Инструменты пользователя
letsencrypt:letsencrypt
Различия
Здесь показаны различия между двумя версиями данной страницы.
| Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
|
letsencrypt:letsencrypt [2020-09-03 21:51] GreyWolf |
letsencrypt:letsencrypt [2021-10-04 16:37] (текущий) GreyWolf [IdenTrust DST Root CA X3 2021-09-30] |
||
|---|---|---|---|
| Строка 111: | Строка 111: | ||
| [[https://rusua.org.ua/2017/03/10/sertifikaty-letsencrypt-i-postfixcourier-popimap/|Сертификаты Let’sEncrypt и Postfix,Courier-pop/imap или Dovecot | Блокнот обычного админа =)]] | [[https://rusua.org.ua/2017/03/10/sertifikaty-letsencrypt-i-postfixcourier-popimap/|Сертификаты Let’sEncrypt и Postfix,Courier-pop/imap или Dovecot | Блокнот обычного админа =)]] | ||
| + | |||
| + | ====== Добавление домена ====== | ||
| + | FIXME | ||
| + | |||
| + | <code bash> | ||
| + | certbot --apache -d example.com -d www.example.com | ||
| + | </code> | ||
| ====== Обновление сертификата ====== | ====== Обновление сертификата ====== | ||
| Поскольку сертификат Let's Encrypt выдаётся на 90 дней, нужно настроить автоматическое обновление сертификата. | Поскольку сертификат Let's Encrypt выдаётся на 90 дней, нужно настроить автоматическое обновление сертификата. | ||
| Строка 163: | Строка 170: | ||
| </code> | </code> | ||
| ====== TLS-SNI-01 validation is reaching end-of-life ====== | ====== TLS-SNI-01 validation is reaching end-of-life ====== | ||
| - | FIXME | ||
| Нужен ''certbot'' версии старше 0.28 | Нужен ''certbot'' версии старше 0.28 | ||
| Строка 192: | Строка 198: | ||
| [[https://certbot.eff.org/lets-encrypt/debianjessie-apache|Install Certbot for Apache on Debian 8 (jessie)]] | [[https://certbot.eff.org/lets-encrypt/debianjessie-apache|Install Certbot for Apache on Debian 8 (jessie)]] | ||
| + | |||
| + | ====== IdenTrust DST Root CA X3 2021-09-30 ====== | ||
| + | |||
| + | 30 сентября 2021 конец срока действия IdenTrust DST Root CA X3. | ||
| + | |||
| + | Тест: | ||
| + | <code bash> | ||
| + | faketime -f '@2021-10-01 00:00:00' curl https://letsencrypt.org/ | ||
| + | </code> | ||
| + | |||
| + | Чтобы проверить наличие сертификата ISRG Root X1 в числе доверенных: | ||
| + | <code bash> | ||
| + | awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/c | ||
| + | </code> | ||
| + | |||
| + | **Решение** | ||
| + | * Вариант 1: <WRAP> | ||
| + | \\ В файле ''/etc/ca-certificates.conf'' нужно найти строчку: | ||
| + | <code> | ||
| + | mozilla/DST_Root_CA_X3.crt | ||
| + | </code> | ||
| + | и поставить в начало сроки символ "!": | ||
| + | <code> | ||
| + | !mozilla/DST_Root_CA_X3.crt | ||
| + | </code> | ||
| + | Далее, необходимо выполнить команду: | ||
| + | <code bash> | ||
| + | sudo update-ca-certificates | ||
| + | </code> | ||
| + | </WRAP> | ||
| + | * Вариант 2: <WRAP> | ||
| + | Установить новый сертификат {{isrg_root_x1_2015-06-04_2035-06-04.pem|ISRG Root X1 (до 2035-06-04)}}. \\ [[https://letsencrypt.org/certs/isrgrootx1.pem.txt|источник]], [[https://censys.io/certificates/6d99fb265eb1c5b3744765fcbc648f3cd8e1bffafdc4c2f99b9d47cf7ff1c24f|источник 2]] | ||
| + | </WRAP> | ||
| + | |||
| + | ---- | ||
| + | |||
| + | [[https://www.opennet.ru/opennews/art.shtml?num=55875|Устаревание корневого сертификата IdenTrust приведёт к потере доверия к Let's Encrypt на старых устройствах]] | ||
| + | |||
| + | [[https://habr.com/ru/post/580092/|30 сентября: Let's Encrypt и конец срока действия IdenTrust DST Root CA X3 / Хабр]] | ||
| ====== Ссылки ====== | ====== Ссылки ====== | ||
letsencrypt/letsencrypt.1599159067.txt.gz · Последние изменения: 2020-09-03 21:51 — GreyWolf
Инструменты страницы
Если не указано иное, содержимое этой вики предоставляется на условиях следующей лицензии: CC Attribution-Noncommercial-Share Alike 4.0 International
