Как обновить SSL-сертификат Let’s Encrypt
Let’s Encrypt — это центр сертификации (ЦС), который предоставляет бесплатные цифровые сертификаты для включения HTTPS (SSL/TLS) на веб-сайтах. Эти сертификаты используются для шифрования связи между веб-сайтом и его пользователями, обеспечивая конфиденциальность и безопасность конфиденциальной информации, такой как учетные данные для входа и данные кредитной карты. Сертификатам Let’s Encrypt доверяют все основные веб-браузеры, что делает их доступными и надежными для владельцев веб-сайтов для защиты своих сайтов.
Для всех веб-сайтов важно иметь действующий сертификат SSL/TLS для защиты пользовательских данных. Однако эти сертификаты имеют ограниченный срок действия, обычно 90 дней. По истечении этого периода вам необходимо обновить сертификат, чтобы поддерживать безопасное подключение к вашему веб-сайту. В этой статье мы обсудим, как обновить сертификаты Let’s Encrypt в системах на базе Linux.
Продление сертификата Let’s Encrypt
Существует несколько способов обновить сертификат Let’s Encrypt, но наиболее распространенным является использование Certbot — инструмента, разработанного Electronic Frontier Foundation (EFF), который упрощает процесс получения и обновления сертификатов SSL/TLS.
Шаг 1. Проверьте доступность Certbot
Перед обновлением сертификата Let’s Encrypt убедитесь, что в вашей системе установлен Certbot.
Выполните следующую команду, чтобы проверить, установлен ли Certbot в вашей системе:
$ sudo certbot —version
Если Certbot не установлен, вы увидите следующий вывод терминала:
Вы можете установить Certbot, выполнив следующую команду:
$ sudo pip install certbot certbot-nginx
Вы увидите вывод, похожий на следующий:
Выполните следующую команду, чтобы создать символическую ссылку, чтобы убедиться, что Certbot работает:
$ sudo ln -s / opt / certbot / bin / certbot / usr / bin / certbot
Шаг 2. Продлите сертификат с помощью Certbot
После установки Certbot вы можете обновить свой сертификат Let’s Encrypt.
Выполните следующую команду, чтобы обновить сертификат:
$ sudo certbot renew
Примечание. Эта команда проверяет, требуется ли продление какого-либо из ваших сертификатов, и автоматически продлевает их, если это необходимо. Если у вас нет сертификатов для обновления, он показывает вам пустой вывод обновления, как показано ниже:
Шаг 3. Продление конкретного сертификата
Если у вас есть несколько доменов или поддоменов на вашем веб-сайте, вам может потребоваться указать, какой сертификат вы хотите обновить.
Вы можете сделать это, выполнив следующую команду:
$ sudo certbot renew —cert-name example.com
Примечание. Замените «example.com» на имя вашего домена или поддомена.
Шаг 4. Продление нескольких сертификатов
Если у вас несколько доменов или поддоменов, вы можете указать несколько сертификатов, разделив их запятыми.
Выполните следующую команду:
$ sudo certbot renew —cert-name example.com,www.example.com
Шаг 5. Проверка продления сертификата
Если вы хотите протестировать процесс обновления без фактического обновления сертификата, вы можете использовать флаг –dry-run.
Выполните следующую команду, чтобы проверить обновление сертификата:
$ sudo certbot renew —dry-run
Примечание. Это имитирует процесс продления и позволяет узнать, есть ли какие-либо проблемы, которые необходимо решить до фактического продления.
Шаг 6. Продление сертификатов при изменении веб-сайта
Важно отметить, что каждый раз, когда вы вносите изменения в конфигурацию веб-сайта, такие как изменение веб-сервера или добавление новых доменов, вам необходимо обновить свой сертификат Let’s Encrypt, чтобы отразить эти изменения.
Выполните следующую команду, чтобы отразить изменения:
$ sudo certbot certonly —force-renewal -d example.com -d www.example.com
Примечание. Замените «example.com» и «www.example.com» доменами или субдоменами, которые вы хотите обновить.
-
- Флаг –force-renewal заставляет Certbot выдать новый сертификат, даже если текущий сертификат все еще действителен.
Поиск неисправностей
Чаще всего возникают проблемы во время обновления сертификата веб-сайта. К ним могут относиться ошибка подключения или ошибка недействительности доменного имени. Вы должны попробовать выполнить следующие шаги для устранения проблем:
-
- Убедитесь, что часы вашего сервера установлены правильно. Let’s Encrypt требует, чтобы часы на вашем сервере были установлены в пределах определенной погрешности.
- Убедитесь, что ваши записи DNS настроены правильно. Let’s Encrypt использует DNS для подтверждения права собственности на домен. Любые проблемы с вашими записями DNS могут помешать завершению процесса обновления.
- Убедитесь, что ваш веб-сервер работает и доступен. Если ваш веб-сервер не работает или недоступен, Certbot не сможет обновить ваш сертификат.
- Убедитесь, что ваш брандмауэр не блокирует серверы Let’s Encrypt. Let’s Encrypt использует определенные IP-адреса для проверки владения доменом. Если ваш брандмауэр блокирует эти IP-адреса, процесс обновления завершится ошибкой.
