Найти в Дзене
Лаборатория сисадмина
7422 подписчика

Let's Encrypt — настройка certbot в Debian

88
2 мин
Установим и настроим certbot для получения и обновления SSL сертификатов Let's Encrypt. Операционная система Debian, веб-сервер Nginx. Инструкция подходит для Ubuntu. Веб сервер работает, сайт, для которого требуется выпустить SSL сертификат, открывается по HTTP. Let’s Encrypt — центр сертификации, начавший работу в бета-режиме с 3 декабря 2015 года, предоставляющий бесплатные криптографические сертификаты X.509 для TLS-шифрования (HTTPS). Процесс выдачи сертификатов полностью автоматизирован. https://letsencrypt.org/ Работаем в sudo. Установка certbot Устанавливаем пакет для certbot: apt-get install certbot Устанавливаем пакет для nginx: apt-get install python3-certbot-nginx Запускаем: certbot run --nginx Указываем e-mail администратора сертификатов Let's Encrypt. Принимаем лицензионное соглашение и отвечаем на вопросы Скрипт выводит список доменов, которые он нашёл в Nginx. Указываем номер домена, для которого требуется сертификат. В данном случае пишем "1". Enter. Скрипт отработал.
Оглавление

Установим и настроим certbot для получения и обновления SSL сертификатов Let's Encrypt. Операционная система Debian, веб-сервер Nginx. Инструкция подходит для Ubuntu.

Веб сервер работает, сайт, для которого требуется выпустить SSL сертификат, открывается по HTTP.

Let’s Encrypt — центр сертификации, начавший работу в бета-режиме с 3 декабря 2015 года, предоставляющий бесплатные криптографические сертификаты X.509 для TLS-шифрования (HTTPS). Процесс выдачи сертификатов полностью автоматизирован. https://letsencrypt.org/

Работаем в sudo.

Установка certbot

Устанавливаем пакет для certbot:

apt-get install certbot
-2

Устанавливаем пакет для nginx:

apt-get install python3-certbot-nginx
-3

Запускаем:

certbot run --nginx

Указываем e-mail администратора сертификатов Let's Encrypt. Принимаем лицензионное соглашение и отвечаем на вопросы

-4

Скрипт выводит список доменов, которые он нашёл в Nginx. Указываем номер домена, для которого требуется сертификат. В данном случае пишем "1". Enter.

-5

Скрипт отработал. сгенерировал сертификаты (сроком на 3 месяца) и изменил конфигурационный файл сайта в nginx. Изменённые ботом строки подписаны:

# managed by Certbot

Перезапускаем Nginx:

service nginx restart

Проверяем работу сайта по HTTPS:

-6

Сайт работает.

Автоматическое обновление сертификатов

Срок действия SSL сертификатов Let's Encrypt — 3 месяца. Настроим автоматическое обновление.

certbot renew
-7

Ошибок нет, наш сертификат не требует обновления. Проверим принудительное обновление:

certbot renew --force-renewal
-8

Сертификат успешно обновляется. Certbot разрешает обновлять сертификат не чаще 5 раз в неделю. Если превысите лимит, то нужно ждать неделю.

Создаём сервис:

cd /etc/systemd/system/
vim certbot-renewal.service

Содержимое:

[Unit]
Description=Certbot Renewal
[Service]
ExecStart=/usr/bin/certbot renew --force-renewal --post-hook "systemctl reload nginx.service"

Обращаю внимание на опцию --post-hook, с помощью этой опции мы будем обновлять конфигурационный файл nginx после перевыпуска сертификата.

-9

Создаём таймер.

vim certbot-renewal.timer

Содержимое:

[Unit]
Description=Timer for Certbot Renewal
[Timer]
OnBootSec=300
OnUnitActiveSec=1w
[Install]
WantedBy=multi-user.target
-10

Включим таймер:

systemctl start certbot-renewal.timer

Автоматическое включение таймера:

systemctl enable certbot-renewal.timer

Статус таймера:

systemctl status certbot-renewal.timer
-11

Последний запуск 49 секунд назад. Следующий через неделю.

Источник:
https://internet-lab.ru/certbot_debian

💰 Поддержать проект

Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.

5
Гаджеты и электроника
5,73 млн интересуются