Получение SSL-сертификата от Let’s Encrypt на VPS

SSL сертификат — это цифровое удостоверение сайта. 

Он необходим, если вы хотите настроить доступ к сайту по протоколу HTTPS.

Обычно сертификаты стоят денег, но можно самостоятельно и легко сгенерировать бесплатный с помощью Lets Encrypt.

SSL-сертификат — это цифровой сертификат, удостоверяющий подлинность веб-сайта и позволяющий использовать зашифрованное соединение. Без защищенного соединения сайту будет проблематично продвинуться в поисковых системах и завоевать доверие клиентов. Для небольших веб-проектов, лендингов и блогов отлично подойдет бесплатный SSL-сертификат Let’s Encrypt. В нашей статье мы подробно расскажем, как получить его на виртуальном хостинге и VPS/VDS сервере.

Изображение от Freepik.

Что такое SSL-сертификат и зачем он нужен?

SSL-сертификат (TLS-сертификат) – это специальный цифровой документ, который связывает между собой криптографический ключ и информацию о сайте, для которого он был выпущен. Наличие SSL-сертификата, выпущенного доверенным центром сертификации, является обязательным условием для установления безопасного соединения между сервером и клиентами по протоколу HTTPS.

SSL-сертификат обеспечивает защиту личной информации, позволяет шифровать данные, передаваемые между браузером и сервером, гарантируя сохранность персональной информации пользователей.

Существует несколько разновидностей SSL-сертификатов, различающихся степенью глубины проверки данных о владельце сайта. Из-за того, что такие SSL-сертификаты являлись платными, их достаточно редко использовали для небольших сайтов, домашних страниц, личных блогов и т.п. В результате, большая часть сайтов в интернете не использовала защищенные протоколы для связи с клиентами.

К счастью, на текущий момент, благодаря Let’s Encrypt, у владельцев сайтов появилась возможность совершенно бесплатно и автоматически выпускать SSL-сертификат для своего сайта и перейти на использование защищенного протокола HTTPS.

Let’s Encrypt – это некоммерческий центр сертификации, предоставляющий сертификаты для 260 миллионов сайтов. Let’s Encrypt занимается выпуском сертификатов, поддерживаемых современными браузерами (полный их список доступен на официальном форуме поддержки Let’s Encrypt). Подробную информацию о совместимости сертификатов можно найти здесь.

Мы считаем, что каждый сайт должен работать через SSL, поэтому сделали установку сертификатов простой и быстрой. Наши пользователи могут защитить свои домены с помощью бесплатного SSL-сертификата, который зашифрован 256-битным симметричным ключом, автоматически устанавливается и обновляется. На VPS сертификат устанавливается вручную либо через сторонние панели. Подробные инструкции по установке представлены ниже.

Стандартный сертификат защищает домен и до 39 поддоменов, а Wildcard используется для сайтов с большим или динамическим числом поддоменов. Сертификаты Let’s Encrypt можно устанавливать на домены в зоне .РФ или кириллические домены в любой другой зоне. Среди ключевых достоинств сертификатов от Let’s Encrypt – легкость получения и надежность (сертификат бесплатный, однако степень шифрования не уступает платным аналогам).

В Let’s Encrypt можно получить бесплатный SSL‑сертификат сроком действия в 90 дней. Для получения такого сертификата необходимо подтвердить факт владения доменом с использованием протокола аутентификации ACME (Automated Certificate Management Environment), согласно которому к веб-серверу, запросившему выпуск сертификата, производится серия запросов для валидации домена. После выполнения этой процедуры владельцу домена выдается SSL-сертификат, который следует установить и настроить на своем сервере.

Мы подготовили простые инструкции, которые позволят вам выпустить бесплатный SSL-сертификат и настроить его автоматическое обновление для веб-серверов Nginx, Apache и панели управления VestaCP, в зависимости от того, что вы используете на своем виртуальном сервере.

