Новый let s encrypt сертификат. Let’s Encrypt от хостинг-провайдеров
SSL устанавливает зашифрованную связь между веб-сервером и веб-браузером посетителя. Это гарантирует, что все данные, переданные между этими двумя точками, остаются конфиденциальными и безопасными.
Для работы SSL необходима установка на сайт SSL-сертификата. Помимо защиты SSL-сертификат повышает рейтинг сайта в Google .
Благодаря Let’s Encrypt можно получить для сайта бесплатный сертификат SSL.
Для многих хостингов установить сертификат SSL от Let’s Encrypt можно в панели управления сайтом. Например, для хостинга моего сайта установить бесплатный сертификат SSL можно в один клик:
При установке SSL сертификата инструментами хостинга сложностей обычно не возникает. Более того, сертификат при этом автоматически обновляется по истечении срока действия (90 дней).
Проблема: дубли сайта для https не «склеиваются»
Однако у меня возникла проблема: при автоматической установке сертификата SSL на поддомен после установки сертификата не удавалось «склеить» зеркала сайта для https (с www и без www.)
Дело в том, что при установке сертификата SSL для сайта добавляется еще 2 дубля (по протоколу https). Таким образом из 4 «зеркал» сайта: http://www.имясайта , http://имясайта , https://www.имясайта и https://имясайта надо выбрать один основной (с https, естественно). А остальные дубли редиректом переадресовать на выбранный адрес.
Чтобы все пользователи просматривали сайт только через безопасное соединение https в файл.htaccess я добавлял такой код:
RewriteEngine On RewriteBase / RewriteCond %{HTTP:SSL} !=1 RewriteRule ^(.*) https://имясайта/$1
где «https://имясайта» — имя поддомена (например: https://blog.electrostal.com.ua).
Несмотря на настройки WordPress и редиректы в.htaccess — переадресация с www на без www для https никак не работала.
Решение: сертификат SSL должен быть на оба сайта
Средствами хостинга проверил сертификат SSL . Проверка показала, что сертификат для поддомена автоматически выпускается только на вариант сайта без www.
Получается так, что «склейка» сайтов для протокола https работает если сертификат SSL для поддомена выпущен на оба сайта (c www и без www).
Браузеры интерпретируют домены с www и без www, как разные сайты. При редиректе сервер сперва проверял наличие сертификата на сайт, а лишь потом выполнял переадресацию на него. В моем случае сертификата на сайт с www не было — поэтому сервер редирект не производил.
Вывод для моего случая: для «склейки» сайтов на поддомене с сертификатом SSL нужно иметь сертификат SSL для полного имени сайта (с www и без www)
Как получить бесплатный сертификат SSL от Let’s Encrypt самостоятельно
Итак, в моем случае для решения проблемы «склейки» сайта для SSL нужно получить сертификат Let’s Encrypt на полный сайт (с www и без www). Хостинг автоматически генерировал сертификат только для «пол-сайта» — без www.
На запрос к техперсоналу хостинга о возможности автоматически создавать сертификат для сайтов на поддомене с www и без www получил отрицательный ответ: «Так сделать не получиться.»
Тогда отправил еще запрос:
Подсажите, как я могу самостоятельно заказать сертификат Let’s Encrypt. для «полного» сайта на поддомене
Через некоторое время получил ответ:
Увы, нет. Это возможно только с испльзованием соответствующего ПО Let`s Encrypt. Самостоятельно сформировать сертификат можно разместив сайт, например, на VPS-сервере. Разумеется, это потребует установки клиента Let`s Encrypt или панели управления сервером поддерживающй эту технологию (например, ISPManager 5 или VestaCP), но в этом случае обещать что получится выписать сертификат для обоих поддоменов (subdomain.site.com и добавленного в псевдонимы www.subdomain.site.com) я не могу, так как там эта процедура также автоматизирована.
В последнее время забота о безопасности и приватности пользователей набирает обороты. Когда проектировался интернет и протокол HTTP, о таких понятиях не думали. Поэтому весь трафик, передаваемый между веб-сервером и пользователем по протоколу HTTP, может быть просмотрен кем угодно, кто находится на пути этого трафика, например провайдером или хакерами.
