Установка SSL от Let’s Encrypt на сервер (без панели)

Сертификаты — важный инструмент безопасности. Сертификат обеспечивает шифрование конфиденциальных данных пользователей (например пароли, банковские данные). Проекты, которые только набирают обороты, тоже нуждаются в защите, но для создателя в таком случае нецелесообразно сразу приобретать лучшую криптографическую защиту. Let’s Encrypt — решение, подходящее на старте. 

Let’s Encrypt — это центр сертификации, который предоставляет бесплатные криптографические сертификаты X.509.

Certbot

Подключитесь к серверу через SSH. Установите certbot.

Centos — yum install -y certbot

Debian/Ubuntu — apt install -y certbot

Сертификат WWW

certbot certonly —expand -d lamp.fvds.ru -d www.lamp.fvds.ru -w /var/www/html —webroot —email webmaster@lamp.fvds.ru —agree-tos —dry-run

В случае, если данная команда завершилась успешно — приступите к выпуску сертификата. 

certbot certonly —expand -d lamp.fvds.ru -d www.lamp.fvds.ru -w /var/www/html —webroot —email webmaster@lamp.fvds.ru —agree-tos -n

lamp.fvds.ru — заменить на своё

www.lamp.fvds.ru — заменить на своё

Когда вы закончите выпуск сертификата, перед вами появится сообщение:

IMPORTANT NOTES:

 — Congratulations! Your certificate and chain have been saved at:

   /etc/letsencrypt/live/lamp.fvds.ru-0001/fullchain.pem

   Your key file has been saved at:

   /etc/letsencrypt/live/lamp.fvds.ru-0001/privkey.pem

   Your certificate will expire on 2022-04-15. To obtain a new or

   tweaked version of this certificate in the future, simply run

   certbot again. To non-interactively renew *all* of your

   certificates, run «certbot renew«

 — If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let’s Encrypt:   https://letsencrypt.org/donate

   Donating to EFF:                https://eff.org/donate-le

Путь до сертификата: /etc/letsencrypt/live

Wildcard сертификата

Wildcard защищает домен + все связанные с ним доменные имена (поддомены). 

Чтобы установить Wildcard, нужно настроить DNS. Настройка заключается в добавлении дополнительных записей TXT.

Команда:

certbot —manual —agree-tos —manual-public-ip-logging-ok —preferred-challenges dns certonly —server https://acme-v02.api.letsencrypt.org/directory -d *.lamp.fvds.ru -d lamp.fvds.ru

Вместо значений с * необходимо поставить свои (доменные имена). 

После запуска, появится сообщение:

Please deploy a DNS TXT record under the name
_acme-challenge.lamp.fvds.ru with the following value:

RYHdWpSmMuVjdJFZT9JGBs7zuQOFgN78f1Azt1fwNcc
Before continuing, verify the record is deployed.

Необходимо создать новую запись TXT для имени домена в DNS-реестре.

После того, как вы создали запись, возвращайтесь в терминал и нажмите «Enter» для того, чтобы продолжить инициализацию. Certbot запросит создание второй TXT записи. Чтобы её создать, повторите действия, приведенные ранее.