Как и обещал, вот инструкция как получить сертификат SSL для сайта: бесплатно, без линуксов, если ваша панель управления сайтом не поддерживает его выпуск в автоматическом режиме.

Этот вариант подходит например тем, кто хостится у ру-центра (nic.ru) — там специально не вводят автоматику установки сертификата, чтобы продавать задорого то, что давно не нужно.

Увы, большинство инструкций или ведут на платные сервисы, или на линуксовые инструкции для хостингов, чтобы найти вариант «на домашнем компе и без заморочек с автоматикой», пришлось напрячься, так что если кому-то время сэкономлю — будет уже неплохо.

Распаковываем в удобное место, запускаем wacs.exe:

Выбираем N для создания нового сертификата, и 2 для ручной настройки:

Вводим адрес нашего домена, и тут я рекомендую через запятую ввести его в формате «www.домен».

Далее у нас просит адрес вашего FTP с сайтом. Посмотреть его можно в панели управления сайтом на вашем хостинге, при чём путь должен быть именно до папки, где хранятся сами файлы сайта. Если вы тоже используете nic.ru, то это проще всего сделать путём создания нового пользователя FTP — просто укажите ему доступ к папке конкретного сайта:

Далее нам надо отказаться от загрузки вебконфига (просто тыкаем enter), ввести имя пользователя FTP, которого мы создали, выбрать ввод пароля в консоли (2), ввести сам пароль, отказаться от его сохранения (enter):

Следующим пунктом идёт место сохранения сертификата. Проще всего — в папке программы создайте папку SSL, и скопирeйте прямо из окна проводника путь (для вставки скопированного текста — нажмите правой кнопкой мыши в окне программы):

Далее соглашаемся ввести пароль от приватного ключа в консоли (2), придумываем и вводим пароль, отказываемся от сохранения (enter), и отказываемся от выполнения дополнительных скриптов (3):

А в созданной папке для сертификатов появилось 4 файла:

Нам отсюда обычно нужны только файлы сертификата (-crt) и ключа (-key).

Дальше — надо загрузить их на хостинг, и тут уже зависит от конкретного хостинга. Я покажу на примере ру-центра.

В панели управления хостингом выбираем «Сайты», потом ваш сайт, вкладку «Безопасность», при необходимости включаем «Защищенное HTTPS-соединение» и нажимаем на «Добавить/сменить сертификат».

Тут нам надо скормить полученный файлы хостеру. Выбираем напротив «сертификат» кнопку «загрузить файл», грузим файл с crt в названии, аналогично с приватным ключом, вводим под ним пароль, который мы задали ранее, и нажимаем на «Установить»:

Поздравляю, сертификат установлен!

Поверить срок действия можно в разделе «безопасность» конкретного сайта:

Через без копеек 3 месяца надо будет повторить процесс, но win-acme сохранил данные (кроме паролей), и при запуске надо будет выбирать не «N: Create certificate», а «R: Run renewals».

Вот настроил сайт «Мозаика системного администрирования» на работу по HTTPS с использованием сертификата от Let’s Encrypt.

C помощью скриптов от Certbot процесс настройки оказался очень простым и быстрым.

На Debian это буквально две команды + настройка Cron.

P.S. Пост Pikabu + HTTPS читал.

Правила сообщества

Все дистрибутивы хороши.

Лучшие посты за сегодня

Насколько должно быть важно мнение звезд⁠

Вообще-то любой нормальный человек должен срать хотеть на все, что я говорю. Никогда не понимала, почему мнение звезд по любому никчемному поводу так интересует людей. Сотни актеров рассказывают о том, что они думают о политике, религии, об этом и о том. И все их слушают так внимательно, как даже евреи Моисея не слушали.

