Let's Encrypt – бесплатный SSL-сертификат. Срок действия - 90 дней. Вы можете сгенерировать сертификат Let's Encrypt вручную. Также данная возможность есть в панели BitrixVM, начиная с версии 7.2.0.
Получение и установка Let's Encrypt через меню Bitrix
1. Перейдите в раздел 8. Manage pool web servers - 3. Configure certificates - 1. Configure Let's encrypt certificate.
2. Введите:
- один или несколько сайтов, для которых заказывается сертификат. Сайты указываются через запятую. Например: site1.com, site2.com, site3.com
- доменные имена сайтов, через запятую.
- e-mail для получения сообщений от Let's Encrypt. Обязательно указывайте действующий адрес электронной почты.
3. Нажмите Y для подтверждения. Сертификат будет выпущен и установлен в автоматическом режиме.
4. По истечении срока действия сертификат перевыпускается автоматически. Если сертификат не был перевыпущен автоматически – получите сертификат снова по этой инструкции.
Также можно установить сертификат вручную и настроить его автоматический перевыпуск через задачу Crontab.
Получение сертификата вручную
1. Установите GIT:
yum install git
2. Создайте каталог letsencrypt и перейдите в него:
mkdir /opt/letsencrypt && cd "$_"
3. Скопируйте репозиторий certbot для получения сертификата:
git clone https://github.com/certbot/certbot
4. Перейдите в каталог с certbot:
cd certbot
5. Для получения сертификата и настройки зависимостей для certbot выполните команду:
./certbot-auto certonly --webroot --agree-tos --email admin@email.com -w /path/to/dir/site/ -d my-domain.com -d www.my-domain.com
При запросе "Is this ok [y/d/N]:" нажмите на клавиатуре Y.
admin@mail.com - электронный адрес администратора домена. Обязательно указывайте действующий e-mail.
/path/to/dir/site/ - полный путь к каталогу с файлами сайта, для которого устанавливается сертификат.
my-domain.com и www.my-domain.com - домены, для которых генерируется и устанавливается сертификат. Для того чтобы указать несколько доменов, укажите -d перед каждым.
Если процедура пройдет успешно, будет отображен следующий текст. Здесь будет отображен путь к сертификату fullchain.pem и закрытому ключу privkey.pem. Файлы сертификата и ключа в незашифрованном виде и могут использоваться для установки.
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/my-domain.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/my-domain.com/privkey.pem
Your cert will expire on 2020-09-16. To obtain a new or tweaked
version of this certificate in the future, simply run certbot-auto
again. To non-interactively renew *all* of your certificates, run
"certbot-auto renew"
Затем установите полученный сертификат по инструкции.
Продление сертификата
Для автоматического продления сертификата добавьте задание в планировщик crtontab.
1. Проверьте, можно ли обновить сертификат после установки:
/opt/letsencrypt/certbot/certbot-auto renew --dry-run
2. Откройте планировщик crontab:
crontab -e
3. Добавьте задачу для обновления сертификата:
30 6 * * * /opt/letsencrypt/certbot/certbot-auto renew --post-hook "systemctl reload nginx"
В нашем случае проверка необходимости обновления будет проводиться каждый день в 6.30.
Если у Вас остались вопросы - создайте тикет в техподдержку.