Fornex
Европейский
хостинг

    Let’s Encrypt – некоммерческий удостоверяющий центр, который предоставляет бесплатные X.509 сертификаты для TLS шифрования с помощью автоматизированного процесса, направленного на замену текущего сложного процесса ручного создания, проверки, подписи, установки и обновления сертификатов для защищённых веб-сайтов. Недавно Let’s Encrypt представил Wildcard-сертификат для вашего домена, теперь вы можете использовать ssl без подстановочных знаков для своего домена и для нескольких поддоменов только с одним SSL-сертификатом.

    Это руководство будет работать с дистрибутивами Linux, такими как CentOS, Ubuntu, Debian.

    • Устанавливаем скрипт acme.sh:
    cd /root  
    yum -y install socat git  
    git clone https://github.com/Neilpang/acme.sh.git  
    cd ./acme.sh  
    ./acme.sh --install
    

    После установки будет создано задание в cron для автоматического продления сертификата.

    • Подаем запрос на выпуск:
    bash acme.sh --issue -d mecmep.site -d  *.mecmep.site --dns --force --yes-I-know-dns-manual-mode-enough-go-ahead-please  
    

    Вместо mecmep.site необходимо указать свой домен.

    • Скрипт сгенерирует 2 TXT записи которые нужно добавить в панель DNS:
    [Mon Apr 13 14:06:52 MSK 2020] Domain: '_acme-challenge.mecmep.site'
    [Mon Apr 13 14:06:52 MSK 2020] TXT value: 'lGcZEqos8Ki_4Yl_MvTC8OF54Ixjkp_SHKLqZ7ba7G8'
    ...
    [Mon Apr 13 14:06:52 MSK 2020] Domain: '_acme-challenge.mecmep.site'
    [Mon Apr 13 14:06:52 MSK 2020] TXT value: 'GfIz0ovmKkHmwN1BV57Vc2IwZeBXPCY5s2M24VWQN3I'
    

    При добавлении записи, в конце имени записи следует добавить точку. Например:

    TXT record _acme-challenge.mecmep.site.  
    value : “lGcZEqos8Ki_4Yl_MvTC8OF54Ixjkp_SHKLqZ7ba7G8”  
    
    TXT record _acme-challenge.mecmep.site.  
    value : “GfIz0ovmKkHmwN1BV57Vc2IwZeBXPCY5s2M24VWQN3I”  
    

    file

    • Проверяем обновились ли записи в DNS:
    dig txt +short _acme-challenge.mecmep.site  
    "GfIz0ovmKkHmwN1BV57Vc2IwZeBXPCY5s2M24VWQN3I"
    "lGcZEqos8Ki_4Yl_MvTC8OF54Ixjkp_SHKLqZ7ba7G8"
    
    • После обновления DNS возобновляем выдачу сертификата:
    bash acme.sh --renew -d mecmep.site -d  *.mecmep.site --dns --force --yes-I-know-dns-manual-mode-enough-go-ahead-please  
    
    [Mon Apr 13 14:16:47 MSK 2020] Renew: 'mecmep.site'
    [Mon Apr 13 14:16:48 MSK 2020] Multi domain='DNS:mecmep.site,DNS:*.mecmep.site'
    [Mon Apr 13 14:16:49 MSK 2020] Getting domain auth token for each domain
    [Mon Apr 13 14:16:49 MSK 2020] Verifying: mecmep.site
    [Mon Apr 13 14:16:53 MSK 2020] Success
    [Mon Apr 13 14:16:53 MSK 2020] Verifying: *.mecmep.site
    [Mon Apr 13 14:16:57 MSK 2020] Success
    [Mon Apr 13 14:16:57 MSK 2020] Verify finished, start to sign.
    [Mon Apr 13 14:16:57 MSK 2020] Lets finalize the order, Le_OrderFinalize: https://acme-v02.api.letsencrypt.org/acme/finalize/83278451/2986784558
    [Mon Apr 13 14:16:58 MSK 2020] Download cert, Le_LinkCert: https://acme-v02.api.letsencrypt.org/acme/cert/04445ffc3799e6e4ab158437a6730fb44031
    [Mon Apr 13 14:16:59 MSK 2020] Cert success.
    -----BEGIN CERTIFICATE-----
    MIIFXTCCBEWgAwIBAgISBERf/DeZ5uSrFYQ3pnMPtEAxMA0GCSqGSIb3DQEBCwUA  
    MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD  
    ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0yMDA0MTMxMDE2NThaFw0y  
    MDA3MTIxMDE2NThaMBYxFDASBgNVBAMTC21lY21lcC5zaXRlMIIBIjANBgkqhkiG  
    9w0BAQEFAAOCAQ8AMIIBCgKCAQEAnF3K+VKC1F1/UBYKdjzzE0QRNa0Du7HzOcuZ  
    nMOT1TTpsiKIMmwHJMJ9rk1cjn+gWdy+kRxWpFz1giX/tO98GGOU5BvHHEsVW4vN  
    8JWkWfIA0YJAEC0vk4iOrUv+HUfjmeHQNKawqKqOsnMAAAFxc0G0qQAABAMASDBG  
    AiEAslEjKLDqUWZ6kX/QDAkFsZ6zbS/qg2zh3Q3T6duingACIQDY8LijAUZ+Yvfz  
    olc1F1Y08u3mhbKv1ykI4wMJ5X3dxAB1ALIeBcyLos2KIE6HZvkruYolIGdr2vpw  
    57JJUy3vi5BeAAABcXNBtpYAAAQDAEYwRAIgJEGmMpNk7pRcLwhcmGWIlkJODATc  
    LDKll/pQ7URhMikCIBo2BVWheYL2XgAuHKNNgPic4j5gAmVqBWF9riNKGyH1MA0G  
    CSqGSIb3DQEBCwUAA4IBAQAUwvSV8tNLzrO1/ghDU26y5CNszRouyv8RpMOq1zmO  
    h6p9UzZlmWULtBQiObTcZAqb3CVsm6F3fU9CbX80uB3yAE1vqjMCkcadIuyAGL+R  
    EfBG2fQ8WGTRfTylljqz0ctfet/2kWQvWjAtS8P+DeZVbcbO6ubKtHw8SF1bw/v9  
    s3D13jnxnNJn979+bTQUtVZ8eCcctJfJNHKoe54gC5lF2UlHJTy2SXHtQlG5kw9i  
    7z/Ag01qItgUBqdKeBZc+tLwfZhXlR46sHn3PTMlPwzuDiEu8TFQKcx6zewzOz1U  
    tIs5N7XCrdnZsJy0FLG6wJSyszDTldeCLwdWgxPOAEcn  
    -----END CERTIFICATE-----
    [Mon Apr 13 14:16:59 MSK 2020] Your cert is in  /root/.acme.sh/mecmep.site/mecmep.site.cer 
    [Mon Apr 13 14:16:59 MSK 2020] Your cert key is in  /root/.acme.sh/mecmep.site/mecmep.site.key 
    [Mon Apr 13 14:16:59 MSK 2020] The intermediate CA cert is in  /root/.acme.sh/mecmep.site/ca.cer 
    [Mon Apr 13 14:16:59 MSK 2020] And the full chain certs is there:  /root/.acme.sh/mecmep.site/fullchain.cer 
    

    Будут выданы сертификаты, ключ и цепочка которые нужно добавить в конфигурационные файлы apache и nginx удалив уже существующие:
    Apache:

    /home/admin/conf/web/mecmep.site.apache2.ssl.conf, где mecmep.site имя домена
    
        SSLCertificateFile /root/.acme.sh/mecmep.site/mecmep.site.cer
        SSLCertificateKeyFile /root/.acme.sh/mecmep.site/mecmep.site.key
        SSLCertificateChainFile /root/.acme.sh/mecmep.site/fullchain.cer
    

    Nginx:

    /home/admin/conf/web/mecmep.site.nginx.ssl.conf, где mecmep.site имя домена
    
        ssl_certificate      /root/.acme.sh/mecmep.site/fullchain.cer;
        ssl_certificate_key  /root/.acme.sh/mecmep.site/mecmep.site.key;
    
    • Перезапускаем apache и nginx:
    # systemctl restart apache2
    # systemctl restart nginx
    

    Чтобы обновить сертификаты, вам нужно выполнить эту команду через 90 дней, обновите запись TXT dns, как указано ниже:

    acme.sh --issue -d mecmep.site -d *.mecmep.site --dns --force --yes-I-know-dns-manual-mode-enough-go-ahead-please  
    

    Где mecmep.site имя вашего домена.

    file


    Автоматическое обновление let’s encrypt certs с помощью задания Cron, добавьте этот ежедневный cron для проверки автообновления:

    0 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null  
    

    Проверить корректность установки сертификата Вы можете с помощью данного сервиса.

    file


    Если у Вас возникли трудности в настройке или появились дополнительные вопросы, вы всегда можете обращаться в нашу службу поддержки через систему тикетов.