Поэтому был придуман протокол HTTPS, который позволяет шифровать трафик и таим образом обезопасить его от перехвата. Для шифрования используются SSL-сертификаты. Раньше эти сертификаты стояли денег, но благодаря компании Let"s Encrypt теперь любой веб-сайт может установить SSL-сертификат и настроить шифрование абсолютно бесплатно. В этой статье мы рассмотрим, как получить сертификат Let"s Encrypt с помощью официального клиента Certbot.
Вообще, нам не обязательно использовать именно Certbot, мы могли бы создать сертификат в OpenSSL, а затем просто подписать его с помощью ACME API от Let"s Encrypt. Но к этому API надо выполнять запросы в формате JSON, что очень неудобно делать из командной строки, поэтому лучше использовать один из клиентов. Например Certbot. К тому же, большинство клиентов ACME уже включают автоматическую генерацию сертификата в OpenSSL.
1. Синтаксис и команды Certbot
Прежде чем перейти к работе, давайте рассмотрим синтаксис утилиты Certbot и её команды. Они выглядят достаточно просто:
certbot команда опции -d домен
Команды используются для того, чтобы сообщить утилите, что именно надо сделать. Вот основные из них:
- run - используется по умолчанию, если никакая команда не указана, получает и устанавливает сертификат;
- certonly - только получает или обновляет сертификат, но не устанавливает его;
- renew - обновляет сертификат;
- enhance - добавляет настройки безопасности для существующих сертификатов;
- certificates - отображает установленные сертификаты;
- revoke - отзывает сертификат;
- delete - удаляет сертификат;
- register - создает ACME-аккаунт;
Как видите, команд не так много, и теперь вы в них точно не запутаетесь, а теперь разберём основные опции:
- -d - указывает домен или список доменов, разделённых запятыми, для которых надо получить сертификаты;
- --apache - использовать плагин apache для установки сертификата;
- --nginx - использовать плагин nginx;
- --standalone - запускать собственный веб-сервер для аутентификации при получении сертификата;
- --preferred-challenges - позволяет выбрать способ аутентификации, по умолчанию http, но можно выбрать dns;
- --server - позволяет указать адрес ACME-сервера, нужно для WildCard-сертификатов, поскольку они поддерживаются только второй версией ACME;
- --webroot - поместить файлы аутентификации в папку веб-сервера;
- -w - указывает папку веб-сервера, куда надо поместить файлы аутентификации;
- --manual - создание сертификата в ручном режиме;
- -n - запустить утилиту в не интерактивном режиме;
- --dry-run - тестовый запуск без сохранения изменений на диск.
Теперь мы готовы к тому, чтобы перейти к работе с утилитой. Сначала установим её.
2. Установка Certbot
Сначала необходимо установить утилиту Certbot. Это официальный клиент, и он есть в репозиториях большинства дистрибутивов. Установка Certbot в Ubuntu выполняется из PPA:
sudo apt install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt update
sudo apt install certbot
Если вы знаете, для какой платформы будут генерироваться сертификаты, то можно установить отдельные расширения для них, они позволяют автоматически редактировать конфигурацию. Например, вы можете установить модуль для apache или nginx:
sudo apt install python-certbot-apache
sudo apt install python-certbot-nginx
Эти плагины нужны, если вы собираетесь использовать соответствующие опции для автоматической установки.
3. Создание сертификата без установки
Если вам нужен сертификат для веб-сервера, который не поддерживается программой, вам придётся устанавливать его вручную. Получить такой сертификат можно с помощью команды certonly:
sudo certbot certonly --webroot -w /var/www/test...test.сайт
Эта команда получает сертификат для доменов test.сайт и www.test.сайт. Файлы для подтверждения аутентификации будут размещены в каталоге /var/www/example/. Также вы можете использовать встроенный веб-сервер для аутентификации:
sudo certbot certonly --standalone -d test..test.сайт
Во время генерации сертификата утилита спросит ваш Email-адрес для аккаунта ACME, на который будут приходить уведомления о необходимости продления и другая информация:
Затем вам предложат подтвердить, что вы прочитали правила использования сервиса, ответьте А :
Только после этого начнётся получение сертификата. Если всё прошло успешно, то ваш сертификат будет сохранён в /etc/letsencrypt/live/имя_домена/, оттуда вы уже можете использовать их в своих приложениях. Если же возникли ошибки, то утилита сообщит об этом.
