Let’s Encrypt & Apache/Nginx

*перевод официальной статьи

Здесь представлен основной набор инструкции по использованию SSL-сертификатов Let’s Encrypt на веб-сервере. Certbot имеет несколько плагинов для чтения и изменения существующих конфигураций веб-узла, так что процесс установки довольно прост..

Добавить репозитарии

Certbot доступен в репозитарии OpenSUSE 42.3 а более свежих релизов.

Для OpenSUSE 42.2 и более ранних версий пакеты не поставляются в официальных репозитариях . Добавить нужный репозитарий:

sudo zypper addrepo http://download.opensuse.org/repositories/devel:languages:python/openSUSE_13.2/devel:languages:python.repo

Для Leap 42.2 выберите следующее:

sudo zypper addrepo http://download.opensuse.org/repositories/devel:/languages:/python/openSUSE_Leap_42.2/devel:languages:python.repo

Установить пакеты

При использовании Apache в качестве веб-сервера:

sudo zypper install certbot python-certbot python-certbot-apache

При использовании Nginx в качестве веб-сервера:

sudo zypper install certbot python-certbot python-certbot-nginx

Для Leap 42.2 необходимо обновить пакет python-cryptography до версии >= 1.3.4:

sudo zypper install python-cryptography-1.8.1

Изменение конфигурации

По умолчанию certbot использует тестовый ЦС, который выдает только недействительные SSL-сертификаты. Чтобы использовать продуктивный ЦС Let’s Encrypt, необходимо отредактировать /etc/certbot/cli.ini

до изменений:

# The staging/testing server
server = https://acme-staging.api.letsencrypt.org/directory
# The productive server.
# server = https://acme-v01.api.letsencrypt.org/directory

после изменений:

# The staging/testing server
# server = https://acme-staging.api.letsencrypt.org/directory
# The productive server.
server = https://acme-v01.api.letsencrypt.org/directory

Запуск

При использовании Apache:

sudo certbot --apache

При использовании Nginx:

sudo certbot --nginx

Certbot считывает все существующие файлы конфигурации виртуального узла Apache/Nginx и определяет, какие домены могут быть включены SSL-сертификаты. После этого появится интерактивный диалог:

Certbot dialog choose domains.png

(Извините за китайские символы на снимке экрана. левая кнопка – «OK», правая – «Cancel»)

В приведенном выше диалоговом окне используйте кнопки «Вверх» и «Вниз» для перехода, клавишу «Пробел» для выбора/отмены выбора доменов, к которым требуется применить HTTPS-соединение. Затем нажмите клавишу Enter. Следующий экран:

Certbot dialog redirect.png

Для обеспечения безопасности можно перенаправить HTTP на HTTPS или нет. Если Вы хотите это, выберите Secure. Однако если у вас есть клиенты, которым требуется HTTP, выберите Easy. Затем нажмите Enter. Следующий экран:

Certbot dialog success.png

Перезапуск Apache или Nginx не требуется.

Тестирование

Откройте веб-браузер, посетите свой веб-сайт, начните с «https ://» и посмотрите, есть ли зеленый символ блокировки перед URL, и здесь нет предупреждений.

Вы также можете протестировать свой веб-сайт в SSL Labs.

Автоматизация обновлений

Сертификаты шифрования действительны только в течение 90 дней. Чтобы сократить объем работы, мы рекомендуем использовать Crontab для ежемесячного обновления работы.

Измените /etc/cron.d/certbot.cron, и раскомментируйте строку обновления:

# renew all certificates methode: renew
10 5 1 * *  root    /usr/bin/certbot renew
Запись опубликована в рубрике CMS, OpenSUSE, Переводы, Сертификаты. Добавьте в закладки постоянную ссылку.

1 комментарий на «Let’s Encrypt & Apache/Nginx»

  1. Уведомление: Let’s Encrypt & Apache/Nginx в OpenSUSE 15.3 | Техничка

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *