↓

Lets Encrypt: разбор

http://it.icmp.ru/postimages/1181/7648/full/Setup-HTTPS-with-Lets-Encrypt-on-Nginx.png

Разберем как выписывать сертификаты letsecnrypt для nginx, apache и reverse proxy с остановкой и без остановки веб-сервера, а так же их автообновление.
P.S. к моменту написания статьи клиент переименовали в certbot, но синтаксис не изменился.

Первым делом клонируем репозиторий: git clone https://github.com/certbot/certbot.git
Чтобы каждый раз не писать полный путь к клиенту можно создать симлинк в /usr/bin (или sbin кому как удобнее): ln -s /path/to/certbot/certbot-auto /usr/bin/certbot
Запускаем certbot, чтобы он установил нужные ему пакеты: certbot --help

Разбор основных моментов!
Чтобы выписать сертификат нужно, чтобы ваш веб-сервер был доступен в интернете поскольку клиент создает определенные файлы, которые потом проверяются acme-сервером. На сколько я понял это проверка на существование ресурса для которого и выписывается сертификат.
Можно выписать 5 сертификатов в неделю, но этот лимит не действует на отзыв сертификатов и их продление.
Есть возможность за один раз выписать несколько сертификатов, чтобы сразу не исчерпать лимит.
Есть два основных способа как выписать сертификат.

Способ первый: standalone

certbot certonly --standalone -d site.mydomain.com -d site2.mydomain.com

Если решили использовать standalone, то сначала нужно остановить веб-сервер поскольку при указании этого ключа клиент создаст в /tmp все необходимые директории и файлы, а так же поднимет свой веб-сервер к которому и будет обращаться acme-сервер иначе просто получите ошибку "address already in use" поскольку 80 порт уже будет занят вашим веб-сервером.

Способ второй: webroot

certbot certonly --webroot -w /var/www/site/ -d site.mydomain.com -w /var/www/site2/ -d site2.mydomain.com

Этот способ не требует отключения веб-сервера поскольку таким образом указываем клиенту, где создавать директории и файлы необходимые для acme-сервера. Подойдет если нельзя отключать веб-сервер (например на production сервере).
Все выписанные сертификаты хранятся в директории /etc/letsencrypt/live, а в archive соответственно лежат просроченные и отозванные сертификаты.
Далее быстренько рассмотрим примеры конфигураций.

Начнем с APACHE!

<VirtualHost *:443>
        ServerAdmin admin@mydomain.com
        DocumentRoot /var/www/site
        ServerName site.mydomain.com
        CustomLog /var/log/httpd/site-ssl-access.log combined
        ErrorLog /var/log/httpd/site-ssl-error.log
        SSLEngine on
        SSLCertificateFile /etc/letsencrypt/live/site.mydomain.com/cert.pem
        SSLCertificateKeyFile /etc/letsencrypt/live/site.mydomain.com/privkey.pem
        SSLCertificateChainFile /etc/letsencrypt/live/site.mydomain.com/fullchain.pem
</VirtualHost>

Пример для NGINX!

server {
        listen 443 ssl http2;
        ssl on;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA256:ECDHE-ECDSA-AES256-SHA256:ECDHE-RSA-AES256-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA256:DHE-RSA-AES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS';
        ssl_prefer_server_ciphers on;
        ssl_session_cache shared:SSL:10m;
        ssl_session_timeout 10m;
        ssl_certificate /etc/letsencrypt/live/site.mydomain.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/site.mydomain.com/privkey.pem;
        server_name site.mydomain.com;
        server_tokens off;
        add_header Strict-Transport-Security max-age=2592000;
        access_log /usr/local/nginx/logs/site_access.log main;
        error_log /usr/local/nginx/logs/site_error.log;
        root /var/www/site;
        index index.php;

        location / {
		...
        }
}

Reverse Proxy!
Представим ситуацию когда у вас есть веб-сервер, который проксирует несколько внутренних веб-серверов. При этом нельзя прерывать его работу и у него нет document_root поскольку он занимается чисто проксированием входящих запросов.
Очевидный выход из ситуации это создать alias при обращении к которому frontend будет отдавать файлы из определенной директории.
Создаем директорию для клиента: mkdir /var/www/site
Добавляем дополнительный location в конфигурацию nginx:

location ^~ /.well-known {
                alias /var/www/site/.well-known;
                charset off;
                add_header Content-Type text/plain;
        }

Из конфигурации следует, что если кто-то обратится по адресу http://site.mydomain.com/.well-known, то будут отданы файлы из директории /var/www/site/.well-known (директорию .well-known клиент создаст сам, потому не нужно его создавать).
Обратите внимание на http заголовок. Кодировку нужно отключить и заменить заголовок text/html на text/plain или добавить как дополнительный заголовок иначе получите ошибку.
Далее выполняем уже знакомую команду:

certbot certonly --webroot -w /var/www/site/ -d site.mydomain.com

Автообновление!
В принципе та самая фишка из-за которой и стоит использовать этот проект.

