Ранее я уже писал как поставить сертификат на сайте с апачем, для поддержки https. Однако с 57 версии google chrome сильно ужесточил свою политику для защищенных соединений, и мой сертификат теперь надо обновить. (не смотря на то, что в других браузерах всё отлично продолжает работать). В данной статье я расскажу подробно как поставить «хороший для хрома» сертификат с помощью сервиса letsencrypt.
Заходим на сайт letsencrypt.org , читаем getting started и видим — нам предлагают установить certbot
как самый оптимальный вариант при наличии ssh.
Перейдя на страницу certbot выбираем сервер (в моем случае apache) и ОС.
Чтобы узнать название линукс системы, используем команду uname -a
В моем случае это Ubuntu, чтобы уточнить версию убунты — используем команду lsb_release -a
После чего-то видим список команд, у меня ubuntu не сработала сразу на первой команде: sudo add-apt-repository ppa:certbot/certbot
sudo: add-apt-repository: command not found
Чтобы исправить эту ситуацию — помогло sudo apt-get install software-properties-common python-software-properties
Теперь первую часть удалось выполнить без проблем и certbot установился:
$ sudo add-apt-repository ppa:certbot/certbot $ sudo apt-get update $ sudo apt-get install python-certbot-apache
Далее перейдем ко второй части — непосредственно генерация сертификата, для этого выполняем команду:
certbot --apache certonly
Отмечу что есть два варианта — в первом, это без опции certonly тогда изменения для апача будут внесены автоматически, но я не стал рисковать и воспользовался опцией certonly чтобы в дальнейшем внести изменения вручную, (так как работал сразу на боевом сервере, то было бы жалко сломать чувствительные настройки апача ). Но возможно автоматический вариант многим понравится больше. И так, после данной команды надо будте пройти через несколько вопросов, например вам предложат подписаться EFF (Electronic Frontier Foundation) и сделать пожертвование . В конечном итоге в папку /etc/letsencrypt/ будут положены все новые сгенерированные ключи. Остается только прописать путь (:/etc/letsencrypt/live/your-site.ru) до новых ключей в sites-available и перезапустить apache2 .
Из плюсов данного способа стоит отметить бесплатность и поддержку всеми браузерами, даже хромом. Как никак у проекта letsencrypt очень весомые спонсоры (cisco, mozilla, chrome, facebook итд итп). Из минусов — сертификат действует только в течении трёх месяцев (90 дней), и его необходимо продлить до истечения.
Теперь о продление:
Очень рекомендуется в кроне создать задачу на обновление сертификата,
Чтобы протестировать на сколько гладко все пойдет через крон поможет команда:
certbot renew --dry-run
Согласно документации — рекомендуемая частота запуска — дважды в день, а не раз в 89 дней, как возможно многие подумали. Сделано это для того, чтобы в случае когда let’s encrypt инициирует отзыв сертификата по какой-то причине сайт не был в дауне сильно долго. Не стоит беспокоиться за частый запуск — так как обновление сертификата произойдет только в случае если срок подошел к концу. А вот примерно так будет выглядеть команда в кроне :
01 0,12 * * * root /usr/bin/certbot renew >/dev/null 2>&1