Архив метки: ssl сертификат

https и chrome — меняем ssl сертификат на сайте

Ранее я уже писал как поставить сертификат на сайте с апачем, для поддержки https. Однако с 57 версии google chrome сильно ужесточил свою политику для защищенных соединений, и мой сертификат теперь надо обновить. (не смотря на то, что в других браузерах всё отлично продолжает работать). В данной статье я расскажу подробно как поставить «хороший для хрома» сертификат с помощью сервиса letsencrypt.

Заходим на сайт letsencrypt.org , читаем getting started и видим — нам предлагают установить certbot
как самый оптимальный вариант при наличии ssh.

Перейдя на страницу certbot выбираем сервер (в моем случае apache) и ОС.
Чтобы узнать название линукс системы, используем команду uname -a
В моем случае это Ubuntu, чтобы уточнить версию убунты — используем команду lsb_release -a

После чего-то видим список команд, у меня ubuntu не сработала сразу на первой команде: sudo add-apt-repository ppa:certbot/certbot
sudo: add-apt-repository: command not found

Чтобы исправить эту ситуацию — помогло sudo apt-get install software-properties-common python-software-properties
Теперь первую часть удалось выполнить без проблем и certbot установился:

$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt-get update
$ sudo apt-get install python-certbot-apache 

Далее перейдем ко второй части — непосредственно генерация сертификата, для этого выполняем команду:

certbot --apache certonly

Отмечу что есть два варианта — в первом, это без опции certonly тогда изменения для апача будут внесены автоматически, но я не стал рисковать и воспользовался опцией certonly чтобы в дальнейшем внести изменения вручную, (так как работал сразу на боевом сервере, то было бы жалко сломать чувствительные настройки апача ). Но возможно автоматический вариант многим понравится больше. И так, после данной команды надо будте пройти через несколько вопросов, например вам предложат подписаться EFF (Electronic Frontier Foundation) и сделать пожертвование :) . В конечном итоге в папку /etc/letsencrypt/ будут положены все новые сгенерированные ключи. Остается только прописать путь (:/etc/letsencrypt/live/your-site.ru) до новых ключей в sites-available и перезапустить apache2 .

Из плюсов данного способа стоит отметить бесплатность и поддержку всеми браузерами, даже хромом. Как никак у проекта letsencrypt очень весомые спонсоры (cisco, mozilla, chrome, facebook итд итп). Из минусов — сертификат действует только в течении трёх месяцев (90 дней), и его необходимо продлить до истечения.

Теперь о продление:
Очень рекомендуется в кроне создать задачу на обновление сертификата,
Чтобы протестировать на сколько гладко все пойдет через крон поможет команда:

certbot renew --dry-run

Согласно документации — рекомендуемая частота запуска — дважды в день, а не раз в 89 дней, как возможно многие подумали. Сделано это для того, чтобы в случае когда let’s encrypt инициирует отзыв сертификата по какой-то причине сайт не был в дауне сильно долго. Не стоит беспокоиться за частый запуск — так как обновление сертификата произойдет только в случае если срок подошел к концу. А вот примерно так будет выглядеть команда в кроне :

01 0,12 * * * root /usr/bin/certbot renew >/dev/null 2>&1