Вступ
Let's Encrypt - некомерційний засвідчувальний центр, який надає безкоштовні X.509 сертифікати для TLS-шифрування за допомогою автоматизованого процесу, спрямованого на заміну поточного складного процесу ручного створення, перевірки, підпису, встановлення та оновлення сертифікатів для захищених веб-сайтів.
Офіційний сайт Let's Encrypt.
Робота з сертифікатами Let's Encrypt можлива одразу після встановлення панелі керування.
Звертаємо вашу увагу, Let's Encrypt має такі обмеження (докладніше в документації про обмеження):
- Можна замовити лише 50 сертифікатів на тиждень (TLD, включно з його піддоменами);
- Термін дії Let's Encrypt сертифіката - 3 місяці (кожні 3 місяці ispmanager виконує перевипуск Let's Encrypt сертифікатів).
В ispmanager ви зможете отримати діючий самооновлювальний SSL-сертифікат для свого домену.
Для цього Вам знадобиться користувач, який має право користуватися SSL, і чинне доменне ім'я, доступне для світових ДНС.
У розділі SSL-сертифікати є кнопки Let's Encrypt і Let's Encrypt Журнал. У разі натискання на першу ви приступите до процесу отримання сертифіката.
Друга активується, якщо у вас у списку сертифікатів уже є Let's Encrypt сертифікат, і перенаправляє вас до журналу подій, де відображається все, що відбувається з ним.
Перед створенням сертифіката переконайтеся, що випуск сертифікатів Let's Encrypt дозволено:
- В Основному меню виберіть Користувачі.
- На формі, що відкрилася, виберіть користувача і натисніть на кнопку Права.
- Виберіть SSL-сертифікати у формі, що відкрилася, і натисніть на кнопку Обмежити функції на панелі інструментів або в контекстному меню.
- У формі, що відкрилася, виберіть Let's Encrypt і Журнал і натисніть Вкл.
Створення сертифіката
Є два способи отримання Let's Encrypt сертифіката:
- з розділу SSL-сертифікати: натисніть кнопку Let's Encrypt і у вікні, що з'явилося, заповніть дані для випуску сертифіката.
- разом з новим сайтом: при створенні нового сайту, після натискання на кнопку Створити, відкриється форма Let's Encrypt, на якій необхідно натиснути Випустити.
Оновлення сертифіката
Перевірка необхідності оновлення ваших сертифікатів, виданих сервісом Let's Encrypt, відбуватиметься щодня о 1:30 ночі за серверним часом.
Автооновлення сертифіката
Перевипуск сертифіката буде відповідно до встановленого значення параметра LetsencryptStartUpdatePeriod, для якого за замовчуванням встановлено 29 днів.
Рекомендовані значення від 7 до 29. Не рекомендується вказувати значення, менші за 7 і більші за 29, а також від'ємні значення і букви.
Оновлення сертифіката вручну
Також можна запустити оновлення сертифіката вручну. Для цього є функція letsencrypt.check.update. У разі, якщо ви хочете запустити передчасно оновлення, необхідно викликати цю функцію через утиліту mgrctl:
/usr/local/mgr5/sbin/mgrctl -m ispmgr letsencrypt.check.update force_update=yes cert_name=%cert name% user_name=%user name%Зверніть увагу!
Кількість сертифікатів для домену за короткий проміжок часу обмежена, тому не варто зловживати ручним оновленням.
Під час оновлення сертифіката з DNS-перевіркою буде заново згенеровано TXT-записи. Якщо використовується зовнішній DNS-сервер, то записи автоматично не будуть додані і сертифікат не зможе оновитися.
Технологія отримання сертифіката
На початку створюється самопідписаний сертифікат із зазначеними параметрами, потім, раз на хвилину, робиться спроба отримання сертифіката. Ви можете задати максимальну кількість запитів на сертифікати, які панель керування буде відправляти одночасно. Для цього змініть параметр LetsencryptProcessCount у конфігураційному файлі ispmanager. За замовчуванням значення цього параметра дорівнює 1.
Якщо виникають помилки, вони заносяться в журнал. Повторна спроба отримання виконується щохвилини. Запити на нові сертифікати мають вищий пріоритет, ніж повторні спроби отримання старих.
Можна запустити вручну letsencrypt.periodic через утиліту mgrctl.
У разі, якщо сертифікат не вдається отримати протягом двадцяти чотирьох годин, спроби припиняють, і створюють сповіщення для користувача та адміністраторів із повідомленням про провал отримання сертифіката.
У разі успішного отримання самопідписаний сертифікат змінюється на Let's Encrypt сертифікат. Користувач і адміністратор отримують повідомлення про успішне завершення отримання.
Порядок запитів
- Створення облікового запису;
- Авторизація;
- Запит на перевірку володіння доменом (для перевірки володіння доменом на сервер користувача додається токен - файл, що містить дані, отримані під час аутентифікації. На сервері існує глобальна залежність .well-known/acme-challenge/, що веде до директорії /usr/local/mgr5/www/letsencrypt. Усі токени перевірки створюватимуться за цим шляхом);
- Очікування підтвердження успішного завершення перевірки;
- Отримання сертифіката.
DNS перевірка
Ми додаємо можливість перевірки володіння доменом через TXT записи в доменній зоні. Для отримання сертифіката з DNS перевіркою, при замовленні сертифіката відзначте чекбокс Перевірка через DNS.
Необхідні TXT-записи будуть автоматично додані на форму Керування записами домену. Для перегляду:
- В Основному меню виберіть Керування DNS.
- На формі, що відкрилася, виберіть сайт і натисніть на кнопку DNS записи.
Зверніть увагу!
Якщо ви використовуєте зовнішній DNS-сервер, то процес видачі буде заморожено на 30 хвилин, а в інтерфейсі в лівому кутку біля глобального пошуку та в розділі Сповіщення (у розділі Моніторинг і журнали) буде показано сповіщення з інформацією, які записи необхідно прописати на зовнішньому сервері для отримання сертифікатів. Перевірка на наявність записів у глобальній мережі виконується протягом доби кожні 30 хвилин після отримання першого повідомлення. Щойно необхідні записи стануть доступними, сертифікати буде успішно отримано.
Якщо протягом доби після замовлення сертифіката перевірка володіння доменом буде безуспішною, спроби випустити сертифікат буде припинено.
Поштові домени
Для отримання сертифіката на поштовий домен під час створення/редагування поштового домену виберіть Новий Let's Encrypt сертифікат. Далі введіть псевдоніми, які використовує обраний домен для роботи пошти (pop.your_domain.com, mail.your_domain.com,