Я написал книгу. И ее можно скачать свободно⁠

Привет пикабу! Я написал книгу и назвал ее «Электрообереги». Она рассказывает про те замечательные устройства в электрощитке, что спасают нас от погибели. Начиная от предохранителей, которые существуют более века, заканчивая новейшими устройствами защиты от дугового пробоя. Рассказ построен так, чтобы даже блондинке стало ясно как эти устройства устроены и зачем они нужны. Кто давно на меня подписан подобные посты уже видел — книжка представляет собой собранные воедино и причесанные публикации за последние два года. Еще я перерисовал все сторонние иллюстрации и теперь книжка лицензионно чиста — ни один мерзкий копираст не подкопается.

А еще сегодня у меня день рождения. И это хороший повод сделать подарок миру — книжка публикуется под открытой лицензией CC BY-NC-SA, тоесть ее можно распространять совершенно свободно. (Хочется конечно кинуть жирный камень в огород всяких инфоцыган, продающих в виде «курсов» поверхностную компиляцию из копипасты, но не придумал как это сделать красиво.).

Также хочется сказать спасибо отечественным компаниям IEK (https://www.iek.ru/), EKF (https://ekfgroup.com/), Меандр (https://www.meandr.ru/), Исток (https://istokmw.ru/), Термоэлектрика (https://thermoelectrika.com/) и заводу электроавтомат (https://elav.ru/), за предоставленные образцы продукции, растерзанные в процессе подготовке фотоматериала.

Дополнения к книге

К сожалению не часто авторы книг дают рекомендации, что еще есть достойного почитать по теме. Я рекомендую А.В. Перебаскин Влезай — не убьет! Реальная помощь домашнему электрику. Книжка как раз отлично раскрывает те темы, которые я не раскрывал —  электромонтаж, заземление, чем TN-C-S отличается от TN-C и тому подобное. Второе, на что хочется обратить внимание читателя — IEK академия https://academy.iek.group/ Это платформа дистанционного обучения, которую по-видимому делали для обучения своих сотрудников, но выставили в открытый доступ. Есть перекос в ассортимент своей продукции, но основы общие для всех производителей. Главное, что это место, где можно задать сложные технические вопросы (а еще тут, на пикабу, но в зависимости от фазы луны, могут подсказать, а могут напихать полную панамку) и получить компетентный ответ. Если вы знаете еще аналогичные места — напишите в комментариях.

Ну и чтобы не скачивать книгу для беглой ее оценки — немного скриншотов из нее:

23 часа назад

На болоте весна⁠

Привет, все! За окошком весна, значит пришло время для новой истории про Жабку!

Цикл «Времена года» теперь можно считать официально законченным, но с Жабкой, Бабкой и Сатаной мы ещё увидимся))

Да, если кто не видел предыдущие истории про Жабку, остальные времена года:Зима. Лето. Осень.

Другие картинки и комиксы в группе ВК, Дзен или Инстаграм. Велком!

Сын маминой подруги⁠

Джони Ким в 37 лет поменял три профессии, он был морским котиком (пусть будет спецназовец), достиг степени доктора в Гарварде и стал космонавтом НАСА.

Мой худший кошмар будет если мать Джони будет дружить с моей.

21 час назад

Конкуренция у таксистов⁠

Решили слетать женой и тёщей на выходные из Красноярска в один из городов нашей необъятной родины. Было принято решение в аэропорт Емельяново добираться на своём авто, т.к. жене так более комфортно, и поставить на дальнюю парковку за 200 р в сутки. На этой парковке многие оставляют свои авто, по возвращению, не прибегая к услугам такси, едут спокойно домой.

Прилетев сегодня, пошёл на парковку за машиной, оставив жену с тёщей у выхода из зоны прилёта. Вижу, у одной из машин в ряду тусовка из хозяина машины, его сына и сотрудника полиции. Подхожу, наблюдаю картину — у машины переднее правое колесо спущено. Присутствие полиции говорит о том, что не просто спущено. Как потом выяснилось, порезано ножом. Больше ни у кого повреждений нет. У водителя сработала GSM сигнализация в 16.15 в воскресенье. Т.е. сделали среди бела дня.

