DASDEV.ru

Всего понемногу: о web-дизайне и разработке

Переезд на ssl-сертификат Let’s Encrypt

В связи с известными событиями начались отказы в выдаче SSL-сертификатов для сайтов в зоне .ru. Мой старый поставщик ZeroSSL при попытке продления сказал: отказ в обслуживании. Let’s Encrypt, к счастью, пока работает, поэтому вынужден освоить certbot. Так как этот сайт у меня пока чистая html-статика (ни php, ни ssh нет), встал вопрос, как всё сделать вручную на стороне.

У меня есть виртуальная машина с Ubuntu, где я сначала установил certbot. Apt ругался на не совместимость версий python, поэтому самым простом оказался snap:

sudo snap install --classic certbot

Запустил certbot в ручном режиме:

sudo certbot certonly --manual -d dasdev.ru -d www.dasdev.ru

Скрипт спрашивает e-mail адрес

Enter email address (used for urgent renewal and security notices)

Ввожу свой адрес админа домена.

Далее нас просят ознакомиться с условиями пользования. — Соглашаемся.

Спрашивают: Хотите ли получать рассылку? — Если надо, можно сказать Y (Да).

Затем нам устраивают челлендж :). Серьезно.

Create a file containing just this data:
safdfasdfasdhgjfjfgkertyeryjfgjhfjhgjfhjfhjfhjfhgj
And make it available on your web server at this URL:
http://www.dasdev.ru/.well-known/acme-challenge/afsdfsadfsdfafasfdsfasfdasfdsaf
Press Enter to Continue

Перепечатывать это не реально, но всё можно найти в файле /var/log/letsencrypt/letsencrypt.log

Поэтому создаем в корне сайта нужные папки и файл с требуемым содержимым и нажимаем Enter.

Скрипт просит повторить испытание с новым файлом и новыми данными, но уже для адреса без www.

После этого он сказал, что всё успешно создано и сертификаты лежат в /etc/letsencrypt/live/dasdev.ru. Идём туда и качаем на локал три файла: cert.pem, chain.pem и privkey.pem. Четвертый (fullchain.pem) мне не пригодился.

Авторизуемся в панели управления Ru-Center, идем в нужную закладку Панель управления > Сайты > dasdev.ru > Безопасность
и жмём кнопку сменить сертификат.

В качестве сертификата прикрепляем — cert.pem, промежуточного — chain.pem, и приватного ключа — privkey.pem. Жмём установить, и вуа-ля всё удачно установилось.

P.S. Чиновники озаботились местным сертификационным центром только, когда клюнул петух. Теперь организации могут на Госуслугах заказать себе сертификат. А вот про людей опять забыли! О какой поддержке IT отрасли идет речь, если никто из профи для своих opensource проектов не может поднять https, воспользовавшись теми же самыми Госуслугами?

Editor

This website uses cookies to improve user experience. By continuing to use the site, you consent to the use of cookies.