкция подходит для Ubuntu.
Веб сервер работает, сайт, для которого требуется выпустить SSL сертификат, открывается по HTTP.
Let’s Encrypt — центр сертификации, начавший работу в бета-режиме с 3 декабря 2015 года, предоставляющий бесплатные криптографические сертификаты X.509 для TLS-шифрования (HTTPS). Процесс выдачи сертификатов полностью автоматизирован. https://letsencrypt.org/
Работаем в sudo.
Установка certbot
Устанавливаем пакет для certbot:
apt-get install certbot
Устанавливаем пакет для nginx:
apt-get install python3-certbot-nginx
Запускаем:
certbot run --nginx
Указываем e-mail администратора сертификатов Let's Encrypt. Принимаем лицензионное соглашение и отвечаем на вопросы
Скрипт выводит список доменов, которые он нашёл в Nginx. Указываем номер домена, для которого требуется сертификат. В данном случае пишем "1". Enter.
Скрипт отработал. сгенерировал сертификаты (сроком на 3 месяца) и изменил конфигурационный файл сайта в nginx. Изменённые ботом строки подписаны:
# managed by Certbot
Перезапускаем Nginx:
service nginx restart
Проверяем работу сайта по HTTPS:
Сайт работает.
Автоматическое обновление сертификатов
Срок действия SSL сертификатов Let's Encrypt — 3 месяца. Настроим автоматическое обновление.
certbot renew
Ошибок нет, наш сертификат не требует обновления. Проверим принудительное обновление:
certbot renew --force-renewal
Сертификат успешно обновляется. Certbot разрешает обновлять сертификат не чаще 5 раз в неделю. Если превысите лимит, то нужно ждать неделю.
Создаём сервис:
cd /etc/systemd/system/
vim certbot-renewal.service
Содержимое:
[Unit]
Description=Certbot Renewal
[Service]
ExecStart=/usr/bin/certbot renew --force-renewal --post-hook "systemctl reload nginx.service"
Обращаю внимание на опцию --post-hook, с помощью этой опции мы будем обновлять конфигурационный файл nginx после перевыпуска сертификата.
Создаём таймер.
vim certbot-renewal.timer
Содержимое:
[Unit]
Description=Timer for Certbot Renewal
[Timer]
OnBootSec=300
OnUnitActiveSec=1w
[Install]
WantedBy=multi-user.target
Включим таймер:
systemctl start certbot-renewal.timer
Автоматическое включение таймера:
systemctl enable certbot-renewal.timer
Статус таймера:
systemctl status certbot-renewal.timer
Последний запуск 49 секунд назад. Следующий через неделю.
Источник:
https://internet-lab.ru/certbot_debian
Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.