Увидив марку авто, сразу понял в чем дело. У пострадавшего Toyota Camry.

Дело в том, что местные бомбилы ездят только на таких авто. Этих пидорских рож примерно 6-7 человек. Цена их услуг начинается от 3 000 рублей, в то время, как такси черезприложения стоит 1000 р эконом, 1500 комфорт. Ставят машины прямо у выхода из зоны прилёта, имея какую-то договорённость с администрацией аэропорта. Стоимость парковки в ближней зоне стоит 1000 за час.

Переодически они проходят территорию парковок и ищут конкурентов.

Мужику не повезло. Один из этих пидорасов, узрев в его машине конкурента, решил таким образом избавиться от него. Правильно ведь — если ты приехал на Toyota Camry, значит ты таксист, который хочет урвать у бедных заднеприводных кусок хлеба.

Озвучил свои подозрения пострадавшему, он ими очень заинтересовался. А вот поведение сотрудника полиции насторожило. Услышав мою версию, он засуетился, начал усиленно убеждать водителя, что это не так, что этим бедным, несчастным таксистам незачем это делать.

В 2015 году уже была шумиха по этому поводу. Там быдлотаксисты резали колёса всем подряд, были случаи избиения. Чем дело закончилось — не знаю. Но судя по сегодняшнему дню — организованная группа гомосексуалистов на территории парковок аэропорта Емельяново имеет место быть.

Сколько гарантию на капиталку дадите?⁠

Собсно, приехал клиент на Паджерике. Двигатель не заводится. Крутится с трудом. Приговорили на капиталку. Спрашивает, сколько гарантия.

— Гарантия полгода или 10 тыс км

— А что так мало? Двигатель после капиталки меньше ходит, чем с завода?

— Да, в принципе, после хорошей капиталки столько же вполне проходит.

— Так а че тогда гарантия такая маленькая?

— Ну, я же не знаю, как вы двигатель эксплуатировать будете. Будете ли строго соблюдать предписания производителя? А так, полгода вполне достаточно для того, чтобы понять, что работы сделаны качественно.

— Я всегда соблюдаю предписания производителя! Смотрю на приборы, езжу аккуратно и вовремя меняю все жидкости!

-Ок. Но больше полугода мы не даем.

Вынимаем и разбираем движок.

Смотрю на все это и думаю, может, полгода — много?

Дочери Тритона⁠

Царь Тритон, когда смотрит на своих дочерей

Царица Афина, когда Тритон смотрит на своих дочерей

Себастьян рядом с Тритоном

Ответ LastFlame в «Как не дать банкам себя обмануть в 2023 году»⁠

Не плюсиков ради, а пользы для. Если кто планирует брать кредит в Альфе или уже взял и 14 дней ещё не прошли.

Нужны были средства для приобретения авто на каждый день и чтобы поэкономичнее (про ситуацию на вторичном рынке это отдельная эпопея с мАтами).

Протертые джинсы⁠

Тот парень, который написал пост про то, как сохранять джинсы, которые быстро трутся на ляшках. Нобелевскую премию нужно дать. Спасибо. Джинсы как новые уже год.На всякий случай:шов и места, где обычно трутся натираем обычной восковой свечой. Сразу, после покупки и после каждой стирки. Всё.

Продление

Сертификат Let’s Encrypt выдаётся на 3 месяца. Для обновления достаточно вызвать команду

и затем перезагрузить сервер. Удачи!

Выпуск и настройка Let’s Encrypt на хостинге

• Переходим в панель управления хостингом. Во вкладке «Администрирование» находим пункт «Выделенные IP» и нажимаем на плюсик.
• Переходим в раздел «Сайты», напротив нужного веб-ресурса нажимаем «Сменить IP».
• Выбираем выделенный IP в качестве нового и сохраняем изменения.
• Возвращаемся в «Управление сайтами» и теперь выбираем пункт «SSL» напротив нужного сайта.
• Выбираем действие «Let’s Encrypt» и ставим галочку напротив «Редирект на https». Нажимаем «Продолжить».

