За всеми событиями в жизни как-то пропустил момент, когда Let’s Encrypt стали выдавать бесплатные «wildcard» сертификаты. Иными словами, вы можете получить один сертификат на свой основной домен и все его субдомены разом. Больше не нужно беспокоиться о том, что каждый раз при создании субдомена придется создавать и новый сертификат. Нужно будет просто в конфигурационном файле указать текущий.
\nВ отличие от «стандартного» для генерирования сертификата «wildcard» нужно вручную прописать сервер для запросов. Команда будет выглядеть примерно так:<\/p>\n
# certbot certonly --server https:\/\/acme-v02.api.letsencrypt.org\/directory -d kini24.ru -d *.kini24.ru --agree-tos -m admin@kini24.ru --manual --preferred-challenges dns --must-staple --hsts --uir --staple-ocsp<\/code><\/pre>Пройдемся по параметрам, чтобы было понятней:
\n—server — указывает на сервер, который мы хотим использовать для создания сертификата;
\n-d — указываем для каких доменов мы будем создавать сертификат. Советую вам первым указывать основной домен, а не его субдомены. Сэкономите немного времени;
\n—agree-tos — принимаем условия лицензионного соглашения;
\n-m — указываем свой адрес электронной почты. Он будет использоваться как логин;
\n—manual — используем «ручной» режим работы. Думаю, что можно было и не указывать, но я хотел проконтролировать процесс;
\n—preferred-challenges — указываем предпочтительный способ проверки, что именно вы имеете доступ к администрированию домена (являетесь его владельцем);
\nОстальные параметры не обязательны, можно их не указывать.
\nПосле ввода команды вас спросят не хотите ли вы получать новости от Electronic Frontier Foundation (EFF), основателя сервиса Let’s Encrypt. Ради интереса согласился, отписаться можно в любой момент. Затем был вопрос о том хочу ли я использовать указанный email в качестве логина. Соглашаемся. А вот дальше был один нюанс, который я поначалу не понял, но, в итоге, разобрался. Следующим шагом вас просят внести TXT-запись в ресурсные записи домена. Вносим и ждем, процесс занимает некоторое время. Обычно хватает 15 минут. Нажимаем Enter, чтобы скрипт проверил наличие записи. И вот тут он выдает точно такой же запрос на внесение записи TXT, но с другим значением. Это значение нужно также внести в ресурсные записи. Если быть точней, то первую запись нужно заменить на вторую. Этакая двойная проверка. Снова минуты ожидания и жмем Enter. Если проверка прошла, то сертификат будет создан.
\nТак как у меня также используется технология HPKP, то нужно еще и генерировать новые ключи для сертификата:<\/p>\n
# openssl rsa -in \/etc\/letsencrypt\/live\/kini24.ru\/privkey.pem -outform der -pubout | openssl dgst -sha256 -binary | openssl enc -base64<\/code><\/pre>Вносим изменения в конфигурационный файл веб-сервера и перезапускаем его:<\/p>\n
# systemctl restart httpd2<\/code><\/pre>",
"date_published": "2018-05-16T09:58:04+07:00",
"date_modified": "2018-05-16T09:57:46+07:00",
"tags": [
"apache",
"certbot",
"HPKP",
"let's encrypt",
"wildcard",
"бесплатно",
"инструкция",
"сервер",
"сертификат"
],
"_date_published_rfc2822": "Wed, 16 May 2018 09:58:04 +0700",
"_rss_guid_is_permalink": "false",
"_rss_guid": "194",
"_e2_data": {
"is_favourite": false,
"links_required": [
"highlight\/highlight.js",
"highlight\/highlight.css"
],
"og_images": []
}
}
],
"_e2_version": 4134,
"_e2_ua_string": "Aegea 11.3 (v4134)"
}