#!/bin/bash
/usr/bin/certbot certonly --force-renewal --webroot -w /var/www/site/ -d site.mydomain.com -w /var/www/site2 -d site2.mydomain.com --server https://acme-v01.api.letsencrypt.org/directory > /var/log/letsencrypt/renew.log 2>&1
/usr/local/nginx/sbin/nginx -s reload

Задание anacron:

0 0 * */3 * /root/bin/certbot-renew.sh

Теперь сертификаты будут без вопросов обновляться каждые 3 месяца.
Почему 3 месяца? Читайте здесь.

14 мая 2016, 21:25
static_cast

просмотров: ~1009
рейтинг: ?

Комментарии (1)

- wq123
- 12 октября 2017, 15:28
- #
Music cheap jerseys is nike free my passion rolex replica and marc jacobs performing nike air max is ralph lauren outlet online my knockoff handbags high. nike As christian louboutin shoes a young coach outlet sale boy valentino I was fitflop outlet writing michael kors outlet rhymes swarovski online and hollister poetry ralph lauren polos down nike air max 2014 on cheap oakley sunglasses paper, seahawks nfl jersey which was often influenced skechers mens shoes by the oakley sounds burberry of great kings jersey artists wizards jersey like Public Enemy, cowboys nfl jersey Naughty dsquared2 jeans by nike air huarache Nature, pandora schmuck Biggie, grizzlies jersey Pac, longchamp Jay- vans Z, cheap oakley sunglasses Big rams nfl jersey Daddy Kane, swarovski crystal and chiefs nfl jersey KRS-1. swarovski At celine bags the cheap nhl jerseys age buccaneers nfl jersey of 15 ray ban wayfarer I nike recorded swarovski canada my designer handbags first supra shoes song. nike outlet store I often beats by dr dre filled spiral dansko outlet notebooks nike mercurial with san antonio spurs jersey songs polo ralph lauren outlet that I wrote ralph lauren in nike outlet my spare north face time. pandora jewelry Back longchamp then, air jordan shoes I thought kate spade outlet online of supra footwear it new balance canada all converse as burberry just a charlotte hornets jerseys hobby. But nike shoes I thomas sabo have always had mcm handbags the timberland boots dream nike.com of long champ performing max shoes on timberland outlet the hilfiger online shop “big air max 2015 stage” someday. cartier montres I ralph lauren online shop continued swarovski jewelry to write packers nfl jersey music skechers shoes outlet and jazz jersey record whenever prada outlet I prada shoes could barbour jackets throughout jimmy choo outlet college. polo ralph lauren I burberry sale left nfl jerseys college when cheap michael kors there north face was longchamp outlet a barbour jackets tragedy north face in cheap clothes my family. ray ban My oakley black friday grandmother michael kors bags passed tommy hilfiger away michael kors in adidas 1999, michael kors purses so jaguars nfl jersey I nike came ralph lauren outlet back phoenix suns home coach bags to bcbg max azria Clovis salomon New michael kors Mexico. mizuno running barbour jackets I felt beats by dr dre lost fake rolex & my true religion child north face jackets hood dolphins nfl jersey friend ed hardy Snapp ray ban sunglasses outlet Ford orlando magic jersey called polo ralph me hollister co and boston celtics sent longchamp outlet his air jordans condolences. giants nfl jersey He vans also coach outlet online sent watches canada me timberland shoes a one adidas way soccer shoes ticket saints nfl jersey to fidget spinner Florida, patriots nfl jersey where steelers nfl jersey I cheap glasses could hermes bags finally true religion jeans women breathe browns nfl jersey again. mcm bags I roshe runs felt skechers dead so ralph lauren in a oakley canada sense fred perry uk music nike huaraches saved my life adidas online & Snapp under armour curry offered salvatore ferragamo me omega watches that vans shoes opportunity. mcm handbags outlet air jordan retro I nike canada began performing chaussure timberland and adidas doing shows prada sunglasses all coach handbags outlet over coach factory online Florida cheap true religion in the fendi bags late jordan jerseys 90’s lions nfl jersey under an chi hair independent label hollister out cheap oakley of nike air yeezy Tampa, red bottoms Fl., mont blanc called burberry handbags 4Ever Ballin Records. ray ban outlet I coach store online was nba jersey opening up for hogan women shoes other unsigned artists. birkenstock taschen outlet By converse sneakers 2000 louboutin outlet I relocated coach purses factory back nike free run 5.0 to air force Texas. lunette oakley coach outlet online Not ralph lauren polos by air max 90 choice, reebok but by new balance shoes force veneta because atlanta hawks jersey Snapp michael kors handbags caught ralph lauren online a calvin klein underwear bid! ray ban During hugo boss clothes that air max time clippers jersey I kevin durant jersey decided to chrome hearts store put cheap nhl jerseys the burberry handbags outlet music fred perry outlet aside nike for bears nfl jersey a while. nba jersey As ray bans I puma online reviewed occhiali ray ban my oakley sunglasses life michael kors purses I givenchy handbags was reminded of panthers nfl jersey the omega watches strength polo ralph lauren outlet online my grandma instilled new balance outlet in me, ecco outlet online the tenacity handbags outlet she taught me ray ban outlet online to rockets jersey have, nike air force and ray ban the drive burberry she nike free run put kobe bryant jerseys behind oakley me to move jets nfl jersey forward. nike Air Max Plaza So hollisterco I hit pandora the booth longchamp again in true religion jeans men 2002 oakley vault & converse shoes I haven't philadelphia 76ers jerseys let nike shoes outlet up since. nike air max 2014 air max Still puma sneakers pushing handbags outlet still dsquared2 outlet grinding! nike air huarache

