Let’s Encrypt: получение сертификата по шагам

Обновлено: Май 22, 2019
< Назад

Простая настройка Let’s Encrypt для Centos 7 прежде всего начинается с добавления дополнительного репозитория, она нужна для того установить нужные приложения. Также должен быть настроен в Apache SSL модуль, читать тут

Введем команду чтобы добавить нужный репозиторий:

sudo yum install epel-release

Нам нужно установить Git для того чтобы установить клиент Let’s Encrypt. Поэтому вводим команду:

sudo yum install git 

Следующим шагом нам нужно скачать клиент Let’s Encrypt с официального репозитория и установить её в нужное нам место. Это нам упростит в дальнейшем обновление клиента Let’s Encrypt, потому что он до сих пор находится на стадии бета.

Мы установим клиент в папку /opt, для этого наберите:

sudo git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

Перейдем в папку:

cd /opt/letsencrypt

Дело осталось за малым, набрать команду:

./letsencrypt-auto --apache -d example.com

вместо example.com вводите название вашего домена. Если же хотите помимо основного домена добавлять и поддомены то команда выглядит вот так:

./letsencrypt-auto --apache -d example.com -d www.example.com

Далее появится мастер для настройки, где вам надо указать ваш почтовый ящик, он может понадобиться для восстановления ssl сертификатов.

На нашем хостинге вывалиться ошибка типа «Unable to find cert and/or key directives» и также сообщение что то вроде этого:

IMPORTANT NOTES:
 - If you lose your account credentials, you can recover through
   e-mails sent to user@example.com.
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/example.com/fullchain.pem. Your cert
   will expire on 2016-04-21. To obtain a new version of the
   certificate in the future, simply run Let's Encrypt again.
 - Your account credentials have been saved in your Let's Encrypt
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Let's
   Encrypt so making regular backups of this folder is ideal.
 - If you like Let's Encrypt, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

В принципе можно не обращать внимания на ошибку «Unable to find cert and/or key directives», потому как нужные нам сертификаты уже скачаны и лежат по пути /etc/letsencrypt/live.

Далее переходим редактируем нужный вам файл настройки Apache в /etc/httpd/conf.vhost.d и добавляем строчки:

SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/vippy.chat/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/vippy.chat/privkey.pem

В итоге у вас должно получиться примерно вот так, на примере vippy.chat :

#
#  сайт Vippy.Chat (Planner)
#


<VirtualHost *:80 *:443>
    ServerName vippy.chat
    ServerAlias vippy.chat
    
    ServerAdmin web@rbsoft.ru
    DocumentRoot /var/www/html/planner.rbsoft.ru
    
    ErrorLog /var/log/httpd/vippy.chat-error_log
    CustomLog /var/log/httpd/vippy.chat-access_log common
    
    SSLEngine on
    SSLCertificateFile /etc/letsencrypt/live/vippy.chat/cert.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/vippy.chat/privkey.pem
</VirtualHost>

Ну и конечно же не забывает перезапустить Apache:

sudo systemctl restart httpd

Так как ключи выдаются всего на 90 дней — их нам надо периодически обновлять. Можно в ручную с помощью команды:

./letsencrypt-auto renew

При запуске появится сообщение:

Checking for new version...
Requesting root privileges to run letsencrypt...
   /root/.local/share/letsencrypt/bin/letsencrypt renew
Processing /etc/letsencrypt/renewal/example.com.conf

The following certs are not due for renewal yet:
  /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

Но лучше это автоматизировать с помощью cron’а для этого наберите:

sudo crontab -e

А затем добавьте всего одну строку:

crontab

30 2 * * 1 /opt/letsencrypt/letsencrypt-auto renew >> /var/log/le-renew.log

В принципе на этом можно закончить настройку.

Дополнительные материалы:

Здесь все написано более детально на английском языке. А здесь немного другой метод настройки Let’s Encrypt.

Автор публикации

не в сети 3 недели

boyarov

Аватар 0
Комментарии: 0Публикации: 8Регистрация: 20-05-2019

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

три × один =

Авторизация
*
*

четыре × 2 =

Регистрация
*
*
*

17 − десять =

Генерация пароля

14 + шестнадцать =