Установка Lets’ encrypt SSL сертификата на Debian

Если вы решили сэкономить и получить бесплатный SSL сертификат, то в большинстве случаев сделать это не сложно. Благодаря проекту Lets’ encrypt процесс получения и настойки автоматизирован и выполняется буквально 2-3 командами в консоли сервера.

Мой UNIX сервер — это кастомная сборка LAMP от хостинг-провайдера на основе Debian 7 (Wheeze). Потому не всё прошло гладко и пришлось немного повозиться.

Немного об установщике certbot

Установка сертификата Let’s encrypt автоматизирована специальным скриптом — проект certbot. Для разных версий UNIX и типов веб-сервера разработан свой вариант установщика, который учитывает особенности вашей ОС. Так установка сертификата и настройка сервера сводится сводится к тому, чтобы скачать и запустить это скрипт. Вот так просто.

Если возникли какие то проблемы, то скрипт сообщит вам, чего не хватает.

Подготовка сервера Apache

Так как у меня сервер Apache, то первое что я сделал до установки сертификата, подключил SSL модуль apache — mod_ssl.so.

Для активации модуля требуется активировать команду загрузки модуля

обычно где то в основном файле конфигурации /etc/apache2/apache2.conf или подключаемых файлах конфигураций модулей.

Скачиваем скрипт certbot

Следующие две команды я выполнил как это было предписано в инструкции на сайте certbot.eff.org.

Но дальше пришлось остановится, т.к. потребовалось обновление некоторых пакетов операционной системы.

Обновление UNIX

В моём случае это были augeas-lenses и libaugeas0.

Типично для обновления пакетов в Debian требуется выполнить следующие команды (с правами root):

Можно также посмотреть сведения о текущей версии какого либо пакета вот такой командой:

Если апгрейд не привел к обновлению требуемых пакетов, значит скорее всего установщик пакетов apt не знает источник, откуда брать необходимые обновления.

Добавляем источник пакетов

Основной репозиторий 7 (wheeze) и 8 (jessie) Debian содержит очень старые версии требуемых библиотек augeas. Но их новые версии можно взять из репозитория бекпортов — wheezy-backports и jessie-backports. 

Создадим соответствующий источник пакетов для apt. В папке /etc/apt/sources.list.d добавим новый файл:

в него вставим всего одну строку (для случая wheezy):

(для случая jessie):

Теперь снова можно запустить apt-get update, apt-get upgrade.

Запускаем certbot

Понятно, что я уже попытался запустить скрипт, но он не смог выполнить свою работу, т.к. требовал свежие версии некоторых пакетов.

Но после обновления он выполнил все нужные манипуляции.

Скрипт нашел виртуальные хосты, описанные в конфигурации моего Apache, предложив выбрать какие из них требуют SSL сертификат. Для выбранных доменов был запрошен и установлен единый сертификат.

Если вы не включили сразу все домены в список, потом вы сможете их добавить в общий сертификат повторно выполнив запуск certbot.

Продление SSL сертификата

Сертификат выдаётся на 3 месяца, потом его нужно будет продлить. Лучше не дожидаться срока окончания, а продлить заранее. Делается это следующей командой:

За три месяца вы обязательно забудете куда вы скачивали certbot и как его запустить на обновление. Потому рекомендуется включить команду в задания cron или любую другой список команд, выполняемых по расписанию.

Для тестирования автообновления (чтобы убедиться, что все будет работать исправно) используйте:

Написать комментарий

Мало букафф? Читайте есчо !

Создание архива без сохранения абсолютного пути в UNIX

Февраль 20, 2018 г.

Если вы укажите полный путь архивируемой папки в UNIX, то файлы будут размещены в архиве вместе полным путем. Не всегда это удобно и правильно, зависит от выполняемой задачи. Как отсечь абсолютные пути, оставив только относительные? Для этого ...

Читать

Выполнение команды от имени другого пользователя

Март 17, 2022 г.

Команда su позволяет выполнить любую операцию от имени существующего пользователя. К примеру от имени пользователя nginx: [crayon-674e749847e0a946225954/] Должно вывести nginx, но скорее всего ничего не получится и вы увидите сообщение ...

Читать

 

Комментарии к «Установка Lets’ encrypt SSL сертификата на Debian»

Понравилась статья? Есть вопросы? - пишите в комментариях.



Комментарий: