Окружение Bitrix 7.2 поддерживает выпуск, автоматическую установку и продление бесплатных сертификатов Let’s Encrypt. Ниже опишем способ установки.
Условия:
- Сервер с окружением Bitrix 7.2 и выше. При использовании версии ниже поможем с обновлением, для этого откройте запрос в техническую поддержку. Стоит учесть, что при обновлении окружения будет обновлено и программное обеспечение, которое используется для его работы. Предварительно проконсультируйтесь с разработчиком сайтов, не повлияет ли обновление на работу проекта. Проверьте наличие резервной копии текущей версии сайта, сохранённой локально (не на сервере, а на локальном компьютере или внешнем диске).
- Сайт, готовый для перехода на работу через https. Если сайт не подготовлен, часто возникает ошибка Mixed Content, из-за которой браузеры не признают соединение с сайтом полностью защищённым.
Установка сертификат Let’s Encrypt
Подключаемся к серверу по SSH или FTP и попадаем в контекстное меню Битрикс. В меню Bitrix virtual appliance перейдите в пункт
8. Manage pool web servers → 3. Configure certificates
Выбрать пункт меню 1. Configure "Let's Encrypt" certificate и ввести:
- site name – имя сайта или несколько имен сайтов, для которых нужно выпустить сертификат(ы) Let's encrypt (в данном примере: test2.b24test.site)
- dns name(s) – все домены данного сайта, для которых должен быть выпущен сертификат, включая домен с www и без, вводить несколько доменов через запятую
- email for LE notifications – почтовый адрес для уведомлений сервиса Let's Encrypt
и подтвердить ввод:
- Мастер самостоятельно запросит и установит сертификат в течение нескольких минут. Пути SSL-сертификатов будут указаны в этом же разделе:
- Проверить выпущенный сертификат можно легко – перейти на ваш сайт по протоколу https, у валидного сертификата будет замочек.
Срок действия сертификата – 90 дней. Перевыпуск сертификата происходит автоматически за 20 дней до окончания срока его действия.
Ручное обновление сертификата
С версии BitrixVM 7.4.0 проверка сертификатов автоматически производится еженедельно в субботу в 2 часа ночи по cron-у.
Если вам нужно вручную обновить сертификат, запустите получение сертификата для существующего домена. Система проверит и при необходимости обновит сертификаты.
Также вы можете вручную обновить сертификаты командой:
/home/bitrix/dehydrated/dehydrated -c
Система проверит сроки действия сертификатов и при необходимости запустит обновление.
Лог обновления сертификатов можно посмотреть по пути: /home/bitrix/dehydrated_update.log.
У сервиса Let's Encrypt есть свои ограничения на выпуск сертификатов. Основные из них:
- Выпуск 50 сертификатов в неделю на домены (на зарегистрированные домены у регистратора, поддомены не входят в этот счет).
- Если у вас много поддоменов, то можно все поддомены указать в одном сертификате, но здесь есть лимит в 100 поддоменов в одном сертификате.
- 5 ошибок в час выпуска сертификата на аккаунт для одного домена (не доступен хост, не прописаны записи в DNS домена и т.д).
- Проверка HTTP-01 выполняется только с использованием порта 80. Если этот порт закрыт (провайдером, например), то сертификат не перевыпустится.
- Один и тот же сертификат (с одинаковым набором доменов (поддоменов) можно выпускать не более 5 раз в неделю. Если не соблюдать эти условия, сертификационный центр Let’s Encrypt заблокирует выпуск новых сертификатов для аккаунта на 7 дней.