4. Создание сертификата для Nginx
Вам не обязательно вручную устанавливать сертификаты, вы можете использовать один из доступных плагинов для автоматического обновления конфигурации. Например, рассмотрим использование плагина для Nginx:
sudo certbot run --nginx
Дополнительные параметры задавать не надо, потому что утилита сама прочитает конфигурацию и выведет список доступных доменов:
Введите цифру нужного домена или несколько цифр, разделённых запятой. Утилита сама установит всё, что нужно, а затем спросит вас, нужно ли перенаправлять http-трафик на https:
Затем утилита выдаст ту же информацию, что и в предыдущем варианте:
5. Обновление сертификата Let"s Encrypt
Чтобы выполнить обновление сертификата Let"s Encrypt, достаточно запустить команду certbot с опцией certonly . Учитывая, что сертификат находится в папке certbot, а конфигурация веб-сервера настроена именно на эту папку, то этой операции достаточно. Если же сертификаты копируются в другую папку, то вам понадобится скрипт для их автоматического копирования после обновления.
sudo certbot certonly -d test..test.сайт
Если срок службы сертификата ещё не вышел и обновление не требуется, утилита спросит вас, действительно ли это надо сделать.
Если вы хотите обновлять сертификат в не интерактивном режиме, например с помощью скрипта, то нужно использовать опцию -n , также при использовании этой опции надо передать плагин, который будет использоваться для аутентификации:
sudo certbot certonly --nginx -n -d test..test.сайт
Теперь можно добавить эту команду в планировщик cron, например раз в неделю:
0 0 * * 0 /usr/bin/certbot certonly --nginx -n -d test..test.сайт
Если вы хотите обновить сертификаты для всех доменов одной командной в не интерактивном режиме, достаточно выполнить команду:
sudo certbot renew
6. Получение Wildcard сертификата Let"s Encrypt
Let"s Encrypt Wildcard-сертификаты появились относительно недавно. Они позволяют использовать один сертификат для всех поддоменов определённого домена, например *.test.сайт. Но и работает это всё сложнее - вам надо будет подтвердить, что этот домен принадлежит именно вам. Для этого надо добавить TXT-запись к зоне домена.
Вы можете сделать это вручную или же использовать dns-плагин для Certbot, чтобы добавить её автоматически. Правда, плагин поддерживается только для популярных сервисов, таких, как DigitalOcean, Linode, Cloudflare и так далее. В этой статье рассмотрим ручной вариант. Команда для генерации сертификата будет выглядеть вот так:
sudo certbot certonly --agree-tos -d test..test..api.letsencrypt.org/directory
Вам надо будет разрешить публикацию вашего IP-адреса, а потом добавить TXT-запись с нужным именем и значением к вашей доменной зоне. В моем случае это _acme-challenge.test.сайт со специальным хэшем:
Проект в первую очередь призван обезопасить веб, а также облегчить жизнь рядовым веб-разработчикам (всю эту возню с генераций приватных ключей, CSR, подтверждением прав на домен, настройкой веб-сервера и так далее свести на нет). Более того, SSL сертификаты , выдаваемые Let"s Encrypt, полностью бесплатные . Есть в них правда одно но, они являются базовыми и срок действия ограничен до 3-х месяцев (но это вовсе не проблема, так как продление можно настроить автоматически).
Скажу сразу, что на свой блог я поставил именно сертификат от Let"s Encrypt.
Стоит отметить, что сейчас проект находится на стадии бета-тестирования, поэтому могут возникать ошибки в работе их скриптов.