В течение нескольких минут ваш запрос будет обработан и сайт заработает по защищенному HTTPS-протоколу.

Ispmanager

Наши клиенты могут арендовать хостинг с популярной панелью управления ispmanager. Чтобы сгенерировать бесплатный SSL-сертификат в ней, необходимо:

• Зайти в ispmanager (доступы появятся в интерфейсе панели ИХЦ после оплаты и активации услуги).
• Перейти в раздел WWW ⇒ SSL-сертификаты. Нажать на «Let’s Encrypt».
• В поле «Домен» выбрать нужный сайт и нажать «Ок».

Убедитесь, что в настройках сайта стоит галочка напротив пункта с перенаправлением на HTTPS. Отлично, все готово.

Выпуск и настройка Let’s Encrypt на VPS

Для удобного получения бесплатного SSL-сертификата на VPS/VDS сервере без панели управления потребуется специальный клиент протокола ACME — Certbot. Он нужен для запроса сертификата, валидации домена, установки и дальнейшего автопродления сертификатов от Let’s Encrypt.

Системные требования для работы Certbot:

• Linux, macOS, BSD и Windows.
• Root-доступ в Linux/BSD. Доступ администратора в Windows.
• Порт 80 открыт.

Мы покажем отдельные инструкции для веб-серверов Apache и Nginx.

Для веб-сервера Apache

Первое, что нужно сделать — установить Certbot. На Certbot есть инструкции под разные дистрибутивы Linux. Например, для установки на Ubuntu 18.04 выполните команды:

$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt-get update
$ sudo apt-get install python-certbot-apache

$ sudo yum install python2-certbot-apache

$ sudo apt-get install python-certbot-apache -t stretch-backports

В первый запуск Certbot будет предложено указать электронную почту для регистрации в Let’s Encrypt и получения уведомлений. Также вам потребуется прочитать и принять условия использования.

После установки можно переходить непосредственно к выпуску Let’s Encrypt. Мы рекомендуем самый простой способ — с помощью специального плагина Apache для выпуска и автоматической установки сертификата.

Плагин получает SSL-сертификат для сайта и автоматически устанавливает его. Обратите внимание, Certbot должен найти корректный виртуальный хост в конфигурации Apache — для этого он будет искать директиву ServerName, которая соответствует домену, для которого вы выпускаете сертификат. Поэтому обязательно убедитесь, что конфигурация веб-сервера настроена корректно.

После окончания установки Let’s Encrypt вы увидите дополнительную информацию, а также ссылку для проверки.

Для веб-сервера Nginx

Мы покажем примеры установки для нескольких дистрибутивов Линукс. С остальными инструкциями вы можете ознакомиться на официальном сайте.

sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install python-certbot-nginx

$ sudo yum install python2-certbot-nginx

sudo apt-get install python-certbot-nginx -t stretch-backports

После установки запускаем плагин Nginx:

Обратите внимание, Certbot должен иметь возможность найти корректный блок server в вашей конфигурации. Для этого он будет искать директиву server_name, соответствующую домену, для которого вы запрашиваете SSL-сертификат. Поэтому, как и в случае с Apache, обязательно проконтролируйте, что конфигурация веб-сервера настроена правильно.

Обновление сертификатов

Сразу при установке Certbot добавляет cron-задание для автоматического обновления полученных им сертификатов. Чтобы протестировать автообновление, выполните команду:

sudo certbot renew —dry-run

Команда подходит как для Apache, так и для Nginx.

Настройка одной командой

Следующий шаг зависит от того, какой веб-сервер у вас установлен.

После ввода одной из данных команд вы увидите ответ приблизительно следующего содержания.

