23 декабря 201800:40

Некоторое время назад на сайте перестал обновляться SSL сертификат от Let`s Encrypt . Судя по ошибкам, несколько поменялась структура файлов для организации ключей. После исследования проблемы наиболее простым вариантом представилась установка SSL сертификатов с помощью специальной утилиты Certbot . Данная утилита производит установку сертификатов в автоматическом режиме, а также автоматически создаёт задачу по обновлению сертификата, которая базируется либо в планировщике cron либо в systemd.


Поскольку сервер сайта работает на Ubuntu 16.04, то и комплект установки был выбран для этой ОС. В случае других ОС на сайте Certbot предоставляются мануалы и для других систем.

Если Вы производите настройку SSL сертификата впервые, то можно воспользоваться руководством на сайте Certbot, если Вы уже производили настройку сертификата с помощью других утилит, например, с помощью пакета letsencrypt без использования certbot, как показано в следующей статье , то скорее всего понадобится сделать небольшую чистку перед установкой Certbot `a.

Подготовка к установке SSL сертификата

Для начала сделаем backup директории letsencrypt

<span class="pln">sudo cp </span><span class="pun">/</span><span class="pln">etc</span><span class="pun">/</span><span class="pln">letsencrypt</span><span class="str">/ /</span><span class="pln">etc</span><span class="pun">/</span><span class="pln">letsencrypt</span><span class="pun">.</span><span class="pln">backup </span><span class="pun">-</span><span class="pln">r</span>

После чего необходимо удалить все конфигурационные файлы и сертификаты вашего сайта

<span class="pln">rm </span><span class="pun">-</span><span class="pln">rf </span><span class="pun">/</span><span class="pln">etc</span><span class="pun">/</span><span class="pln">letsencrypt</span><span class="pun">/</span><span class="pln">live</span><span class="pun">/</span><span class="pln">$</span><span class="pun">{</span><span class="pln">DOMAIN</span><span class="pun">}</span> rm <span class="pun">-</span><span class="pln">rf </span><span class="pun">/</span><span class="pln">etc</span><span class="pun">/</span><span class="pln">letsencrypt</span><span class="pun">/</span><span class="pln">renewal</span><span class="pun">/</span><span class="pln">$</span><span class="pun">{</span><span class="pln">DOMAIN</span><span class="pun">}.</span><span class="pln">conf
rm </span><span class="pun">-</span><span class="pln">rf </span><span class="pun">/</span><span class="pln">etc</span><span class="pun">/</span><span class="pln">letsencrypt</span><span class="pun">/</span><span class="pln">archive</span><span class="pun">/</span><span class="pln">$</span><span class="pun">{</span><span class="pln">DOMAIN</span><span class="pun">}</span>

Если вы настраивали планировщик cron для автоматического обновления сертификата, то не забудьте удалить эту задачу.

Установка SSL сертификата

Далее необходимо произвести установку утилиты Certbot для Ubuntu 16.04 (в моём случае используется эта версия ОС), при этом в стандартных репозиториях этой утилиты нет, поэтому необходимо воспользоваться PPA разработчиков.

<span class="pln">$ sudo apt</span><span class="pun">-</span><span class="kwd">get</span> install software<span class="pun">-</span><span class="pln">properties</span><span class="pun">-</span><span class="pln">common
$ sudo add</span><span class="pun">-</span><span class="pln">apt</span><span class="pun">-</span><span class="pln">repository ppa</span><span class="pun">:</span><span class="pln">certbot</span><span class="pun">/</span><span class="pln">certbot
$ sudo apt</span><span class="pun">-</span><span class="kwd">get</span> update
$ sudo apt<span class="pun">-</span><span class="kwd">get</span> install python<span class="pun">-</span><span class="pln">certbot</span><span class="pun">-</span><span class="pln">nginx</span>

Получение сертификата

Следующим шагом является запуск утилиты, которая в автоматическом режиме отыщет настроенные сервера. Напомню, что на моём сайте используется Nginx , поэтому и настройка будет производиться для этого типа сервера.

<span class="pln">$ sudo certbot </span><span class="pun">--</span><span class="pln">nginx</span>

Утилита ищет домены, которые работают на сайте в конфигурационных файлах Nginx по переменнойserver_name.

Если эта переменная не задана, то и домены, для которых вы будете получать сертификаты не будут найдены.

Во время выполнения certbot --nginx будет показан список из которого Вам нужно будет выбрать, для какого сервера вы получаете сертификат. А также задан вопрос о том, как именно должен быть сконфигурирован сервер: для работы по обои протоколам (HTTP и HTTPS) или только по HTTPS. Рекомендую выбрать первый вариант, поскольку по HTTPS Yandex не забирает файлы robots.txt. После выполнения этой команды certbot самостоятельно внесёт необходимые изменения в конфигурационные файлы nginx.

Также имеется возможность только установить сертификаты, а конфигурационные файлы nginx настроить вручную. Это делается следующей командой:

<span class="pln">$ sudo certbot </span><span class="pun">--</span><span class="pln">nginx certonly</span>

Автоматизация обновления сертификата

Следующая команда выполнит пробное получение сертификата, который не будет установлен.

<span class="pln">$ sudo certbot renew </span><span class="pun">--</span><span class="pln">dry</span><span class="pun">-</span><span class="pln">run</span>

Если получение сертификата пройдёт успешно, то будет создана задача по автоматическому обновлению сертификата.

В мануале certbot`a было сказано, что задача будет создана либо в планировщике cron , либо в systemd. В моём случае задача была создана в виде таймера в systemd.

Найти её удалось по следующему пути:

<span class="str">/etc/</span><span class="pln">systemd</span><span class="pun">/</span><span class="pln">system</span><span class="pun">/</span><span class="pln">timers</span><span class="pun">.</span><span class="pln">target</span><span class="pun">.</span><span class="pln">wants</span><span class="pun">/</span><span class="pln">certbot</span><span class="pun">.</span><span class="pln">timer</span>

Для ручного запуска обновления сертификата можно воспользоваться следующей командой:

<span class="pln">certbot renew</span>
0 комментариев
Написать комментарий