Сертификат Let's Encrypt и использование certbot

Оглавление

Сертификат от Let’s Encrypt можно получить с помощью certbot и использовать для сторонних сервисов, таких как Dovecot, Asterisk, Postfix, Exim

Дано

uname -a

Linux 3.10.0-693.el7.x86_64 #1 SMP Tue Aug 22 21:09:27 UTC 2017

cat /etc/redhat-release

CentOS Linux release 7.4.1708 (Core)

[свернуть]

Установка certbot

Первое, что необходимо сделать

yum -y install yum-utils

yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

Certbot есть в EPEL (дополнительные пакеты для корпоративного Linux). Чтобы использовать Certbot, вы должны сначала включить репозиторий EPEL. В RHEL или Oracle Linux вы также должны включить дополнительный канал.

rpm -ivh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

После чего устанавливаем bot

yum install certbot

Плагины DNS Certbot также доступны для вашей системы, которые могут использоваться для автоматизации получения подстановочного сертификата с сервера ACMEv2 от Let’s Encrypt. Чтобы использовать один из этих плагинов, вы должны настроить DNS для домена, для которого вы хотите получить сертификат, с поставщиком DNS, для которого у Certbot есть плагин. Список этих плагинов и дополнительную информацию об их использовании можно найти здесь. Чтобы установить один из этих плагинов, запустите команду установки выше, но замените certbot именем плагина DNS, который вы хотите установить.

Получение сертификата

Поскольку ваша архитектура сервера еще не поддерживает автоматическую установку, вам нужно будет использовать команду certonly для получения вашего сертификата. Это позволит вам интерактивно выбирать плагин и параметры, используемые для получения вашего сертификата.

certbot certonly

Если у вас уже есть веб-сервер, мы рекомендуем выбрать плагин webroot. Кроме того, вы можете указать дополнительную информацию в командной строке. Чтобы получить сертификат, используя плагин webroot, который может работать с каталогом webroot любого программного обеспечения веб-сервера:

certbot certonly --webroot -w /var/www/example -d example.com -d www.example.com -w /var/www/thing -d thing.is -d m.thing.is

Заметка:

Чтобы использовать плагин webroot, ваш сервер должен быть настроен на обслуживание файлов из скрытых каталогов. Если /.well -known обрабатывается специальной конфигурацией веб-сервера, вам может потребоваться изменить конфигурацию, чтобы гарантировать, что файлы внутри /.well-known/acme-challenge обрабатывались веб-сервером.

[свернуть]

Чтобы получить сертификат, используя встроенный «автономный» веб-сервер (вам может потребоваться временно остановить существующий веб-сервер, если таковой имеется) для example.com и www.example.com:

certbot certonly --standalone -d example.com -d www.example.com

Вы также можете использовать один из подключаемых модулей Certbot для получения сертификата, если он установлен, и вы настроили DNS для домена, для которого вы хотите получить сертификат, с поставщиком DNS, соответствующим плагину. Чтобы узнать больше об использовании этих плагинов, нажмите здесь. Если вы хотите использовать один из этих плагинов с новым ACMEv2-сервером Let’s Encrypt, который выдаст подстановочные сертификаты, вам также потребуется включить в командной строке следующий флаг:

--server https://acme-v02.api.letsencrypt.org/directory

Автоматическое обновление

Certbot может быть настроен на автоматическое обновление сертификатов до истечения срока их действия. Так как сертификаты Let’s Encrypt длятся в течение 90 дней, рекомендуется воспользоваться этой функцией. Вы можете протестировать автоматическое обновление сертификатов, выполнив следующую команду:

certbot renew --dry-run

Если это работает правильно, вы можете организовать автоматическое обновление, добавив задание cron или таймер systemd, который запускает следующее:

certbot renew

Заметка

если вы настраиваете работу cron или systemd, мы рекомендуем запускать задачу два раза в день (она ничего не сделает, пока ваши сертификаты не будут возвращены или отменены, но регулярное выполнение этого задания даст вашему сайту возможность оставаться в сети в случае, если по какой-то причине произошло аннулирование сертификата). Пожалуйста, выберите случайную минуту в течение часа для выполнения задач продления.

[свернуть]

Пример работы cron может выглядеть так, что будет работать в полдень и полночь каждый день:

0 0,12 * * * python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew

Расположение сертификатов

Все сгенерированные ключи и выданные сертификаты можно найти в домене /etc/letencrypt/live/$domain. Вместо того, чтобы копировать, укажите конфигурацию сервера непосредственно на эти файлы (или создайте символические ссылки). Во время обновления, /etc/letencrypt/live обновляется последними полученными файлами. Каталог /etc/letsencrypt/archive и /etc/letsencrypt/keys содержат все предыдущие ключи и сертификаты, а /etc/letencrypt/live симлинки на последние, актуальные файлы

Доступны следующие файлы

privkey.pem — закрытый ключ сертификата

Внимание

Этот ключ нужно держать в секрете всегда! Никогда не сообщайте об этом никому, включая разработчиков Certbot. Однако вы не можете поместить его в сейф, ваш сервер все равно должен получить доступ к этому файлу, чтобы работать с SSL/TLS.