Введите ваш или произвольный email адрес и нажмите Enter.

Теперь вам предлагают ознакомиться с правилами использования сервиса. Введите A и нажмите Enter.

Вам предлагают согласиться с получением почтовой рассылки на ваш адрес. Смело вводим N для отказа и нажимаем Enter.

Наконец, программа выведет все ваши домены, которые нашла у Apache или Nginx и предложит ввести номер того домена, который вы хотите подключить. В моём случае это будет №1. Введите число и нажмите Enter.

Вам также предложат выбрать, желаете ли вы оставить сайт доступным и по HTTP и по HTTPS или только HTTPS. Выбираем подходящий вариант и нажимаем Enter.

Программа получила все необходимые сертификаты и положила их в директорию

Попутно она создала новый конфиг для вашего веб-сервера и настроила доступ к сайту по протоколу HTTPS. Конфигурационный файл можно найти по адресу

Более подробная информация изложена на сайте https://letsencrypt.org/

Выпуск и настройка сертификата для веб-серверов Apache и Nginx

В случае использования веб-сервера без панели управления выпуск, дальнейшее обновление сертификата и настройку веб-сервера удобно будет выполнять при помощи Certbot.

Certbot — это клиент протокола ACME, который устанавливается на конечном сервере и используется для запроса сертификата, валидации домена, установки сертификата и дальнейшего автоматического продления сертификатов от Let’s Encrypt. Для получения сертификатов у Certbot есть несколько плагинов, которые делятся на два типа — аутентификаторы и установщики.

Аутентификатор используется только для получения сертификатов — он проверяет, что вы имеете доступ к домену, для которого запрашиваете сертификат, получает сертификат для указанного домена и помещает файлы сертификата в каталог /etc/letsencrypt/ на вашем сервере. Аутентификатор не устанавливает сертификат и не редактирует конфигурацию вашего веб-сервера для настройки сертификата.

Установщик — это плагин, который помимо получения сертификатов устанавливает его путем изменения конфигурации вашего веб-сервера. На сегодняшний день установка сертификатов полностью автоматизирована и для Apache, и для Nginx.

Apache – это выпущенное в 1995 году свободное ПО для размещения и поддержки веб-сервера.

Установка Certbot на Ubuntu 16.04 и выше с веб-сервером Apache:

$ sudo apt-get install snapd
$ sudo snap install core; sudo snap refresh core
$ sudo snap install —classic certbot
$ sudo ln -s /snap/bin/certbot /usr/bin/certbot

CentOS 8 и выше с веб-сервером Nginx:

$ sudo dnf install epel-release
$ sudo dnf upgrade
$ sudo dnf install snapd
$ sudo systemctl enable —now snapd.socket
$ sudo ln -s /var/lib/snapd/snap /snap
$ sudo snap install core; sudo snap refresh core
$ sudo snap install —classic certbot
$ sudo ln -s /snap/bin/certbot /usr/bin/certbot

Debian 9 с веб-сервером Apache:

Инструкция по установке Certbot на другие дистрибутивы доступна на официальном сайте Certbot.

После установки Certbot можно приступать к выпуску сертификата. Самый простой и быстрый способ — использовать плагин Apache для выпуска и автоматической установки сертификата:

Плагин получает сертификат для домена (доменов) и автоматически устанавливает его, конфигурируя соответствующим образом Apache.

Для установки Certbot должен иметь возможность найти корректный виртуальный хост в вашей конфигурации Apache. Для этого он будет искать директиву ServerName, соответствующую доменному имени, для которого вы запросите сертификат. Поэтому предварительно убедитесь, что конфигурация веб-сервера настроена верно.

Если вы запускаете Certbot впервые, вам будет предложено указать email для регистрации в Let’s Encrypt и получения важных уведомлений, а также ознакомиться с условиями использования и принять их.

