Настройка плагина Webroot для работы Certbot для получения SSL-сертификатов Let's Encrypt

Для автоматического получения (и продления) SSL-сертификатов Let's Encrypt потребуется отдавать по запросу идентификационные данные. В этой статье рассмотрим, как настроить плагин Webroot после установки Certbot на сервер так, чтобы идентификация проходила в автоматическом режиме. Для этого потребуется прописать некоторые дополнительные настройки в конфигурационный файл letsencrypt.

Старт! Честный VDS/VPS, на котором «Лунная База» живет уже 20+ лет

Задумываетесь о том, чтобы поднять свой pet-проект, сайт клиента или настроить окружение для разработки? Уже пора подумать, где арендовать железо.

Лунная База хостится на FirstVDS более 20 лет. Мыслей о том, чтобы перебраться на другой хостинг, не было ни разу (хотя опыт работы с другими вариантами, конечно, есть).

Бывали разные ситуации, но они бывают на любом железе. Главное, что нужно понять: здесь нет маркетинговой шелухи и сказок про «мы всё сделаем за вас». Если вы берете VDS — вам дают полный root, возможность накатить любую ОС и не лезут в ваши конфиги.

Если в саппорт написать с вопросом по вашему коду и получить ответ: «Читайте документацию и разбирайтесь сами» или «Обратитесь к профильному специалисту» — это не повод обижаться. Это повод углубить свои знания в DevOps и сайтостроении! Бегите от тех, кто пообещает: «Мы всё чиним и настраиваем абсолютно бесплатно!». Никто никогда не работает «по доброте душевной» в ущерб себе, а бесплатный сыр в администрировании обычно заканчивается сломанной базой данных.

Что по факту: Гибкое масштабирование ядер и RAM, экономия по сравнению с физическими серверами и адекватная панель ispmanager, если она вам нужна.



Исходный конфигурационный файл letsencrypt

Конфиг letsencrypt, который находится тут → /etc/letsencrypt/cli.ini изначально содержит только одну значащую строку с данными:

# Because we are using logrotate for greater flexibility, disable the
# internal certbot logrotation.
max-log-backups = 0

Для того, чтобы подтверждение идентификации при получении новых и обновлении имеющихся SSL-сертификатов Let's Encrypt мог сразу получать необходимые данные нужно в этот файл добавить несколько строк.

Дополнение конфига letsencrypt

Для этого допишем в этот файл три строчки. Чтобы не заморачиваться с текстовыми редакторами, проще ввести команду с консоли:

# echo -e "\nauthenticator = webroot\nwebroot-path = /var/www/html\npost-hook = service nginx reload\ntext = True\n" >> /etc/letsencrypt/cli.ini

В итоге получим конфиг letsencrypt следующего содержания:

# Because we are using logrotate for greater flexibility, disable the
# internal certbot logrotation.
max-log-backups = 0
authenticator = webroot
webroot-path = /var/www/html
post-hook = service nginx reload
text = True

где:

  • authenticator = webroot задаёт плагин Webroot в качестве программы для аутентификации
  • webroot-path = /var/www/html задаёт путь до директории, где будут храниться данные, необходимые для аутентификации
  • post-hook = service nginx reload задаёт действие после выполнения задач Certbot'а — перезагрузить NGiNX
  • text = True — включение текстового режима отображения выводимой Certbot'ом информации
  • max-log-backups = 0 — отключение встроенной функции архивации логов. У нас есть logrotate, — им и будем пользоваться в случае необходимости, если логи разрастутся. (Обновление сертификатов будет настроено на раз в 60 дней, так что по идее не так уж и много будет логов. Будет много - можно настроить logrotate.)

Зачем всё это?

На этом конфиг letsencrypt можно больше не трогать. Всё это сделано для того, чтобы Certbot однозначно писал данные необходимые для проверки прав на домен файлы в папку /var/www/html/, а мы точно знали, куда он их пишет, где их найти и как их отдать, если потребуется.

Самый честный хостинг за 20+ лет существования Лунной Базы

Задумываешься о том, чтобы поднять свой сайт в Интернете? Уже пора подумать о том, какой хостинг выбрать?

Лунная База хостится 20+ лет на firstDVS. При этом, мыслей о том, чтобы перебраться на другой хостинг не было. (Но, при этом есть опыт работы с другими вариантами.)

Бывали с firstDVS разные ситуации, но, они бывают на всех хостингах. Единственное, что тут важно понять, - это то, что никто ничего тебе не будет впаривать... Но, и работать за тебя тоже никто не станет. Если в саппорт ответили: «Читайте по ссылке и разбирайтесь сами...» или вообще «Обратитесь за помощью к специалисту», - это повод углубить свои знания в области сайтостроения, а не бежать к тем, что пообещают: «Мы всё чиним и всё делаем за своих клиентов абсолютно бесплатно!» Никто никогда ничего ни за кого "по доброте душевной" не делал, не делает и не будет делать!

Старт! Горячий старт на просторы интернета
Старт! Горячий старт на просторы интернета
Старт! Меню