Заключение
Продление сертификата Let’s Encrypt — относительно простой процесс, который можно быстро и легко выполнить с помощью инструмента Certbot. С помощью всего нескольких команд вы можете обеспечить безопасность своего веб-сайта или веб-приложения и защитить его от нежелательных атак. Let’s Encrypt упростил защиту вашего веб-сайта или веб-приложения с помощью сертификатов SSL/TLS, а их обновление — простой процесс, который может выполнить любой, обладающий небольшими техническими знаниями. С помощью правильных инструментов и знаний вы можете гарантировать, что ваше присутствие в Интернете останется безопасным и надежным, а ваши посетители будут защищены от потенциальных угроз безопасности.
Все права защищены. © Linux-Console.net • 2019-2023
Продление SSL-сертификата
Процедура продления платного сертификата безопасности заключается в заказе нового SSL-сертификата, его активации и установке на сайт вместо истекшего, а также можно включить Автопродление услуги.
При выпуске нового сертификата стоит учитывать, что его действие начинается с момента его активации в центре сертификации, а не с момента окончания текущего сертификата. Например, если ваш текущий SSL заканчивается 18.12.2019, а новый был активирован 15.11.2019, дата выдачи нового считается 15.11.2019 и он будет действовать по 15.11.2020. А с 15 ноября по 18 декабря 2019 года у вас будет два активных SSL-сертификата. Чтобы не переплачивать за лишний месяц, мы рекомендуем заказывать новый сертификат в конце срока действия текущего сертификата.
Если вы будете приобретать новый сертификат, то:
- Воспользуйтесь инструкцией Как купить SSL-сертификат, чтобы запустить издание нового сертификата.
- Затем активируйте SSL-сертификат.
- На заключительном этапе вам потребуется установка SSL на хостинг. Подробную информацию об установке вы можете найти в разделе Установка SSL-сертификата.
Однако мы рекомендуем воспользоваться Автопродлением SSL-сертификата.
Как включить или отключить Автопродление SSL-сертификата
- доступно только для SSL-сертификатов Начального уровня от компании GlobalSign,
- при автопродлении сертификат продлевается по цене нового сертификата,
- если все услуги приобретены в Рег.ру, то переустановка на хостинг не требуется,
- автопродление происходит за 9 дней до окончания срока действия предыдущего сертификата.
Первая попытка списания происходит с баланса аккаунта. Если средств недостаточно, то с привязанной карты. Карта в этом случае должна быть привязана к аккаунту: Как привязать к аккаунту банковскую карту.
Как включить автопродление SSL:
Перейдите к услуге SSL в личном кабинете:
- ON ― функция включена,
- OFF ― функция выключена:
Готово, вы настроили Автопродление SSL-сертификата.
Как продлить бесплатный SSL-сертификат вручную
Если вы не хотите включать Автопродление, надо выпустить новый SSL-сертификат вручную. По условиям подключения сертификата, срок бесплатного пользования SSL-сертификатом составляет 6 месяцев. Таким образом, при продлении SSL-сертификата его необходимо оплачивать.
Если вы будете выпускать новый SSL-сертификат, его срок выдачи и окончания никак не будут привязаны к предыдущему. Т.е. если текущий SSL заканчивается 10.03.2019, а новый SSL был активирован 15.02.2019, дата выдачи нового будет 15.02.2019 и он будет действовать по 15.02.2020. А с 15 февраля по 10 марта 2019 года у вас будет два активных SSL-сертификата. Чтобы не переплачивать за лишние месяца, рекомендуем производить переиздание сертификата ближе к окончанию срока действия текущего сертификата.
Важно: вы можете продлить SSL-сертификат из карточки услуги только в течение 30 дней до окончания действия сертификата.
Авторизуйтесь на сайте Рег.ру и перейдите в раздел Домены и услуги.
Кликните по строке сертификата, который нужно продлить.
На открывшейся странице во вкладке «Управление» нажмите Продлить и следуйте дальнейшим указаниям. Кнопка «Продлить» становится активна только за 30 дней до окончания действия сертификата. В первой строке также отображается дата окончания действия бесплатного SSL-сертификата (он подключается на 6 месяцев).
Нажмите кнопку В корзину:
Далее вы будете перенаправлены в корзину для оплаты. Оплатите счет удобным для вас способом.
Готово, после активации SSL-сертификата его необходимо будет заново установить на хостинг. Подробную информацию об установке вы можете найти в разделе Установка SSL-сертификата.
Помогла ли вам статья?
Спасибо за оценку. Рады помочь ��
Обновление SSL сертификата
Обновление SSL сертификата Let’s Encrypt в автоматическом режиме требуется для того чтобы не заменять файлы сертификата и приватного ключа на сервере вручную каждые 3 месяца. Именно столько действительны сертификаты Let’s Encrypt.
Обновление SSL сертификата Let’s Encrypt в автоматическом режиме
Существует большое количество решений для автоматизации, но безопаснее всего следовать инструкциям с официального сайта certbot.eff.org
На главной странице выбирается дистрибутив и веб-сервер, для каждой комбинации существуют варианты выпуска сертификата и обновления в дальнейшем.