После окончания установки сертификата Certbot предоставит вам дополнительную информацию, а также ссылку для проверки установленного сертификата:

Congratulations! You have successfully enabled https://wolfersen.ru
You should test your configuration at: https://www.ssllabs.com/ssltest/analyze.html?d=wolfersen.ru

Самостоятельная установка для опытных пользователей

Плагин Webroot

Чтобы получить только SSL-сертификат для дальнейшей самостоятельной установки, используйте плагин apache с командой certonly:

$ sudo certbot —apache certonly

Плагин apache с командой certonly внесет временные изменения в конфигурацию веб-сервера (добавит новый виртуальный хост для проверки прав на домен согласно протоколу ACME) и откатит их назад после получения подтверждения, а также при необходимости активирует mod_ssl.

Если вы не хотите, чтобы Certbot каким-либо образом конфигурировал файлы Apache, используйте плагин webroot.

$ sudo certbot certonly —webroot

После запуска плагина вы сможете указать доменное имя (или имена) для запроса сертификата, а также путь к директории с файлами сайта.

По результатам работы Certbot уведомит вас и в случае успеха укажет путь к файлам сертификата. В нашем примере файлы размещены по пути:

Путь к этим файлам необходимо указать в ssl конфигурации Apache. Если для домена нет отдельной конфигурации — скопируйте и переименуйте файл дефолтной конфигурации, например:

$ sudo cp /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-available/wolfersen.ru-ssl.conf

Затем откройте файл для правки и исправьте значения следующих директив на соответствующие вашему домену пути:

ServerName wolfersen.ru
ServerAlias www.wolfersen.ru
DocumentRoot /var/www/wolfersen.ru
SSLCertificateFile /etc/letsencrypt/live/wolfersen.ru/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/wolfersen.ru/privkey.pem

Теперь необходимо активировать mod_ssl и включить новую конфигурацию, после чего перезагрузить веб-сервер:

$ sudo a2enmod ssl
$ sudo a2ensite wolfersen.ru-ssl
$ sudo systemctl reload apache2

Сразу при установке Certbot добавляет cron-задание для автоматического обновления полученных им сертификатов. Задание будет запускаться дважды в день и обновлять те сертификаты, срок действия которых истекает через 30 дней и менее. Чтобы убедиться в этом, откройте файл /etc/cron.d/certbot и проверьте наличие задания, если задания нет, проверьте список системных таймеров командой systemctl list-timers.

Протестировать автоматическое обновление сертификатов вы можете, выполнив команду:

$ sudo certbot renew —dry-run

Nginx – это ПО с открытым исходным кодом, которое работает под управлением ОС семейства Linux/Unix и Microsoft. Nginx выпущен в 2004 году, он позиционируется как простой и быстрый веб-сервер.

В случае, если используется связка Nginx+Apache, сертификат следует выпускать именно по инструкции ниже!

Установка Certbot на Ubuntu 16.04 и выше с веб-сервером Nginx:

CentOS 7 с веб-сервером Nginx:

Debian 9 с веб-сервером Nginx:

После установки Certbot можно приступать к выпуску сертификата. Самый простой и быстрый способ — использовать плагин Nginx для выпуска и автоматической установки сертификата

Плагин получает сертификат для домена (доменов) и автоматически устанавливает его, конфигурируя соответствующим образом Nginx.

Для установки Certbot должен иметь возможность найти корректный блок server в вашей конфигурации. Для этого он будет искать директиву server_name, соответствующую доменному имени, для которого вы запрашиваете сертификат. Поэтому предварительно убедитесь, что конфигурация веб-сервера настроена верно.

Чтобы получить только SSL-сертификат для дальнейшей самостоятельной установки, используйте плагин nginx с командой certonly:

$ sudo certbot —nginx certonly

Плагин nginx с командой certonly внесет временные изменения в конфигурацию веб-сервера (добавит новый блок server для проверки прав на домен согласно протоколу ACME) и откатит их назад после получения подтверждения.