Весь процесс работы с сервисом происходит с помощью python скрипта letsencrypt , на текущий момент не для всех дистрибутивов linux существуют пакеты letsencrypt, поэтому официальная документация рекомендует ставить его предварительно склонировав git репозиторий из github.
$ git clone https://github.com/letsencrypt/letsencrypt $ cd letsencrypt $ ./letsencrypt-auto --help
letsencrypt-auto это скрипт-обёртка вокруг letsencrypt , автоматизирующий процесс развёртывания. Проще говоря, скрипт скачивает все необходимые зависимости, поднимает отдельное виртуальное окружения для Python, используя virtualenv, устанавливая в него необходимые python-модули при этом не засоряя системный питон. Стоит отметить, что для корректной работы скрипта необходимы права на запись в системные директории (sudo).
Так как скрипт призван максимально упростить работу по установке сертификатов безопасности, он поддерживает систему плагинов. Например, в стандартной поставке имеется плагин для работы с Apache (полноценно функционирующий) и nginx (пока только на экспериментальной стадии).
Установка SSL сертификата для Apache
Мой блог работает на связке LAMP, т.е. Linux, Apache, MySQL и PHP. Разработчики Let"s Encrypt постарались на славу и упростили настройку сертификата для Apache до уровня "проще некуда". Весь процесс сводится к следующим шагам:
$ ./letsencrypt-auto --apache -d mydomain.com
После ввода этой команды появится окно, где необходимо будет заполнить пару деталей, включая электронный адрес владельца. Остальное скрипт сделает за вас:
- Проверит принадлежность домена
- Выпустит необходимый сертификат сроком на 90 дней
- Внесёт все необходимые настройки для веб-сервера Apache
После всех этих манипуляций мне только оставалось настроить 301 редирект (Moved Permanently) с http на https и перезагрузить веб-сервер.
С настройкой nginx дела обстоят хуже, в первую очередь потому что этот плагин пока не работает в связке с letsencrypt-auto. Если есть необходимость настройки SSL сертификатов для nginx (а она разумеется есть, nginx как ни крути один из самых популярных веб-серверов), то я бы порекомендовал сделать это вручную. О том как, читайте ниже.
Настройка SSL сертификатов для других веб-серверов
В поставке letsencrypt помимо плагина для работы с Apache имеется ряд других, а именно:
- standalone
- webroot
- manual
- nginx
Standalone
Суть standalone заключается в том, что скрипт попытается поднять собственный веб-сервер на время процедуры получения сертификата (дабы подтвердить принадлежность домена), а для этого необходимо будет отключить уже работающий, дабы освободить порты 80 и 443. Для большинства веб-разработчиков данный вариант неудобен из-за необходимости отключения сайта.
$ ./letsencrypt-auto certonly --standalone -d mydomain.com
Webroot
Данная опция подходит тем, кого не устраивает standalone. При указании ключа --webroot необходимо также будет указать и директорию, где располагаются файлы, которые обрабатывает веб-сервер.
$ ./letsencrypt-auto certonly --webroot -webroot-path /var/www/mydomain/
При работе с данной опцией необходимо настроить веб-сервер на чтение файлов соответствующим образом.
Manual
Из названия можно догадаться, что настройка и установка SSL сертификата будет проводиться вручную:-) Пожалуй, сейчас это наиболее удобный вариант настройки сертификата для nginx ввиду "сыроватости" letsencrypt nginx плагина.
$ ./letsencrypt-auto certonly --manual -d mydomain.com
После ввода этой команды вам необходимо будет самостоятельно провести манипуляции по подтверждению домена, разместив файл с определённым содержимым в нужной директории на сайте. Когда процедура создания сертификата закончится, все необходимые файлы будут лежать по следующему пути /etc/letsencrypt/live/$domain . В подкаталоге live находятся все самые актуальные сертификаты и ключи, тогда как keys и archive содержат все ранее созданные файлы.
Настройка SSL в Nginx
Итак, если процедура с созданием сертификатов в manual режиме прошла успешно, то в вышеупомянутой директории мы найдем все необходимые файлы для настройки безопасного соединения.
