Это старая версия документа!
Let’s Encrypt (в переводе с английского: Давайте шифровать) — центр сертификации, начавший работу в бета-режиме с 3 декабря 2015 года, предоставляющий бесплатные криптографические сертификаты X.509 для TLS шифрования (HTTPS). Процесс выдачи сертификатов полностью автоматизирован.
Проект Let’s Encrypt создан для того, чтобы большая часть интернет-сайтов смогла перейти к шифрованным подключениям (HTTPS). В отличие от коммерческих центров сертификации, в данном проекте не требуется оплата, переконфигурация веб-серверов, использование электронной почты, обработка просроченных сертификатов, что делает процесс установки и настройки TLS-шифрования значительно более простым. Например, на типичном веб-сервере на базе Linux, требуется исполнить две команды, которые настроят HTTPS шифрование, получат и установят сертификат примерно за 20-30 секунд.
Пакет с утилитами автонастройки и получения сертификата включён в официальные репозитарии дистрибутива Debian. Разработчики популярных браузеров, Mozilla и Google намерены постепенно отказаться от поддержки незашифрованного протокола HTTP путём отказа от поддержки новых веб-стандартов для http-сайтов.
Certbot — набор скриптов для автоматизации процессов создания и обновления сертификатов Let's Encrypt.
acme.sh альтернатива Certbot
CertBot: Apache on Debian 8 (jessie)
1. Устанавливаем необходимые пакеты:
apt-get install python-certbot-apache -t jessie-backports
Если необходимо, то модно установить пакет с документацией:
apt-get install python-certbot-doc
2. Настраиваем Apache:
certbot --apache
В процессе настройки программа будет задавать ряд вопросов.
Если возникает ошибка:
Expected </VirtualHost> but saw </VirtualHost></IfModule>
Нужно выполнить:
for f in /etc/apache2/sites-available/*; do sed -i '$a\' "$f"; done
и повторить команду настройки.
В случае успешной установки вы увидите поздравление:
Congratulations! You have successfully enabled https://wiki.yola.ru
А также предложение выполнить анализ вашего сайта:
You should test your configuration at: https://www.ssllabs.com/ssltest/analyze.html?d=wiki.yola.ru
Поскольку сертификат Let's Encrypt выдаётся на 90 дней, нужно настроить автоматическое обновление сертификата.
В пакете для Debian присутствует файл настройки для Cron который выполняет процедуру проверки срока действия сертификата и выполняет его обновление только в том случае, если до окончания действия сертификата остаётся 30 или менее дней. Протокол выполнения процедуры обновления записывается в файл /var/log/letsencrypt/letsencrypt.log
. Вот это файл для Cron:
# /etc/cron.d/certbot: crontab entries for the certbot package # # Upstream recommends attempting renewal twice a day # # Eventually, this will be an opportunity to validate certificates # haven't been revoked, etc. Renewal will only occur if expiration # is within 30 days. SHELL=/bin/sh PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin 0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew
Также можно вручную настроить Cron, вот пример:
1 4 * * 1 /usr/bin/certbot renew >> /var/log/letsencrypt/certbot-renew.log
Нужен certbot
версии старше 0.28
#!/bin/bash apt-get remove certbot cd /usr/local/sbin wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto
Выполняем для проверки:
/usr/local/sbin/certbot-auto renew
SHELL=/bin/sh PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin 0 0,12 * * * python -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/sbin/certbot-auto renew
How to stop using TLS-SNI-01 with Certbot - Client dev - Let's Encrypt Community Support
https://ru.wikipedia.org/wiki/Let's_Encrypt
Certbot: An automatic client for enabling HTTPS on your website.
https://wiki.debian.org/ru/LetsEncrypt
Установка ssl сертификата Apache от Lets Encrypt
Создание сертификата Let’s Encrypt для Apache в Debian 8
Letsencrypt: Expected </VirtualHost> but saw </VirtualHost></IfModule>
https://github.com/sprokhorov/zabbix_letsencrypt
How To Secure Nginx with Let's Encrypt on Debian 8
opennet.ru: Вступили в силу требования к удостоверяющим центрам по проверке CAA-записей в DNS
opennet.ru: Использование CAA записей в DNS для защиты от генерации фиктивных HTTPS-сертификатов
opennet.ru: Let's Encrypt занял 36% рынка удостоверяющих центров
opennet.ru: Проект Let's Encrypt ввёл в строй протокол ACMEv2 и поддержку масок