Детальна інструкція щодо встановлення SSL-сертифіката Let’s Encrypt на сервер з CMS Bitrix та Nginx
Так, на Хабре вже багато текстів про сертифікати Let's Encrypt, але повної покрокової інструкції я, на жаль, не знайшов. Хотів заповнити прогалину. До того ж, з травня 2016 року в процесі встановлення відбулися незначні зміни, які можуть спантеличити новачка. Тож я вирішив написати цю інструкцію. Так би мовити собі на згадку та іншим на допомогу.
Ця інструкція насамперед має бути цікава новачкам.
Якщо всі параметри встановлено за замовчуванням, можна дивитися ті шляхи, які я привів. Тобто якщо ви використовуєте систему, встановлену за допомогою скрипта Bitrix environment на операційній системі CentOS 6.X. Якщо ж ні, ви й самі знаєте, де що лежить.
Перше, що потрібно зробити - встановитиgit:
Далі переходимо в директорію/tmp:
За допомогою git завантажуємо файли Let's Encrypt. Сам скрипт тепер називаєтьсяcertbot:
Переходимо до завантаженої директорії:
Про всяк випадок, даємо права на виконання для файлу скрипта:
Отримання сертифіката
Далі слідує команда безпосередньо отримання сертифіката:
Після цього скрипт почне роботу і запропонує встановити пакети, що бракують. Погоджуємось і чекаємо.
Якщо все завершиться успішно, ви побачите повідомлення:
IMPORTANT NOTES: - Congratulations! Ваш Certificate and Chain має бути встановлений на /etc/letsencrypt/live/my-domain.ru/fullchain.pem. Your cert will expire на 2016-08-21. Для того, щоб отримати нову версію з відповідно в майбутньому, simple run Certbot again. - Якщо ви впевнені, що ваші громадяни, ви можете відправити через електронну пошту sent to [email protected]. - Ваші громадяни мають бути закріплені у вашому Certbot configuration directory at /etc/letsencrypt. Youshould make a secure backup of this folder now. Ця configuration directory буде також розміщені сертифікати і приватні keys, що охоплюються Certbot so маючи регулярні backups of this folder is ideal. - Якщо ви робите Certbot, мабуть вважає, що підтримує нашу роботу:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le Сертифікати встановлені, залишилося тільки вказати nginx'у, де вони лежать.
Відкриваємо конфігураційний файлssl.conf:
ssl_certificate /etc/letsencrypt/live/my-domain.ru/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/my-domain.ru/privkey.pem; Не забуваємо включити ssl, якщо цього не було зроблено раніше:
ssl on; keepalive_timeout 70; keepalive_requests 150; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; Після цього перезапускаємо nginx:
Якщо він не видав жодних помилок, значить все гаразд. Можна зайти на сайт і подивитися, що вийшло.
Оновлення
Сертифікат видається на90 днів, тому після цього терміну потрібно буде його оновити. Робиться це командою:
Її також можна поставити вcron.