В примере будем использовать сервер с Debian 9 и Nginx в качестве веб-сервер.
Прежде всего потребуется установить дополнительные пакеты
Обновляем информацию о пакетах в репозитории
Устанавливаем пакет python-certbot-nginx
apt-get install python-certbot-nginx
certbot —authenticator webroot —installer nginx
Возникнет ряд диалогов, в которых нужно ответить на вопросы установщика
Which names would you like to activate HTTPS for?
————————————————-
1.en.server-gu.ru
2. www.anothersite.ru
————————————————-Выбираем опцию 1. Список сайтов формируется путем выборки всех значений директив server_name и server_alias в конфигурационных файлах.
Далее требуется полный путь к директории с файлами сайта
Input the webroot for www.en.server-gu.ru: (Enter ‘c’ to cancel): /var/somepath/en.server-gu.ru/
И редирект. Он может устанавливаться автоматически или нет.
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
——————————————————————————-
1: No redirect — Make no further changes to the webserver configuration.
2: Redirect — Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you’re confident your site works on HTTPS. You can undo this
change by editing your web server’s configuration.Если конфигурация базовая и сложных перенаправлений не нужно, можно выбрать 2
IMPORTANT NOTES:
— Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/en.server-gu.ru-0001/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/en.server-gu.ru-0001/privkey.pem
Your cert will expire on 2018-10-20. To obtain a new or tweaked
version of this certificate in the future, simply run certbot again
with the «certonly» option. To non-interactively renew *all* of
your certificates, run «certbot renew»
— If you like Certbot, please consider supporting our work by:Сертификат успешно выпущен. Обновить его как и любой другой сертификат для данной машины можно выполняя certbot renew по расписанию планировщика CRON.
К команде certbot —authenticator webroot —installer nginx можно добавить ключ certonly, в этом случае устанавливаться сертификат не будет, полученные от Let’s Encrypt файлы будут сохранены на сервере и на этом работа завершится.
Понадобится это может при существовании сложной конфигурации, для которой все действия лучше выполнять вручную.
Подписка на уведомления
Если вы указали адрес электронной почты при создании аккаунта на Let’s Encrypt, мы постараемся автоматически отправить вам уведомления о необходимости обновить сертификат. Мы стараемся отправить первое уведомление за 20 дней до истечения вашего сертификата, а второе и последнее уведомление — за 7 дней до истечения срока его действия. Мы рекомендуем вам полагаться на ваш клиент ACME для автоматического обновления ваших сертификатов и использовать эти уведомления об истечении срока действия только в качестве предупреждения, в целях проверки вашей автоматизации.
В каком случае вы получите уведомление об истечении срока действия сертификата
Если ваш сертификат уже обновлён, мы не будем беспокоить вас. Мы решаем, что сертификат требует обновления, если имеется более поздний сертификат с точно таким же набором доменных имён, независимо от того, в чьём аккаунте он создан. Если вы выпустили новый сертификат, в котором отсутствуют доменные имена, в сравнении с предыдущим сертификатом — вы получите уведомление об истечении срока действия предыдущего сертификата. Если текущий используемый сертификат для доменного имени показывает верную дату — никаких дополнительных действий не требуется. Чтобы просмотреть историю выданных сертификатов для вашего домена, вы можете выполнить поиск своего домена на ресурсах, предоставляющих журналы прозрачности сертификатов, такие как crt.sh.
Отмена подписки на уведомления
В каждом электронном письме с уведомлением об истечении срока действия сертификата есть ссылка на отмену подписки. Если вы перейдёте по этой ссылке, мы не будем присылать уведомления в течение следующего года. Список “отписавшихся” для Staging-окружения независим от списка “отписавшихся” для Production-окружения, поэтому не нужно беспокоиться, что отмена подписки для Staging-окружения затронет состояние подписки для Production-окружения.
Обратите внимание, что отмена подписки действует в течение года, таким образом, вам необходимо будет продлевать отмену подписки каждый год.
Мы пока не нашли эффективный способ восстанавливать подписку, если вы отменили её. У нашего провайдера электронной почты, Mandrill, есть ручное восстановление, которое мы пытаемся автоматизировать.
Тем не менее, вы можете сменить адрес электронной почты для своего аккаунта, что автоматически вернёт подписку на уведомления. Большинство почтовых сервисов обрабатывают адрес yourname+1@example.com так же, как и yourname@example.com . Таким образом, если вы смените адрес электронной почты на yourname+1@example.com , подписка на адрес yourname@example.com будет возобновлена. С помощью Certbot адрес меняется командой в консоли:
certbot update_account —email yourname+1@example.com
Let’s Encrypt — это бесплатный, автоматизированный и открытый Центр Сертификации, созданный для вас некоммерческой организацией Internet Security Research Group (ISRG).
548 Market St, PMB 77519 , San Francisco , CA 94104-5401 , USA
Все письма и запросы отправляйте по адресу:
PO Box 18666 , Minneapolis , MN 55418-0666 , USA
- GitHub
- Mastodon