Помощь

Генерация SSL-сертификата Let's Encrypt

Сертификат Let's Encrypt - это бесплатный SSL-сертификат, который выдается на 90 дней.

При использовании операционной системы Bitrix 7 есть два способа сгенерировать сертификат Let's Encrypt - с использованием средств самой системы (начиная с версии Bitrix 7.2.0) и вручную.

Получение и установка Let's Encrypt через меню Bitrix

  1. Перейдите в меню: 8. Управление серверами в пуле -> 3. Настройка сертификатов -> 1. Настройка сертификата Let's Encrypt.
  2. Укажите следующие данные:
    • сайт, для которого вы хотите заказать SSL (вы можете указать несколько сайтов, перечислив их через запятую: site.ru, site2.ru, site3.com);
    • доменные имена этих сайтов (также через запятую);
    • контактный e-mail для уведомлений от Let's Encrypt.
  3. Подтвердите действие, нажав "Y".

Сертификат будет автоматически сгенерирован и установлен.

Bitrix сообщает, что таким образом созданный сертификат будет автоматически обновляться до истечения срока действия. Если по каким-то причинам автоматическое обновление не сработает (были случаи, когда пользователи сообщали об этой проблеме), вы можете повторно заказать сертификат, следуя этой же инструкции.

Вы также можете использовать следующую инструкцию для ручного создания и установки Let's Encrypt, а также настройки автоматического обновления через задачу Crontab, что позволит автоматически обновлять сертификат.

Ручное получение сертификата

1. Установите certbot:

yum install certbot

2. Выполните следующую команду для получения сертификата, указав необходимые данные.

certbot certonly --webroot --agree-tos --email admin@email.ru -w /путь/к/директории/с/файлами/сайта/ -d домен.ru -d www.домен.ru
  • admin@email.ru - это e-mail администратора домена;
  • /путь/к/директории/с/файлами/сайта/ - полный путь к директории с файлами вашего сайта;
  • домен.ru и www.домен.ru - это домены, для которых будет сгенерирован сертификат (вы можете указать несколько доменов, добавив перед каждым ключ -d).

По завершении успешного процесса, будет отображено следующее сообщение, содержащее путь к сертификату (fullchain.pem) и незашифрованный приватный ключ (privkey.pem):

ВАЖНЫЕ ЗАМЕЧАНИЯ:
- Поздравляем! Ваш сертификат и цепочка сохранены по следующему пути:
  /etc/letsencrypt/live/domain.ru/fullchain.pem
  Ваш файл ключа сохранен по следующему пути:
  /etc/letsencrypt/live/domain.ru/privkey.pem
  Сертификат истечет 2017-12-16. Для получения нового или настройки
  этого сертификата в будущем, просто выполните certbot-auto
  снова. Для автоматического обновления *всех* ваших сертификатов, выполните
  "certbot-auto renew"

Полученный сертификат теперь необходимо установить.

Автоматическое продление сертификата

Для автоматического продления сертификатов Let's Encrypt на BitrixOS, вам нужно добавить соответствующую задачу в crontab.

1. Откройте crontab:

crontab -e

2. Добавьте задачу:

PATH=/usr/bin:/usr/sbin:/bin
30 6 * * * certbot renew --post-hook "systemctl reload nginx"

Согласно этой задаче, ежедневно в 6:30 будет проверяться необходимость обновления сертификата.

Остались вопросы - пишите