Нещодавно на сайті перестав оновлюватися SSL сертифікат від Let`s Encrypt . Зважаючи на помилки, дещо змінилася структура файлів для організації ключів. Після дослідження проблеми найпростішим варіантом стала установка SSL сертифікатів за допомогою спеціальної утиліти Certbot . Ця утиліта здійснює встановлення сертифікатів в автоматичному режимі, а також автоматично створює завдання по оновленню сертифіката, що базується або в планувальнику cron або в systemd.
Оскільки сервер сайту працює на Ubuntu 16.04, то і набір установки був обраний для цієї ОС. У разі інших ОС на сайті Certbot надаються мануали для інших систем.
Якщо Ви встановлюєте SSL сертифікат вперше, то можна скористатися керівництвом на сайті Certbot, якщо Ви вже проводили налаштування сертифіката за допомогою інших утиліт, наприклад, за допомогою letsencrypt без використання certbot, як показано в наступній статті , то швидше за все знадобиться зробити невелике чищення перед встановленням Certbot `a.
Підготовка до встановлення SSL сертифіката
Для початку зробимо backup директорії letsencrypt
sudo cp /etc/letsencrypt/ /etc/letsencrypt.backup -r
Після цього необхідно видалити всі конфігураційні файли та сертифікати вашого сайту
rm -rf /etc/letsencrypt/live/${DOMAIN}
rm -rf /etc/letsencrypt/renewal/${DOMAIN}.conf
rm -rf /etc/letsencrypt/archive/${DOMAIN}
Якщо ви налаштовували планувальник cron для автоматичного оновлення сертифіката, то не забудьте видалити це завдання.
Встановлення сертифіката SSL
Далі необхідно провести установку утиліти Certbot для Ubuntu 16.04 (у моєму випадку використовується ця версія ОС), при цьому у стандартних репозиторіях цієї утиліти немає, тому необхідно скористатися PPA розробників.
$ sudo apt-get install software-properties-common $ sudo add-apt-repository ppa:certbot/certbot $ sudo apt-get update $ sudo apt-get install python-certbot-nginx
Отримання сертифіката
Наступним кроком є запуск утиліти, яка в автоматичному режимі знайде настроєні сервери. Нагадаю, що на моєму сайті використовується Nginx , тому і налаштування буде проводитися для цього сервера.
$ sudo certbot --nginx
Утиліта шукає домени, які працюють на сайті в конфігураційних файлах Nginx за змінною server_name.
Якщо ця змінна не задана, то й домени, для яких ви будете отримувати сертифікати, не будуть знайдені.
Під час виконання certbot --nginx буде показаний список, з якого Вам потрібно буде вибрати, для якого сервера ви отримуєте сертифікат. А також поставлено питання про те, як саме має бути налаштований сервер: для роботи з обох протоколів (HTTP і HTTPS) або тільки за HTTPS. Рекомендую вибрати перший варіант, оскільки за HTTPS Yandex не забирає файли robots.txt. Після виконання цієї команди certbot самостійно внесе необхідні зміни до конфігураційних файлів nginx.
Також можна лише встановити сертифікати, а конфігураційні файли nginx налаштувати вручну. Це робиться наступною командою:
$ sudo certbot --nginx certonly
Автоматизація оновлення сертифіката
Наступна команда виконає пробне отримання сертифіката, який не буде встановлено.
$ sudo certbot renew --dry-run
Якщо отримання сертифіката пройде успішно, буде створено завдання автоматичного оновлення сертифіката.
У мануалі certbot`a було сказано, що завдання буде створено або в планувальнику cron, або в systemd. У моєму випадку завдання було створено у вигляді таймера в systemd.
Знайти її вдалося наступним шляхом:
/etc/systemd/system/timers.target.wants/certbot.timer
Для ручного запуску оновлення сертифіката можна скористатися наступною командою:
certbot renew