Many the north face outlet of ralph lauren those occhiali oakley emotions roshe run as nike outlet well jordans as trying coach handbags times new balance in coach outlet online my stone island outlet life dwyane wade jersey were incorporated air max into free run my burberry outlet store writing. michael kors taschen Much ray bans of jerseys from china my music tells kids hoodies a story new orleans pelicans that tommy hilfiger others cheap oakley sunglasses can burberry outlet online relate ray ban outlet to- whether michael kors it michael kors handbags relates to hogan outlet their hollister kids own michael kors bags situation in ray ban black friday life, bucks jersey or just roshe in texans nfl jersey general what oakley the world is experiencing. falcons nfl jersey I michael kors purses believe tommy hilfiger that oakley sunglasses outlet everyone hilfiger outlet has pandora uk a ralph lauren outlet online talent and bills nfl jersey mine denver nuggets jersey is horloges expressing new balance my giuseppe zanotti sneakers life through cheap jordans the oakley sunglasses cheap deliverance true religion outlet that hollisterco comes air max one natural ralph lauren outlet in philipp plein clothing the pacers jersey booth mcm handbags and on the eyeglasses stores stage. In the tommy hilfiger last oakley sunglasses outlet two years ferragamo shoes I’ve dropped cheap jerseys four coach store outlet mix tapes pandora and ray ban sonnenbrillen an album ralph lauren factory store Hustler titans nfl jersey on asics the Move. michael kors I also have birkenstock shoes 4 michael kors more indoor soccer shoes mix nike roche run tapes longchamp handbags on mcm bags deck & adidas canada my christian louboutin most levi's jeans anticipated tory burch shoes album is nba jerseys 75% rolex watches complete, Indie birkenstock presence is cheap nike shoes felt! louboutin uk I michael kors handbags have toured 49ers nfl jersey with michael kors Bun thomas sabo B, cheap true religion Slim barbour outlet online Thug, longchamp black friday Scarface, versace clothes Baby Bash raiders nfl jersey and oakley sunglasses Paul Wall. aktienkurse adidas I juicy couture outlet have bcbg max been working coach outlet usa with prada producer Mr. Lee who nike air max has nike roshe produced cheap ray ban an nike tracksuits album red bottom shoes for replica rolex me converse & will pandora charms do coach store more chi flat iron production on vikings nfl jersey future projects raptors jersey as well polo ralph lauren as azcardinals nfl jersey more burberry sale mix burberry outlet tapes!

