Користувальницькькі налаштування

Налаштування сайту


ssl

Це стара версія документу!


Let's Encrypt!

Установка

sudo apt-get install python-pip python3-pip

Запрос сертификата

Перед любым запросом сертификата этой программой, нужно остановить все службы, использующие порты 80 и 443, так как эти порты будут использованы для запроса сертификата.

sudo /etc/init.d/lighttpd stop
sudo /etc/init.d/sslh stop
./letsencrypt-auto

После получения сертификата по умолчанию он будет сохранён в /etc/letsencrypt/archive/<имя_домена> с символической ссылкой на последний сертификат в /etc/letsencrypt/live/<имя_домена>.

Некоторые программы требуют, чтобы сертификат и секретный ключ к нему хранились в одном файле. Для этого на основе полученного сертифиата и ключа нужно создать единый файл, содержащий их вместе:

# cat /etc/letsencrypt/live/<имя_домена>/cert.pem /etc/letsencrypt/live/<имя_домена>/privkey.pem > /etc/ssl/<имя_домена>.pem

Необходимо обеспечить доступ программам из группы ssl-cert к этим файлам. В эту группу будут входить все программы, которые должны иметь возможность считывать сертификат. Если такой группы ещё нет, то её нужно создать:

sudo groupadd ssl-cert
sudo usermod -a -G ssl-cert www-data
sudo usermod -a -G ssl-cert prosody
sudo chown root:ssl-cert /etc/ssl/certs/
sudo chown root:ssl-cert /etc/ssl/certs/<имя_домена>.pem
sudo chmod 750 /etc/ssl/certs
sudo chmod 750 /etc/ssl/certs/<имя_домена>.pem
sudo chown root:ssl-cert /etc/letsencrypt/live/
sudo chmod 750 /etc/letsencrypt/live/

Обновление сертификата

sudo /etc/init.d/lighttpd stop
sudo /etc/init.d/sslh stop
./letsencrypt-auto renew -nvv --standalone
# cat /etc/letsencrypt/live/<имя_домена>/cert.pem /etc/letsencrypt/live/<имя_домена>/privkey.pem > /etc/ssl/<имя_домена>.pem
sudo /etc/init.d/sslh start
sudo /etc/init.d/lighttpd start
sudo /etc/init.d/prosody reload
ssl.1455799023.txt.bz2 · В останнє змінено: 2016/02/18 14:37 by wombat