Рома Рыбальченко: заметки с тегом https https://keen.nerevar.com/tags/https/ Аналитик-разработчик в Алисе ru Aegea 11.2 (v4116) Аналитик-разработчик в Алисе Let’s Encrypt: как получить и настроить бесплатный SSL сертификат для своего сайта 14 https://keen.nerevar.com/all/lets-encrypt/ Sat, 07 May 2016 16:18:52 +0300 https://keen.nerevar.com/all/lets-encrypt/ <p>Теперь есть новая-кленовая штука для получения и обновления сертификатов — <a href="https://certbot.eff.org/lets-encrypt/ubuntuxenial-nginx">https://certbot.eff.org/lets-encrypt/ubuntuxenial-nginx</a></p> <hr /> <p>Вообщем-то хорошо написано в этой статье <a href="http://blog.amet13.name/2015/11/letsencryptorg.html">http://blog.amet13.name/2015/11/letsencryptorg.html</a><br /> Но я продублирую свой опыт.</p> <p>Итак, Let’s Encrypt <a href="https://letsencrypt.org/">https://letsencrypt.org/</a> — это некоммерческий проект, стартовавший в 2014, и поставивший своей целью обеспечить всех желающих владельцев доменов бесплатными SSL-сертификатами. На данный момент сертификат на свой сайт может установить любой желающий.</p> <p>Для этого на linux сервере нужно выполнить ряд команд:</p> <ul> <li>Скачать скрипт установки letsencrypt</li> </ul> <pre><code class="bash">$ git clone https://github.com/letsencrypt/letsencrypt $ cd letsencrypt </code> </pre> <ul> <li>Запустить его с параметрами:</li> </ul> <pre><pre class="e2-text-code"><code class="">$ ./letsencrypt-auto --agree-dev-preview --server \https://acme-v01.api.letsencrypt.org/directory -a manual auth</code></pre></pre> <ul> <li>После проверки, что вы владелец сайта, сгенерируются сертификаты:</li> </ul> <pre><pre class="e2-text-code"><code class="">- Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/nerevar.com/fullchain.pem. Your cert will expire on 2016-11-01. To obtain a new or tweaked version of this certificate in the future, simply run letsencrypt-auto again. To non-interactively renew *all* of your certificates, run &quot;letsencrypt-auto renew&quot;</code></pre></pre> <ul> <li>Выглядят они так:</li> </ul> <pre><code class="bash">root@z0mg:/etc/letsencrypt/live/nerevar.com# ls -l total 0 lrwxrwxrwx 1 root root 35 мая 7 07:44 cert.pem lrwxrwxrwx 1 root root 36 мая 7 07:44 chain.pem lrwxrwxrwx 1 root root 40 мая 7 07:44 fullchain.pem lrwxrwxrwx 1 root root 38 мая 7 07:44 privkey.pem </code> </pre> <ul> <li>И теперь нужно в конфиге nginx включить поддержку ssl:</li> </ul> <pre><code class="nginx hljs">server { server_name nerevar.com; root /home/nerevar/www/nerevar.com; listen 443 ssl; ssl on; ssl_certificate /etc/letsencrypt/live/nerevar.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/nerevar.com/privkey.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; } </code> </pre> <ul> <li>Обновление сертификатов:</li> </ul> <pre><pre class="e2-text-code"><code class="">./letsencrypt-auto --server \https://acme-v01.api.letsencrypt.org/directory renew sudo service nginx reload</code></pre></pre>