My oakley vault goal jordans is to put huarache Texas/New adidas outlet Mexico and coach handbags the Southwest back brooklyn nets jersey on fossil uhren the map michael kors outlet and michael kors represent burberry handbags original coach outlet canada Hip Hop adidas outlet and burberry handbags outlet what nike air max it nike stands for. plein outlet nike air max My hilfiger outlet music has tn pas cher been labeled as dre beats Reality music; babyliss pro I ray ban make golden state warriors jerseys Real beats audio Muzik, Life muzik! ray ban outlet giuseppe shoes

How hermes birkin bag I met Snapp

I met jimmy choo shoes the hollister CEO Snapp north face outlet Ford cheap barbour jackets in bottega veneta 1990 asics gel at Gattis juicy couture Jr. eagles nfl jersey High; I ferragamo was one omega of lunette ray ban the hogan first ravens nfl jersey kids michael kors outlet to listen hermes to him. colts nfl jersey michael kors canada We agreed cheap mlb jerseys on a chargers nfl jersey lot michael kors handbags of tory burch handbags things, louboutin hung air max out oakley sunglasses outlet a ralph lauren outlet online lot trail blazers jersey and five finger shoes became homies. mbt mens shoes iphone 5 cases I use to cheap jerseys treat michael kors him coach factory outlet online as ferragamo shoes my little brother salvatore ferragamo & nike roshe watch cheap mlb jerseys out ralph lauren uk for him. softball bats My ipad mini cases family timberwolves jersey is his ralph lauren polo family & northface vice versa. bengals nfl jersey knicks jersey Snapp paroled north face out burberry sale of jail lacoste outlet online to michael kors my house michael kors outlet after baseball bats his broncos nfl jersey juvenile release. kate spade outlet online Family prada handbags never louboutin outlet fails, jordan so the north face 25 marc jacobs years coach factory later cavaliers jerseys here oakley sunglasses we dallas mavericks jerseys are, ray-ban sunglasses to replica rolex make armani shoes outlet our presence redskins nfl jersey felt. instyler Where ray ban sunglasses outlet hip basketball shoes hop north face backpacks is katespade our ralph lauren voice, woolrich mens jackets our discount shoes representation swarovski jewelry 4 nike mercurial min

michael kors uk

Вы - anonymous, войти ?

(true == false) ? 1 : 0 =

Проверка на айтишность

можно использовать bbcode-теги

[b]жирный текст[/b]
[i]курсив[/i]
[u]underline[/u]
[s]~~зачеркнутый текст~~[/s]
[size=20px]размер шрифта[/size]: всякие изменения текста
[left][/left] [right][/right] [center][/center]: позиционирование элементов: картинки, текст и т.д
[url][/url] [email][/email]: внутри тега [url] помещайте ссылки, а внутри [email] адрес электронной почты;
так же [url] можно использовать в виде:
[url=http://example.com]пример[/url],
[url=http://test.ru][img]http://flickr.com/givemeimg.png[/img][/url]
[code][/code] [quote][/quote]: внутри тега [code] можно помещать программный код (подстветка попытается включиться автоматически); для выделения цитат используйте [quote]
также можно напрямую указать язык [code=cpp]int i;[/code]

[list][/list]: создаем списки, каждый элемент пишется после [*].

Можно указывать маркер - [list=marker].
возможные маркеры 1(decimal), i(lower-roman), I(upper-roman), a(lower-alpha), A(upper-alpha). Примеры:

[list][*]1 элемент[*]2 элемент[*]3 элемент[/list]
[list=1][*]1 элемент[*]2 элемент[*]3 элемент[/list]
[list=A][*]1 элемент[*]2 элемент[*]3 элемент[/list]
[table][/table]: оформляем таблицу, используя внутренние теги [tr] и [td].
[tr] - строка, [td] - поле в строке,
[table=100%] - можно задавать ширину в процентах, по-умолчанию ширина 100%
[td=2] - можно задавать сколько столбцов входит в это поле. Пример:

[table=50%][tr][td]столбец 1[/td][td]столбец 2[/td][/tr][tr][td]значение 1[/td][td]значение 2[/td][/tr][tr][td=2]сразу 2 столбца[/td][/tr][/table]
[img][/img]: тег для вставки фото или картинок, мы любим картинки. Примеры использования:

[img]http://ya.ru/logo.png[/img],
[img=100x100px]http://ya.ru/logo.png[/img]
[img=fullimg.url]thumbimg.url[/img],
Пожалуйста загружайте картинки на наш сайт, либо вставляйте с бекбоновских ресурсов.
[video][/video]: Проигрывает видео, внутрь вставляем ссылки на видео, поддерживается Play.Ykt.Ru(нужно вставить ссылку на страницу с видео) и tv.ykt.ru(нужно вставить ссылку на адрес файла)

↑

Lets Encrypt: разбор

Комментарии (1)

Вы - anonymous, войти ?

Последние комментарии

Рейтинговые за 30 дней

Категории