BitrixVM

Получение SSL Let's Encrypt

Let's Encrypt – бесплатный SSL-сертификат. Срок действия - 90 дней. Вы можете сгенерировать сертификат Let's Encrypt вручную. Также данная возможность есть в панели BitrixVM, начиная с версии 7.2.0.

Получение и установка Let's Encrypt через меню Bitrix

1.    Перейдите в раздел 8. Manage pool web servers  - 3. Configure certificates  - 1. Configure Let's encrypt certificate.

getting-and-installing-lets-encrypt-through-the-bitrix-menu

2.    Введите:

  • один или несколько сайтов, для которых заказывается сертификат. Сайты указываются через запятую. Например: site1.com, site2.com, site3.com
  • доменные имена сайтов, через запятую.
  • e-mail для получения сообщений от Let's Encrypt. Обязательно указывайте действующий адрес электронной почты.

3.    Нажмите Y для подтверждения. Сертификат будет выпущен и установлен в автоматическом режиме.

4.    По истечении срока действия сертификат перевыпускается автоматически. Если сертификат не был перевыпущен автоматически – получите сертификат снова по этой инструкции.

Также можно установить сертификат вручную и настроить его автоматический перевыпуск через задачу Crontab.

Получение сертификата вручную

1. Установите GIT:

yum install git

2. Создайте каталог letsencrypt и перейдите в него:

mkdir /opt/letsencrypt && cd "$_"

3. Скопируйте репозиторий certbot для получения сертификата:

git clone https://github.com/certbot/certbot

4. Перейдите в каталог с certbot:

cd certbot

5. Для получения сертификата и настройки зависимостей для certbot выполните команду:

./certbot-auto certonly --webroot --agree-tos --email admin@email.com -w /path/to/dir/site/ -d my-domain.com -d www.my-domain.com

При запросе "Is this ok [y/d/N]:" нажмите на клавиатуре Y.

admin@mail.com - электронный адрес администратора домена. Обязательно указывайте действующий e-mail.

/path/to/dir/site/ - полный путь к каталогу с файлами сайта, для которого устанавливается сертификат.

my-domain.com и www.my-domain.com - домены, для которых генерируется и устанавливается сертификат. Для того чтобы указать несколько доменов, укажите -d перед каждым.

Если процедура пройдет успешно, будет отображен следующий текст. Здесь будет отображен путь к сертификату fullchain.pem и закрытому ключу privkey.pem. Файлы сертификата и ключа в незашифрованном виде и могут использоваться для установки.

IMPORTANT NOTES:

- Congratulations! Your certificate and chain have been saved at:

  /etc/letsencrypt/live/my-domain.com/fullchain.pem

  Your key file has been saved at:

  /etc/letsencrypt/live/my-domain.com/privkey.pem

  Your cert will expire on 2020-09-16. To obtain a new or tweaked

  version of this certificate in the future, simply run certbot-auto

  again. To non-interactively renew *all* of your certificates, run

  "certbot-auto renew"

Затем установите полученный сертификат по инструкции.

Продление сертификата

Для автоматического продления сертификата добавьте задание в планировщик crtontab.

1. Проверьте, можно ли обновить сертификат после установки:

/opt/letsencrypt/certbot/certbot-auto renew --dry-run

2. Откройте планировщик crontab:

crontab -e

3. Добавьте задачу для обновления сертификата:

30 6 * * * /opt/letsencrypt/certbot/certbot-auto renew --post-hook "systemctl reload nginx"

В нашем случае проверка необходимости обновления будет проводиться каждый день в 6.30.

Если у Вас остались вопросы - создайте тикет в техподдержку.