Статья содержит следующие разделы:
Установка Cerbot
Для выпуска бесплатного сертификата от Let’s Encrypt требуется выполнить следующие шаги:
- Подключитесь к терминалу сервера, например, через SSH.
- Установите Certbot
Centos:
yum install -y certbot
Debian/Ubuntu:
apt install -y certbot
Выпуск сертификата на основной домен и поддомен с WWW
Для начала проверим корректно ли проходит запрос на выпуск сертификата, запускаем команду на получение сертификата в режиме dry-run
certbot certonly --expand -d adminvps.ru -d www.adminvps.ru -w /var/www/html --webroot --email webmaster@adminvps.ru --agree-tos --dry-run
Если исходная команда не сообщила о каких-либо ошибках, можем приступить к фактическому выпуску SSL-сертификата.
Вывод об успешной проверке в режиме: dry-run
IMPORTANT NOTES: - The dry run was successful.Приступаем к процедуре выпуска SSL-сертификата:
certbot certonly --expand -d lamp.fvds.ru -d www.lamp.fvds.ru -w /var/www/html --webroot --email webmaster@lamp.fvds.ru --agree-tos -n
Значения adminvps.ru и www.adminvps.ru замените на свои.
Пример: domain.ru и www.domain.ru.
По завершении выпуска сертификата в терминале будет выведена следующая информация со сроком действия выпущенного сертификата:
Сам сертификат сохраняется в указанной директории: /etc/letsencrypt/live
Выпуск Wildcard сертификата
Сейчас рассмотрим выпуск Wildcard сертификата, данный тип сертификатов позволяет защищать не только домен второго уровня, но и все поддомены, связанные с ним. К примеру, если на сервере установлено несколько сайтов и все необходимо подключить к SSL, то необязательно выпускать на каждый домен по одному сертификату: adminvps.ru, www.adminvps.ru, shop.adminvps.ru, forum.adminvps.ru — можно обойтись только одним Wildcard.
Стоит обратить внимание на то, что данный тип сертификата Wildcard требует обязательную проверку по DNS записи TXT. При запуске процедуры выпуска сертификата Certbot запросит два раза добавить TXT-запись с разными значениями.
Запускаем команду:
certbot --manual --agree-tos --manual-public-ip-logging-ok --preferred-challenges dns certonly --server https://acme-v02.api.letsencrypt.org/directory -d *.lamp.fvds.ru -d lamp.fvds.ru
Замените значения на свои: *.adminvps.ru и adminvps.ru
Пример: *.domain.ru и domain.ru.
После запуска команды вывод будет следующим:
Please deploy a DNS TXT record under the name
_acme-challenge.adminvps.ru with the following value:
RYHdWpSmMuVjdJFZT9JGBs7zuQOFgN78f1Azt1fwNcc
Before continuing, verify the record is deployed.
Это означает, что сейчас требуется создать TXT ресурсную запись для доменного имени в DNS.
Имя: _acme-challenge.adminvps.ru
Значение: RYHdWpSmMuVjdJFZT9JGBs7zuQOFgN78f1Azt1fwNcc
Если домен направлен на сервер с которого делаете запрос, то Вы увидите сообщение об успешной установке. Если все в порядке, вы увидите путь хранения вашего нового Wildcard-сертификата и другую информацию, также можете проверить установку сертификата перейдя на сайт по https://вашдомен.пример
Если показан замочек и нет предупреждений, то сертификат работает.
