3.16 Выпуск и подключение сертификата Let's Encrypt

Сертификаты Lets Encrypt

Хостинг TheHost официально поддерживает сертификаты Let's Encrypt. Сертификаты Let's Encrypt являются бесплатными, однако при этом функционально ничем не отличаются от классических коммерческих сертификатов центров сертификации Comodo, RapidSSL, Thawte, GeoTrust и др., но при этом имеют ряд особенностей:

1) Сертификаты данного типа являются сертификаты с проверкой домена, поэтому для их выдачи обязательно чтобы доменное имя, для которого формируется сертификат, было активным и ссылалось основной А записью на сервер, на котором формируется сертификат. Для не зарегистрированного, не активного или направленного на другой сервер доменного имени выдать сертификат Let's Encrypt не возможно.

2) Сертификаты Let's Encrypt предоставляются только на 3 месяца.

3) Продлить сертификат Let's Encrypt возможно только по прошествию 2-ух месяцев с момента выдачи.

4) Для продления сертификатов Let's Encrypt необходимо выпускать новый сертификат в панели управления хостингом.

Для выпуска сертификата Let’s Encrypt достаточно зайти в панель управления хостингом и выполнить несколько простых действий:

Инструкция по установке сертификатов Lets Encrypt

Рассмотрим более детально выпуск и установку сертификата Let’s Encrypt

  • В панели управления хостингом открываем раздел “SSL сертификаты”:

    Список SSL сертификатов

  • В верхнем меню нажимаем на кнопку “Let’s Encrypt”:

    Выпуск сертификата Lets Encrypt

  • В открывшемся окне выбираем сайт, для которого необходимо выпустить сертификат “Let’s Encrypt”:

    Выбор сайта для сертификата

  • Для подтверждения операции выпуска сертификата нажимаем”Ок”:

    Подтверждение операции выпуска сертификата

  • После этого на протяжении 20-30 секунд в списке SSL сертификатов должен появиться новый сертификат Let’s Encrypt:

    Новый сертификат Let's Encrypt

  • Далее необходимо установить сертификат для нужного Вам сайта. Для этого в разделе “World Wide Web” - “WWW домены” открываем его свойства, включив и выбрав новый сертификат:

    Настройка WWW домена

На нашем хостинге также доступен функционал автоматического продления SSL сертификтов Let’s Encrypt

Необходимо на страничке SSL-сертификаты панели управления хостингом найти сертификат, который отвечает следующим требованиям:

  • это сертификат Let’s Encrypt;
  • данный сертификат в настоящее время активен.

После этого необходимо нажать на кнопку Информация.
В результате откроется окошко, в котором вы сможете найти специальную галочку Автопродление:

Автопродление Lets Encrypt

Именно эту галочку необходимо установить перед нажатием кнопки Ok (если поля для данной галочки нет, значит вы невнимательно читали приведенные выше критерии выбора сертификата).

Примерно раз в час скрипт, проверяет все активные сертификаты, помеченные этой галочкой, и автоматически продлевает те из них, срок действия которых истекает ранее, чем через 30 суток (или уже истек).

В случае успешного продления, новый сертификат заменит собой старый, а старый будет сохранен с тем же именем и расширением .previous, что в переводе означает “.предыдущий”:

Особенности эксплуатации

При формировании сертификатов Let’s Encrypt у пользователей в корневых папках автоматически создаются специальные директории:

  • Папка “lets_encrypt” в корне хостинг-аккаунта. Служебная папка размером около 300Кб, которая обеспечивает техническую возможность выдавать сертификаты Let’s Encrypt пользователю. Удалять её не желательно, однако она автоматически восстановится при повторной выдаче или продлении сертификата.

  • Папка “.well-known/acme-challenge” в корне сайта, для которого был выпущен Let’s Encrypt сертификат. Данный каталог размером до 10Кб, необходим для проведения проверки собственности/принадлежности сайта. Не рекомендуется удалять, однако, как и предыдущий каталог, система автоматически восстановит эту папку при повторной выдаче или продлении сертификата.

Также имеются ограничения по выпуску ssl сертификатов - более подробно это описано в технической документации https://letsencrypt.org/docs/rate-limits/

Если возникают ошибки при выпуске ssl, в первую очередь можно самостоятельно удалить указанные выше папки:

  • “lets_encrypt” в корне хостинг-аккаунта
  • “.well-known/acme-challenge” в корне сайта

и повторить попытку.