Если вы не хотите, чтобы Certbot каким-либо образом конфигурировал файлы Nginx, используйте плагин webroot.

Путь к этим файлам необходимо указать в блоке server конфигурации Nginx. Пример настроек SSL для Nginx в файле /etc/nginx/sites-available/default:

После этого проверим корректность конфигурации:

После чего перезагрузим веб-сервер:

$ sudo systemctl reload nginx

Сразу при установке Certbot добавляет cron-задание для автоматического обновления полученных им сертификатов. Задание будет запускаться дважды в день и обновлять те сертификаты, срок действия которых истекает через 30 дней и менее. Чтобы убедиться в этом, откройте файл /etc/cron.d/certbot и проверьте наличие задания.

Подготовка

Для получения и установки сертификата вам понадобится доступ к серверу по протоколу SSH. Вам нужно подключиться через терминал с помощью команды

либо поискать веб-консоль в панели управления вашим хостингом.

Для получения и обновления сертификата вам потребуется программа Certbot, которая будет работать с сервисом Let’s Encrypt. Чтобы её установить, введите следующие команды:

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

Выпуск и настройка сертификата для панели управления VestaCP

VestaCP – это панель управления с открытым исходным кодом, которая может использоваться для управления сайтами, учетными записями электронной почты, FTP и т. д. Интерфейс VestaCP позволяет добавлять новые сайты и домены, прямо из панели работать с почтой, создавать резервные копии и добавлять SSL‑сертификаты.

Поддержка Let’s Encrypt доступна в VestaCP из коробки.

Для выпуска и установки сертификата вы можете отметить дополнительные опции сразу при добавлении домена в разделе WEB панели VestaCP:

Или отредактировать настройки домена в разделе WEB, выбрав опции поддержки SSL уже после добавления:

Выпуск и автоматическая установка сертификата занимают до 5 минут. После этого данные SSL-сертификата будут доступны также в настройках домена.

Помимо этого, при установке добавляется cron-задание для автоматического обновления сертификатов, истекающих через 30 и менее дней. Проверить это можно в разделе CRON панели VestaCP:

Решение возможных проблем

• Убедитесь, что ваше доменное имя было введено правильно.
• При использовании АААА записей убедитесь, что в DNS присутствуют также записи типа А.
• Убедитесь, что в конфигурационном файле NGINX отсутствует 301-й редирект на HTTPS (для выпуска или перевыпуска сертификата домен должен быть доступен по HTTP).

• Попробуйте удалить домен из панели VestaCP и добавить его снова, после чего повторить попытку выпуска сертификата.
• Повторите попытку выпуска сертификата через 1 час.

Заключение

Теперь вы знаете, как получить бесплатный SSL-сертификат Let’s Encrypt на обычном шаред-хостинге с помощью панели управления и на VPS/VDS с помощью Certbot. Являетесь нашим клиентом и остались вопросы? Задавайте их в службу технической поддержки — мы обязательно поможем!

• Сегодня, чтобы создать полноценный работающий сайт, вовсе не обязательно владеть языками программирования и другими специальными знаниями. Для этого давно существуют программные продукты, которые делают всю техническую работу за вас. Конструкторы сайтов и системы управления контентом (CMS) являются простыми и удобными инструментами, позволяющими запустить собственный веб-проект. Их часто сравнивают, но на самом деле оба этих решения эффективны — в разных обстоятельствах. Мы расскажем, чем CMS отличаются от конструкторов сайтов, и перечислим особенности каждого метода.
• Битые ссылки (broken links) — это ссылки на сайте, которые не работают: например, ведут на несуществующие страницы с кодом ошибки 404 (Page Not Found). Большое количество битых ссылок ухудшает позиции сайта в поисковых системах, а также негативно сказывается на удобстве для пользователей. В нашей статье мы расскажем, как проверить сайт на битые ссылки с помощью бесплатных онлайн-инструментов.