• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

На заметку Интеграция ISPmanager с Let’s Encrypt


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
4vBYgpew_400x400.png
Всем привет !

Хочу рассказать про прикольную фишку, которая появится в ISPmanager 5.65.0, на момент написания статьи ещё не вышла, а выйдет 19.07.2016 !

Let’s Encrypt – некоммерческий удостоверяющий центр, который предоставляет бесплатные X.509 сертификаты для TLS шифрования с помощью автоматизированного процесса, направленного на замену текущего сложного процесса ручного создания, проверки, подписи, установки и обновления сертификатов для защищённых веб-сайтов.

Официальный сайт сервиса: .


Обращаем Ваше внимание, что в данный момент сервисом Let's Encrypt не поддерживаются интернационализованные доменные имена например: домен.рф



Для установки плагина из-под учетной записи root пройдите Модули->Интеграция.

После установки плагина Let’s Encrypt в ISPmanager Вы сможете получить действующий самообновляющийся SSL-сертификат для своего домена.

Для этого Вам понадобится пользователь, имеющий право пользоваться SSL, и действующее доменное имя, доступное для мировых ДНС.

После установки плагина в разделе WWW->SSL-сертификаты появится дополнительная функциональность: кнопки Let's Encrypt и Let’s Encrypt Журнал, при нажатии на первую вы приступите к процессу получения сертификата.

Вторая активируется, если у Вас в списке сертификатов уже имеется Let's Encrypt сертификат и перенаправляет Вас к журналу событий, где отображается все, что происходит с ним.



Создание сертификата:

Есть два способа получения Let's Encrypt сертификата:
  • Из раздела WWW->SSL-сертификаты.
Нажимаем на кнопку Let's Encrypt и в появившемся окне нужно заполнить данные для генерации сертификата



Выбираем пользователя (если создание сертификата происходит из-под root) и домен.

Далее указываем свои данные (Код страны, город, e-почту etc.) и длину приватного ключа для сертификата (влияет на криптоустойчивость).
  • Вместе с новым www-доменом
При создании нового домена, если выбран пункт Защищенное соединение (SSL), появится дополнительная опция для выбора сертификата -- Let's Encrypt сертификат. После заполнения всей необходимой информации для создания домена произойдет перенаправление на форму создания нового Let's Encrypt сертификата.

Обновление сертификата:

Проверка необходимости обновления Ваших сертификатов, выданных сервисом Let’s Encrypt, будет проходить каждый день в 1:30 ночи по серверному времени.

И запускаться оно (обновление) будет если срок действия сертификата прекращается через семь или менее дней.

Так же можно запустить обновление сертификата вручную. Для этого имеется функция letsencrypt.check.update. В случае, если Вы хотите запустить преждевременно обновление необходимо вызвать эту функцию через утилиту mgrctl параметрами

force_update=yes, cert_name=%cert name%, user_name=%user name%

Важно! Количество сертификатов для домена за короткий промежуток времени ограничено, поэтому не стоит злоупотреблять ручным обновлением.

Технология получения сертификата:

В начале создается самоподписанный сертификат с указанными параметрами, затем, раз в пять минут, предпринимается попытка получения сертификата.

Если возникают ошибки, они заносятся в журнал. Повторная попытка получения предпринимается все через те же пять минут.

Можно запустить вручную letsencrypt.periodic через утилиту mgrctl.

В случае, если сертификат не удается получить в течение двадцати четырех часов, попытки прекращаются, и создаются уведомления для пользователя и администраторов с сообщением о провале получения сертификата.

В случае успешного получения самоподписанный сертификат меняется на Let's Encrypt сертификат. Пользователь и администратор получают уведомления об успешном завершении получения.

Порядок запросов
  • Создание учетной записи
  • Авторизация
  • Запрос на проверку владения доменом (для проверки владением доменом на сервер пользователя добавляется токен -- файл содержащий данные, полученные при аутентификации. путь до файла .well-known/acme-challenge/%token_name%)
  • Ожидание подтверждения успешного завершения проверки
  • Получение сертификата.
Да и рекомендую перейти на бета канал ISPManager 5, там как не удивительно по стабильней и больше фишек, ибо обновы раз в неделю ! ;)

Для тех-кто не знает как перейти на бета канал:

1)В файле /usr/local/mgr5/etc/version.repo написать beta;
2)Далее в консоле выполнить:/usr/local/mgr5/sbin/licctl fetch ispmgr
3)Запустить обновление через консоль !

Удачи ! :)
 
Верх Низ