[свернуть]

Это то, что Apache требуется для SSLCertificateKeyFile и Nginx для ssl_certificate_key.

fullchain.pem — все сертификаты, включая сертификат сервера (сертификат aka leaf или сертификат конечного объекта). Сертификат сервера является первым в этом файле, за которым следуют любые промежуточные продукты. Это то, что Apache> = 2.4.8 требуется для SSLCertificateFile, и что нужно Nginx для ssl_certificate.

cert.pem и chain.pem (менее распространены) cert.pem содержит сертификат сервера сам по себе, а chain.pem содержит дополнительный промежуточный сертификат или сертификаты, которые понадобятся веб-браузерам для проверки сертификата сервера. Если вы поставите один из этих файлов на свой веб-сервер, вы должны предоставить оба из них, или некоторые браузеры будут показывать ошибки «Это соединение без доверия» для вашего сайта. Apache <2.4.8 нуждается в них для SSLCertificateFile. и SSLCertificateChainFile, соответственно. Если вы используете сшивание OCSP с Nginx> = 1.3.7, chain.pem следует предоставить как ssl_trusted_certificate для проверки ответов OCSP.

Дополнения

Команда renew включает в себя перехваты для запуска команд или скриптов до или после обновления сертификата. Например, если у вас есть один сертификат, полученный с помощью автономного плагина, вам может потребоваться остановить веб-сервер перед обновлением, поэтому необходимо остановить, а затем запустить веб-сервер после завершения работы плагина. Пример:

certbot renew --pre-hook "service nginx stop" --post-hook "service nginx start"

Команды pre-hook и post-hook запускаются до и после каждой попытки обновления. Если вы хотите, чтобы ваш скрипт запускался только после успешного обновления, используйте команду deploy-hook в такой команде.

Изменение файла конфигурации обновления

Когда сертификат выдается, по умолчанию Certbot создает файл конфигурации обновления, который отслеживает параметры, которые были выбраны при запуске Certbot. Это позволяет Certbot использовать те же самые параметры снова, когда приходит время для обновления. Эти файлы конфигурации обновления расположены по адресу

/etc/letsencrypt/renewal/CERTNAME

Внимание

Изменение любых файлов в файле / etc / letsencrypt может привести к их повреждению, поэтому Certbot больше не сможет правильно управлять своими сертификатами, и мы не рекомендуем это делать.

[свернуть]

Если вы хотите, чтобы файлы live-сертификатов, обновлялось при каждом прогоне, находилось в другом месте, сначала переместите их в это место, а затем укажите полный путь каждого из четырех файлов в файле конфигурации обновления.

certbot update_symlinks

Например, скажем, что файл конфигурации обновления сертификата ранее содержал следующие директивы:

archive_dir = /etc/letsencrypt/archive/example.com

cert = /etc/letsencrypt/live/example.com/cert.pem

privkey = /etc/letsencrypt/live/example.com/privkey.pem

chain = /etc/letsencrypt/live/example.com/chain.pem

fullchain = /etc/letsencrypt/live/example.com/fullchain.pem

Следующие команды могут использоваться для указания, где находятся эти файлы:

mv /etc/letsencrypt/archive/example.com /home/user/me/certbot/example_archive

sed -i 's,/etc/letsencrypt/archive/example.com,/home/user/me/certbot/example_archive,' /etc/letsencrypt/renewal/example.com.conf

mv /etc/letsencrypt/live/example.com/*.pem /home/user/me/certbot/

sed -i 's,/etc/letsencrypt/live/example.com,/home/user/me/certbot,g' /etc/letsencrypt/renewal/example.com.conf

certbot update_symlinks

Конфигурационный файл

Certbot принимает глобальный файл конфигурации, который применяет его параметры ко всем вызовам Certbot. Конфигурационные настройки для конкретных сертификатов должны быть установлены в файлах .conf, которые можно найти в /etc/letencrypt/renewal. По умолчанию файл cli.ini не создается, после его создания можно указать расположение этого файла конфигурации с помощью certbot-auto —config cli.ini (или более короткого -c cli.ini).

Смена адреса уведомления об истечении срока действия сертификата

certbot register --email kost@kost.su

Примеры использования сертификатов Let’s Encrypt в сторонних приложениях

Сертификат от Let’s Encrypt можно использовать не только в Apache, но Asterisk, Postdix, Dovecot и других приложениях Linux

0 0 голоса

Рейтинг статьи

Knowledge Base