1 заметка с тегом

ssl

Let’s Encrypt: как получить и настроить бесплатный SSL сертификат для своего сайта

Вообщем-то хорошо написано в этой статье http://blog.amet13.name/2015/11/letsencryptorg.html
Но я продублирую свой опыт.

Итак, Let’s Encrypt https://letsencrypt.org/ — это некоммерческий проект, стартовавший в 2014, и поставивший своей целью обеспечить всех желающих владельцев доменов бесплатными SSL-сертификатами. На данный момент сертификат на свой сайт может установить любой желающий.

Для этого на linux сервере нужно выполнить ряд команд:

  • Скачать скрипт установки letsencrypt
$ git clone https://github.com/letsencrypt/letsencrypt
$ cd letsencrypt

  • Запустить его с параметрами:
$ ./letsencrypt-auto --agree-dev-preview --server \https://acme-v01.api.letsencrypt.org/directory -a manual auth
  • После проверки, что вы владелец сайта, сгенерируются сертификаты:
- Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/nerevar.com/fullchain.pem. Your cert will
   expire on 2016-11-01. To obtain a new or tweaked version of this
   certificate in the future, simply run letsencrypt-auto again. To
   non-interactively renew *all* of your certificates, run
   "letsencrypt-auto renew"
  • Выглядят они так:
root@z0mg:/etc/letsencrypt/live/nerevar.com# ls -l
total 0
lrwxrwxrwx 1 root root 35 мая    7 07:44 cert.pem
lrwxrwxrwx 1 root root 36 мая    7 07:44 chain.pem
lrwxrwxrwx 1 root root 40 мая    7 07:44 fullchain.pem
lrwxrwxrwx 1 root root 38 мая    7 07:44 privkey.pem

  • И теперь нужно в конфиге nginx включить поддержку ssl:
server {
    server_name nerevar.com;
    root /home/nerevar/www/nerevar.com;

    listen 443 ssl;
    ssl on;
    ssl_certificate /etc/letsencrypt/live/nerevar.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/nerevar.com/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!MD5;
}

  • Обновление сертификатов:
./letsencrypt-auto --server \https://acme-v01.api.letsencrypt.org/directory renew
sudo service nginx reload
2016   domains   https   server   ssl