Введение
Let’s Encrypt — это центр сертификации (ЦС), который автоматизирует бесплатное создание, проверку, выпуск и обновление сертификатов X.509 для протокола TLS/SSL, обеспечивая шифрование HTTPS на веб-серверах.
В этом руководстве мы будем использовать Certbot, чтобы получить бесплатный SSL-сертификат для Nginx в CentOS 6 и настроить сертификат для автоматического обновления.
Certbot — это простой в использовании автоматизированный клиент, который извлекает и распространяет сертификаты SSL/TLS для веб-сервера.
Установить Сертбот
CentOS в настоящее время не имеет собственной версии Certbot в репозитории, поэтому вам придется использовать скрипт certbot-auto.
Если wget не установлен:
sudo yum install wget
Скачать скрипт:
wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
Certbot-auto автоматически устанавливает все зависимости и обновляет код клиента.
Подключаемые модули Certbot DNS, которые можно использовать для автоматизации получения подстановочного сертификата с сервера ACMEv2 Let's Encrypt, пока недоступны для CentOS 6. Вы можете использовать эти подключаемые модули, запустив Certbot в Docker, для получения дополнительной информации см. официальную документацию.
Получить SSL-сертификат
Первым шагом в использовании Let's Encrypt для получения SSL-сертификата является установка программного обеспечения Certbot на ваш сервер.
sudo./certbot-auto --nginx
В противном случае вы можете получить сертификат, а затем вручную настроить Nginx с помощью следующей команды:
sudo./certbot-auto --nginx certonly
Теперь Certbot готов к использованию.
Чтобы узнать больше о том, как использовать Certbot, прочитайте официальную документацию Certbot.
Автоматическое продление
Пакеты Certbot поставляются с заданием cron, которое автоматически обновляет ваши сертификаты до истечения срока их действия. Поскольку сертификаты Let's Encrypt действительны в течение 90 дней, настоятельно рекомендуется воспользоваться этой функцией. Вы можете проверить автоматическое обновление сертификатов, выполнив эту команду:
sudo./certbot-auto renew --dry-run
Если он работает нормально, вы можете настроить автоматическое обновление, добавив задание cron или таймер systemd, который запускает эту команду:
./certbot-auto renew
Установка Let’s Encrypt с помощью Certbot завершена.