Хочу рассказать про прикольную фишку, которая появится в ISPmanager 5.65.0, на момент написания статьи ещё не вышла, а выйдет 19.07.2016 !
Let’s Encrypt – некоммерческий удостоверяющий центр, который предоставляет бесплатные X.509 сертификаты для TLS шифрования с помощью автоматизированного процесса, направленного на замену текущего сложного процесса ручного создания, проверки, подписи, установки и обновления сертификатов для защищённых веб-сайтов.
Официальный сайт сервиса:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.
Обращаем Ваше внимание, что в данный момент сервисом Let's Encrypt не поддерживаются интернационализованные доменные имена например: домен.рф
Для установки плагина из-под учетной записи root пройдите Модули->Интеграция.
После установки плагина Let’s Encrypt в ISPmanager Вы сможете получить действующий самообновляющийся SSL-сертификат для своего домена.
Для этого Вам понадобится пользователь, имеющий право пользоваться SSL, и действующее доменное имя, доступное для мировых ДНС.
После установки плагина в разделе WWW->SSL-сертификаты появится дополнительная функциональность: кнопки Let's Encrypt и Let’s Encrypt Журнал, при нажатии на первую вы приступите к процессу получения сертификата.
Вторая активируется, если у Вас в списке сертификатов уже имеется Let's Encrypt сертификат и перенаправляет Вас к журналу событий, где отображается все, что происходит с ним.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Создание сертификата:
Есть два способа получения Let's Encrypt сертификата:
- Из раздела WWW->SSL-сертификаты.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Выбираем пользователя (если создание сертификата происходит из-под root) и домен.
Далее указываем свои данные (Код страны, город, e-почту etc.) и длину приватного ключа для сертификата (влияет на криптоустойчивость).
- Вместе с новым www-доменом
Обновление сертификата:
Проверка необходимости обновления Ваших сертификатов, выданных сервисом Let’s Encrypt, будет проходить каждый день в 1:30 ночи по серверному времени.
И запускаться оно (обновление) будет если срок действия сертификата прекращается через семь или менее дней.
Так же можно запустить обновление сертификата вручную. Для этого имеется функция letsencrypt.check.update. В случае, если Вы хотите запустить преждевременно обновление необходимо вызвать эту функцию через утилиту mgrctl параметрами
force_update=yes, cert_name=%cert name%, user_name=%user name%
Важно! Количество сертификатов для домена за короткий промежуток времени ограничено, поэтому не стоит злоупотреблять ручным обновлением.
Технология получения сертификата:
В начале создается самоподписанный сертификат с указанными параметрами, затем, раз в пять минут, предпринимается попытка получения сертификата.
Если возникают ошибки, они заносятся в журнал. Повторная попытка получения предпринимается все через те же пять минут.
Можно запустить вручную letsencrypt.periodic через утилиту mgrctl.
В случае, если сертификат не удается получить в течение двадцати четырех часов, попытки прекращаются, и создаются уведомления для пользователя и администраторов с сообщением о провале получения сертификата.
В случае успешного получения самоподписанный сертификат меняется на Let's Encrypt сертификат. Пользователь и администратор получают уведомления об успешном завершении получения.
Порядок запросов
- Создание учетной записи
- Авторизация
- Запрос на проверку владения доменом (для проверки владением доменом на сервер пользователя добавляется токен -- файл содержащий данные, полученные при аутентификации. путь до файла .well-known/acme-challenge/%token_name%)
- Ожидание подтверждения успешного завершения проверки
- Получение сертификата.
Для тех-кто не знает как перейти на бета канал:
1)В файле /usr/local/mgr5/etc/version.repo написать beta;
2)Далее в консоле выполнить:/usr/local/mgr5/sbin/licctl fetch ispmgr
3)Запустить обновление через консоль !
Удачи ! :)