- privkey.pem - наш приватный ключ
- cert.pem - сертификат сервера
- chain.pem - корневой (root) и промежуточный (intermediate)
- fullchain.pem - все необходимые нам сертификаты для настройки веб-сервера.
Как же в данном случае будет выглядеть настройка Nginx?
Server { listen 80; listen 443 ssl; server_name mydomain.com; ssl_certificate /etc/letsencrypt/live/mydomain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/mydomain.com/privkey.pem; ...
Ребята из letsencrypt не советуют перемещать файлы, т.к. при продлении сертификата старые будут автоматически заменены новыми по тем же путям, лучше в этом случае создать символически ссылки.
Продление SSL сертификата
Ранее я уже упоминал о том, что бесплатные SSL сертификаты "живут" только 90 дней, поэтому после их истечения необходимо будет запускать процедуру продления, благо это тоже бесплатно:-)
Что же из себя представляет процесс продления?
Как утверждают в Let"s Encrypt, перед истечением, на почту, указанную при создании, приходит соответствующее письмо-уведомление о том, что пора бы продлить сертификат. Чтобы это сделать вручную достаточно запустить команду:
$ ./letsencrypt-auto
И следовать инструкциям на экране. Автоматическое же продление можно настроить используя конфигурационный файл и обычный crontab. Желательно настроить крон таким образом, чтобы продление происходило не чаще 1 раза в месяц.
Если вы работаете из под Windows, то letsencrypt можно развернуть, используя или Docker. Правда в этом случае для правильной настройки веб-сервера необходимо будет вручную переместить все файлы на сервер.
Ранее мною была подана заявка на участие в тестировании сервиса выдачи бесплатных SSL сертификатов Let’s Encrypt. И вот сегодня, наконец-то пришло письмо о том что я могу принять участие в тестировании и получить сертификат для указанного в заявке домена.
На данный момент процесс закрытого бета-тестирования Let’s Encrypt закончен и любой желающий может создать сертификат для своего сайта.
В этой статье я опишу процесс создания и автоматического продления сертификатов с помощью сервиса Let’s Encrypt. Я использую Nginx на всех своих сайтах, поэтому, инструкция рассчитана под использование именно этого веб-сервера.
Для автоматизации получения сертификата, Let’s Encrypt использует ACME — специальный клиент написанный на Perl. Все действия осуществляются непосредственно через консоль и после получения сертификата, дальнейшее его продление будет проходить полностью в автоматическом режиме.
Для создания сертификатов использовалась виртуальная машина с OS Debian 8.2, но вы можете использовать любой другой Linux дистрибутив по своему усмотрению.
Перед тем как перейти к процессу создания сертификатов Let’s Encrypt, необходимо определится с расположением файлов ACME. Клиент нам понадобится в дальнейшем для продления сертификатов.
В моем случае ACME будет расположен в директории home:
Cd /home
Если следовать официальной инструкции, для загрузки ACME необходимо установить клиент Git:
# apt-get install git
После чего загрузить файлы командой:
# git clone https://github.com/letsencrypt/letsencrypt # cd letsencrypt
Как альтернативный вариант, я предлагаю просто скачать zip-архив ACME с официального репозитория GitHub.
# wget https://github.com/letsencrypt/letsencrypt/archive/master.zip
Извлекаем архив и переходим в каталог с файлами:
# unzip master.zip # mv letsencrypt-master letsencrypt # cd letsencrypt
Для проверки владения доменом, необходимо добавить в настройки виртуального хоста Nginx:
Server { listen 80; server_name test..сайт; location "/.well-known/acme-challenge" { default_type "text/plain"; alias /tmp/letsencrypt-auto"; } }
Для уже существующего сайта, нужно добавить в секцию server алиас:
Location "/.well-known/acme-challenge" { default_type "text/plain"; alias /tmp/letsencrypt-auto"; }
Создание сертификата Let’s Encrypt
Есть несколько параметров запуска клиента Let’s Encrypt. Подробнее о каждом из них можно прочитать на странице официальной документации . Чтобы создать сертификат, просто выполните команды ниже:
# export DOMAINS="-d test..test../letsencrypt-auto certonly --server https://acme-v01.api.letsencrypt.org/directory -a webroot --webroot-path=$DIR --agree-dev-preview $DOMAINS
Не забудьте заменить названия доменов на свои.
