Некоторое время назад на сайте перестал обновляться SSL сертификат от Let`s Encrypt . Судя по ошибкам, несколько поменялась структура файлов для организации ключей. После исследования проблемы наиболее простым вариантом представилась установка SSL сертификатов с помощью специальной утилиты Certbot . Данная утилита производит установку сертификатов в автоматическом режиме, а также автоматически создаёт задачу по обновлению сертификата, которая базируется либо в планировщике cron либо в systemd.
Поскольку сервер сайта работает на Ubuntu 16.04, то и комплект установки был выбран для этой ОС. В случае других ОС на сайте Certbot предоставляются мануалы и для других систем.
Если Вы производите настройку SSL сертификата впервые, то можно воспользоваться руководством на сайте Certbot, если Вы уже производили настройку сертификата с помощью других утилит, например, с помощью пакета letsencrypt без использования certbot, как показано в следующей статье , то скорее всего понадобится сделать небольшую чистку перед установкой Certbot `a.
Подготовка к установке SSL сертификата
Для начала сделаем backup директории letsencrypt
sudo cp /etc/letsencrypt/ /etc/letsencrypt.backup -r
После чего необходимо удалить все конфигурационные файлы и сертификаты вашего сайта
rm -rf /etc/letsencrypt/live/${DOMAIN} rm -rf /etc/letsencrypt/renewal/${DOMAIN}.conf rm -rf /etc/letsencrypt/archive/${DOMAIN}
Если вы настраивали планировщик cron для автоматического обновления сертификата, то не забудьте удалить эту задачу.
Установка SSL сертификата
Далее необходимо произвести установку утилиты Certbot для Ubuntu 16.04 (в моём случае используется эта версия ОС), при этом в стандартных репозиториях этой утилиты нет, поэтому необходимо воспользоваться PPA разработчиков.
$ sudo apt-get install software-properties-common $ sudo add-apt-repository ppa:certbot/certbot $ sudo apt-get update $ sudo apt-get install python-certbot-nginx
Получение сертификата
Следующим шагом является запуск утилиты, которая в автоматическом режиме отыщет настроенные сервера. Напомню, что на моём сайте используется Nginx , поэтому и настройка будет производиться для этого типа сервера.
$ sudo certbot --nginx
Утилита ищет домены, которые работают на сайте в конфигурационных файлах Nginx по переменной server_name.
Если эта переменная не задана, то и домены, для которых вы будете получать сертификаты не будут найдены.
Во время выполнения certbot --nginx будет показан список из которого Вам нужно будет выбрать, для какого сервера вы получаете сертификат. А также задан вопрос о том, как именно должен быть сконфигурирован сервер: для работы по обои протоколам (HTTP и HTTPS) или только по HTTPS. Рекомендую выбрать первый вариант, поскольку по HTTPS Yandex не забирает файлы robots.txt. После выполнения этой команды certbot самостоятельно внесёт необходимые изменения в конфигурационные файлы nginx.
Также имеется возможность только установить сертификаты, а конфигурационные файлы nginx настроить вручную. Это делается следующей командой:
$ sudo certbot --nginx certonly
Автоматизация обновления сертификата
Следующая команда выполнит пробное получение сертификата, который не будет установлен.
$ sudo certbot renew --dry-run
Если получение сертификата пройдёт успешно, то будет создана задача по автоматическому обновлению сертификата.
В мануале certbot`a было сказано, что задача будет создана либо в планировщике cron , либо в systemd. В моём случае задача была создана в виде таймера в systemd.
Найти её удалось по следующему пути:
/etc/systemd/system/timers.target.wants/certbot.timer
Для ручного запуска обновления сертификата можно воспользоваться следующей командой:
certbot renew