Получение сертификата SSL Let's Encrypt через Certbot
Установите certbot:
yum install certbot
Выполните следующую команду для получения сертификата, указав в ней необходимые данные, где:
info@domain.ru
e-mail администратора домена для уведомлений/home/bitrix/ext_www/название_домена.com
полный путь до директории с файлами сайтаназвание_домена.com и www.название_домена.com
список доменов, для которых будет сгенерирован сертификат (можно указать несколько доменов, перед каждым необходимо указать ключ -d)
certbot certonly --webroot --agree-tos --email info@domain.ru -w /home/bitrix/ext_www/название_домена.com -d название_домена.com -d www.название_домена.com
--webroot
специальный ключ, повышающий надежность работы Certbot под Nginx--agree-tos
автоматическое согласие с Условиями предоставления услуг--email
адрес почты, его нельзя изменить, он потребуется для восстановления доступа к домену и для его продления-w
указываем корневую директорию сайта/home/bitrix/www
, если у вас несколько сайтов, укажите путь к дополнительному сайту/home/bitrix/ext_www/название_домена.com
-d
через ключ-d
мы указываем, для каких доменов мы запрашиваем сертификат. Начинать надо c домена второго уровня domen.ru и через такой же ключ указывать поддомены, например, -d www.domen.ru -d opt.domen.ru
После этого Certbot попросит разрешение на рассылку:
Разрешение на email рассылкуWould you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom. (Y)es/(N)o: n
При успешном завершении работы, Certbot поздравит с генерацией сертификата и выдаст следующее сообщение:
Пути сертификатов и дата окончанияIMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/mos-avtovykup.ru/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/mos-avtovykup.ru/privkey.pem
Your certificate will expire on 2022-08-06. To obtain a new or
tweaked version of this certificate in the future, simply run
certbot again. To non-interactively renew *all* of your
certificates, run "certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Настройка Nginx
Мы получили бесплатный ssl-сертификат на 3 месяца. Нам осталось только настроить Nginx и поставить автоматическое продление сертификата на cron.
Открываем файл /etc/nginx/bx/conf/ssl.conf
:
Коментируем в нем следующие строки:
#ssl_certificate /etc/nginx/ssl/cert.crt;
#ssl_certificate_key /etc/nginx/ssl/cert.key;
Прописываем в нем пути к только что полученным сертификатам:
ssl_certificate /etc/letsencrypt/live/mos-avtovykup.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/mos-avtovykup.ru/privkey.pem;
Тестируем конфигурацию Nginx:
nginx -t
Если никаких ошибок нет, перезапускаем Nginx:
service nginx reload