В процессе генерации сертификата Let’s Encrypt необходимо будет указать email:
Enter email address (used for urgent notices and lost key recovery)
Примите условия использования:
Please read the Terms of Service at https://letsencrypt.org/documents/LE-SA-v1.0.1-July-27-2015.pdf. You must agree in order to register with the ACME server at https://acme-staging.api.letsencrypt.org/directory
Соглашаемся на сохранение вашего адреса в логах Let’s Encrypt:
NOTE: The IP of this machine will be publicly logged as having requested this certificate. If you"re running letsencrypt in manual mode on a machine that is not your server, please ensure you"re okay with that. Are you OK with your IP being logged?
Если проверка прошла успешно, то вы увидите следующее сообщение:
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/test..pem. Your cert will expire on 2016-03-06. To obtain a new version of the certificate in the future, simply run Let"s Encrypt again. - If like Let"s Encrypt, please consider supporting our work by: Donating to ISRG / Let"s Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
Сгенерированный сертификат и ключи для нашего домена будет расположены в папке:
/etc/letsencrypt/live/test.сайт/
Не меняя расположение, вам необходимо указать путь к файлам в настройка Nginx или другого веб-сервера.
Продление сертификата Let’s Encrypt
Все сертификаты Let’s Encrypt имеют срок действия равный 90 дней. Поэтому, обновлять вручную сертификаты каждые 3 месяца не совсем удобно. По словам представителей Let’s Encrypt, время жизни сертификата в будущем может быть уменьшено.
Чтобы автоматизировать процесс продления сертификата, необходимо добавить в cron скрипт:
Export DOMAINS="-d test..test.сайт" export DIR=/tmp/letsencrypt-auto mkdir -p $DIR /home/letsencrypt/letsencrypt-auto --renew certonly --server https://acme-v01.api.letsencrypt.org/directory -a webroot --webroot-path=$DIR --agree-dev-preview $DOMAINS service nginx restart
На данный момент инсталлятор Let’s Encrypt, со слов авторов проекта, может автоматически исправлять конфигурацию только Apache . Поддержка nginx и других HTTP-серверов находится в разработке. Тем не менее, это не помешает вам получить сертификат.
Если у вас уже работает какой-то веб-сервер, то инсталлятор следует запустить с ключом --webroot . Ключ certonly указывает, что мы только хотим получить сертификат. Ключом -w мы сообщаем расположение корневой папки сайта.
Так же следует перечислить домены, на которых работает сайт, с помощью ключа -d .
Через несколько секунд вы получите сообщение о том, что сертификат получен и его можно использовать.
Работающий веб-сервер нужен инсталлятору, чтобы подтвердить ваше право владения доменом. Если вы ещё не настраивали его, то инсталлятор может сам запустить такой временный сервер на 80 или 443 порту.
Это делается с помощью ключа --standalone .
В отличие от режима webroot, в режиме standalone можно не указывать домены в командной строке.
Инсталлятор запросит их позже в диалоговом окне.
Все генерированные ключи и выпущенные сертификаты лежат в папке /etc/letsencrypt/live/$domain .
- privkey.pem - приватный ключ. Он должен всё время храниться в секрете. Это тот файл, который указывается в опции SSLCertificateKeyFile у Apache или в опции ssl_certificate_key у nginx.
- cert.pem – сертификат для домена. Этот файл указывается в опции SSLCertificateFile у Apache.
- chain.pem - цепочка из промежуточных и корневого сертификатов центра сертификации. Путь до этого файла указывается в опции SSLCertificateChainFile у Apache.
- fullchain.pem - Все сертификаты в одном файле, включая сертификат для домена. Данный файл нужно указать в опции ssl_certificate у nginx.
