среда, 17 января 2018 г.

debian: ispmanager 4 + letsencrypt

Есть штатный модуль интеграции, но он доступен только с версии 5.65, а нам надо под более адекватную 4 версию.
Можно конечно поставить сервис, сгенерировать сертификаты, скопировать их из файлов и добавить через панель, а потом каждые 2 месяца обновлять... Но можно сделать проще!


Итак, для начала поставим LE. Суть в том, что в том же wheezy просто нет такого пакета, в таком случае делаем
cd /usr/local
apt install git
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
chmod a+x certbot-auto
Запускаем генерацию, причём можно (и нужно) сразу указать основной домен и поддомены
./certbot-auto -d domain.ru -d www.domain.ru
В первый раз запросит почту для уведомлений (писать настоящий адрес, туда полезные письма идут), согласие с условиями, подписываться ли на рассылку (обычно не нужно).
Дальше указать, как будем подтверждать. В случае с isp лучше всего через webroot, смотрим в панели где корень нужного сайта, указываем webroot, тот адрес, подтверждение. В типовом случае всё подпишется успешно.
Повторить для других доменов при необходимости.
Сами сертификаты теперь лежат в /etc/letsencrypt/live/domain.ru итд.

Далее, подключаем.

У пользователя должна быть активирована поддержка SSL. Проверив, переходим в домены, выбираем нужный домен, ставим галку в SSL и генерируем самоподписанный сертификат.
Теперь открываем консоль, находим, куда они легли, скорее всего это /var/www/httpd-cert/(user), переходим туда, переименовываем .crt и .key и делаем симлинки, в случае настроенного nginx примерно так
ln -s /etc/letsencrypt/live/domain.ru/fullchain.pem domain.ru.crt
ln -s /etc/letsencrypt/live/domain.ru/privkey.pem domain.ru.key
в случае апача нужны будут privkey.pem, chain.pem, cert.pem

Теперь делаем nginx -t для проверки корректности и при успехе - service nginx reload. Всё, сертификат теперь обновляем по крону через
/usr/local/letsencrypt/certbot-auto renew
только не забываем делать reload при успехе. Домашнее задание -- изучить как автоматизировать релоад, подсказка - там есть хуки. Начать можно с --manual-cleanup-hook

линки
https://www.sanglyb.ru/kak-poluchit-besplatnyy-ssl-sertifikat

Комментариев нет:

Отправить комментарий