Let’s Encrypt – это сервис бесплатных доверенных SSL-сертификатов, которые выдаются через автоматизированный API. Самым популярным клиентом Let’s Encrypt является Certbot.
Certbot поддерживает множество способов проверки домена, получения сертификатов и автоматической настройки Apache и Nginx. В этом мануале вы узнаете, как настроить автономный режим Certbot и с его помощью защитить другие типы сервисов: почтовые серверы, брокеры сообщений (типа RabbitMQ).
В этом руководстве вы не найдете подробного процесса получения SSL-сертификата, но после его выполнения вы получите доверенный сертификат, который будет автоматически обновляться. Кроме того, вы сможете автоматизировать перезагрузку сервиса, чтобы он мог получить доступ к новому сертификату.
Требования
- Сервер Ubuntu 16.04 с пользователем sudo и включенным брандмауэром (как описано здесь).
- Доменное имя, направленное на сервер (в мануале используется условный домен example.com).
- Свободный порт 80 или 443. Если одной машине с сервисом, который нужно защитить, находится веб-сервер, оба порта будут заняты. В таком случае вы можете использовать Certbot в другом режиме, например, webroot.
1: Установка Certbot
В репозитории Ubuntu есть пакет Certbot, но он немного устарел. Вместо этого можно установить пакет из официального Ubuntu PPA. PPA – это альтернативные репозитории, которые содержат более свежие и иногда нестабильные версии программ. Сначала добавьте репозиторий:
sudo add-apt-repository ppa:certbot/certbot
Чтобы продолжить, нажмите Enter. Обновите индекс пакетов:
sudo apt-get update
Затем установите пакет certbot:
sudo apt-get install certbot
2: Запуск Certbot
Certbot должен пройти криптографическую проверку API-интерфейса Let’s Encrypt, чтобы доказать, что у вас есть права на указанный домен. Для этого используются порты 80 (HTTP) или 443 (HTTPS). Откройте соответствующий порт в брандмауэре:
sudo ufw allow 80
Чтобы открыть порт 443, укажите его вместо порта 80.
ufw сообщит, что правило добавлено в список:
Rule added
Rule added (v6)
Теперь запустите Certbot, чтобы получить сертификат. Используйте опцию –standalone, чтобы Certbot использовал встроенный веб-сервер для обработки проверки. Опция –preferred-challenges говорит Certbot использовать порты 80 или 443. Если вы используете порт 80, укажите –preferred-challenges http. Порт 443 указывается с помощью опции
–preferred-challenges tls-sni. Флаг –d позволяет указать домен, для которого предназначен сертификат. Если сертификат будет использоваться для защиты нескольких доменов, добавьте необходимое количество флагов –d.
sudo certbot certonly --standalone --preferred-challenges http -d example.com
Запустив команду, вам нужно будет указать почтовый адрес и принять условия обслуживания. После этого вы увидите сообщение о том, что процесс был успешно выполнен, и узнаете, где хранятся ваши сертификаты:
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
expire on 2017-10-23. To obtain a new or tweaked version of this
certificate in the future, simply run certbot again with the
"certonly" option. To non-interactively renew *all* of your
certificates, run "certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
3: Настройка приложения
Настройка приложения для поддержки SSL выходит за рамки данного мануала, так как у каждого приложения разные требования и параметры конфигурации.
Давайте ознакомимся с файлами, которые скачал Certbot. Используйте ls, чтобы просмотреть каталог, в котором хранятся ключи и сертификаты:
sudo ls /etc/letsencrypt/live/example.com
cert.pem chain.pem fullchain.pem privkey.pem README
Файл README в этом каталоге содержит больше информации о каждом из этих файлов. Обычно нужны только два таких файла:
- privkey.pem: закрытый ключ сертификата. Его следует хранить в секрете, поэтому обычно каталог /etc/letsencrypt блокирует доступ, он доступен только пользователю root. Конфигурации программного обеспечения будут ссылаться на этот файл с помощью параметров типа ssl-certificate-key или ssl-certificate-key-file.
- fullchain.pem: это файл сертификата, связанный с промежуточными сертификатами. Большинство программ ссылается на этот файл как на ssl-certificate.
Читайте также: Раздел Where are my certificates документации Certbot.
Некоторые программы требуют, чтобы файлы сертификатов были в другом месте, в другом формате или имели другие привилегии. Лучше хранить все в каталоге letsencrypt и не менять привилегий (они все равно будут переписаны при обновлении сертификата), но иногда это мешает работе программы. В таком случае нужно написать сценарий для перемещения файлов и изменения привилегий по мере необходимости. Этот сценарий нужно запускать во время обновления сертификатов Certbot.
4: Автоматическое обновление сертификатов Certbot
Сертификаты Let’s Encrypt действительны только в течение 90 дней. Это должно побудить пользователей автоматизировать процесс обновления сертификатов. Установленный ранее пакет certbot позаботится об этом, добавив сценарий обновления в /etc/cron.d. Этот сценарий запускается два раза в день и продлевает сертификат, срок действия которого истекает через тридцать дней.
При автоматическом запуске сертификатов нужно найти способ запускать другие задачи после обновления. Как минимум, нужно перезагрузить сервер, чтобы новые сертификаты вступили в силу. Также, как упоминалось в разделе 3, вам может понадобиться каким-то образом обработать файлы сертификатов, чтобы они не конфликтовали с используемым вами программным обеспечением. Для этого Certbot предлагает опцию renew_hook.
Чтобы добавить renew_hook, обновите конфигурационный файл Certbot в каталоге renewal. Certbot помнит все сведения о первом сертификате и будет запускаться с теми же параметрами при обновлении. Нужно просто добавить опцию renew_hook. Откройте файл с помощью редактора:
sudo nano /etc/letsencrypt/renewal/example.com.conf
Вставьте в конец файла строку:
renew_hook = systemctl reload rabbitmq
Обновите приведенную выше команду и укажите в ней задачи, которые нужно выполнить (например, перезагрузить сервер или запустить собственный сценарий для обработки файлов). Обычно в Ubuntu для перезагрузки сервисов используют systemctl. Сохраните и закройте файл, затем запустите Certbot, чтобы убедиться, что синтаксис не содержит ошибок:
sudo certbot renew --dry-run
Certbot должен обновляться по мере необходимости и выполнять все команды, необходимые для поддержки новых сертификатов.
Заключение
Теперь вы умеете устанавливать клиент Certbot, получать SSL-сертификаты и автоматизировать обновление этих сертификатов.
Читайте также: