Устанавливаем SSL соединение с помощью Let’sEncrypt

Неожиданно был удивлен, когда после обновления гугл хром зашел в блог и увидел надпись «Возможно злоумышленники с данного домена пытаются похитить ваши пароли» :-) А потом вспомнил, что когда то прикручивал бесплатный SSL от стартком, который уже сейчас считается ненадежным в новейших версиях браузеров. Вот тут описывал как я подключал ssl+http2 и мимолетно указал на ссылку, где дают инфу по поводу StartCom и WoSign.

Что ж, не проблема. После этого принял решение переходить на Let’sEncrypt. Заходим по ssh в свой /root/ на сервере:

mkdir -p opt/letsencrypt
cd opt/letsencrypt
git clone https://github.com/letsencrypt/letsencrypt

У меня в конфиге nginx для блога на ии корневая папка установлена как /web/, поэтому нижеследующий код в моем случае демонстрирует правильную опцию -w, webroot. Еще на время надо отключить запрет на просмотр скрытых файлов в конфиге, если он включен, так как при запуске скрипт создает директорию в webroot, .well-known на время его отработки и далее использует для аутентификации домена. (поставить первым перед всеми остальными location)

location ~ /.well-known {
    allow all;
}

В общем случае скрипт, который получает сертификат такой:

./letsencrypt-auto certonly --webroot -w [путь к вашему корню сайта] -d [домен]

В моем случае это так:

./letsencrypt-auto certonly --webroot -w /var/www/user/zharikov.site/web/ -d zharikov.site -d www.zharikov.site

После чего будут автоматически установлены все библиотеки и зависимости для работы. А в папке /etc/letsencrypt/live/ваш домен/ будут сертификат и приватный ключ (с символическими ссылками). Их надо прописать в ваш конфиг для nginx:

ssl_certificate /etc/letsencrypt/live/ваш домен/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/ваш домен/privkey.pem;

Делаем

service nginx restart

Заходим на сайт и радуемся:

Но может возникнуть ситуация, судя по многочисленным топикам в соответствующих форумах, что, ну никак не получается использовать DNS-аутентификацию или настроенный веб-сервер для обслуживания /.well-known/acme-challenge. В таком случае останавливаем веб-сервер, делаем команду:

./certbot-auto certonly --standalone --preferred-challenges http -d [домен]

И снова запускаем сервер. Произошло то же самое получение сертификатов.

Для обновления, по истечению 90 дней:

./letsencrypt-auto certonly --renew-by-default -w [путь к вашему корню сайта] -d [домен]

Потом, если появляется окно диалога, о том, как вы желаете произвести аутентификацию ACME CA, выбираем пункт Nginx Web Server plugin - Alpha (nginx), если веб-сервер nginx.

Или так еще можно:

./letsencrypt-auto renew

В этом случае, так как сертификат мы сделали только что, команда не станет обновлять его. Она даст знать, что сертификат пока что не нуждается в обновлении. Команда сработает, если до конца осталось менее 30 дней.

После чего автоматом обновятся символические ссылки на ключи в /etc/letsencrypt/live/ваш домен/

Но лучше, конечно, настроить автоматическое обновление этого дела, для чего вешаем задачу на крон. Зайдем crontab -e, можно как то так, каждый месяц обновлять к примеру:

## letsencrypt
@monthly [path-to-your]/letsencrypt-auto certonly --renew-by-default --webroot -w [path-to-web-root] -d [domain]
@monthly service nginx reload

Или так еще (более частое, выполнение каждый понедельник, в пол второго ночи)

30 1 * * 1 /root/opt/letsencrypt/./letsencrypt-auto renew
30 1 * * 1 service nginx restart

Вот и все! Да здравствует вечный SSL!