Заметки с тегом «tls»

Обновление сертификата Let’s Encrypt

Сертификаты Let’s Encrypt «живут» всего 90 дней. Такой короткий срок авторы проекта выбрали исходя из того, что выпущенные сертификаты легко обновить. Для этого нужно запустить инсталлятор с теми же параметрами, которые были использованы во время получения сертификата. Инсталлятор обнаружит, что на сервере уже есть сертификат для этих доменов и предложит обновить их.

После успешной загрузки обновлённых сертификатов инсталлятор сообщит дату окончания их действия.

Конфигурационные файлы сервера изменять при этом не нужно. На сервере хранятся все версии выпущенных сертификатов в папке /etc/letsencrypt/archive/, а в папке /etc/letsencrypt/live/ создаются симлинки на актуальные версии.

Запуск инсталлятора можно запланировать в crontab.

Оставте свой комментарий

Как получить сертификат Let’s Encrypt в ручном режиме

На данный момент инсталлятор Let’s Encrypt, со слов авторов проекта, может автоматически исправлять конфигурацию только Apache. Поддержка nginx и других HTTP-серверов находится в разработке. Тем не менее, это не помешает вам получить сертификат.

Если у вас уже работает какой-то веб-сервер, то инсталлятор следует запустить с ключом --webroot. Ключ certonly указывает, что мы только хотим получить сертификат. Ключом -w мы сообщаем расположение корневой папки сайта.

Так же следует перечислить домены, на которых работает сайт, с помощью ключа -d.

Через несколько секунд вы получите сообщение о том, что сертификат получен и его можно использовать.

Работающий веб-сервер нужен инсталлятору, чтобы подтвердить ваше право владения доменом. Если вы ещё не настраивали его, то инсталлятор может сам запустить такой временный сервер на 80 или 443 порту.

Это делается с помощью ключа --standalone.

В отличие от режима webroot, в режиме standalone можно не указывать домены в командной строке.

Инсталлятор запросит их позже в диалоговом окне.

Все генерированные ключи и выпущенные сертификаты лежат в папке /etc/letsencrypt/live/$domain.

  • privkey.pem — приватный ключ. Он должен всё время храниться в секрете. Это тот файл, который указывается в опции SSLCertificateKeyFile у Apache или в опции ssl_certificate_key у nginx.
  • cert.pem – сертификат для домена. Этот файл указывается в опции SSLCertificateFile у Apache.
  • chain.pem — цепочка из промежуточных и корневого сертификатов центра сертификации. Путь до этого файла указывается в опции SSLCertificateChainFile у Apache.
  • fullchain.pem — Все сертификаты в одном файле, включая сертификат для домена. Данный файл нужно указать в опции ssl_certificate у nginx.
Оставте свой комментарий

Настройка сертификатов Let’s Encrypt в Apache

В статье про бесплатные сертификаты для доменов я упомянул, что получить его и настроить сервер с появлением центра сертификации Let’s Encrypt стало очень просто. Покажу все шаги для настройки Apache.

Для начала, нужно загрузить установщик Let’s Encrypt. Если у вас чистая виртуальная машина, то кроме Git ничего не понадобится. Все остальные зависимости будут установлены позже.

apt-get install git

Установка Git

Клонируем репозиторий из Github.

git clone https://github.com/letsencrypt/letsencrypt

Клонирование репозитория Let’s Encrypt из Github

Переходим в папку с инсталятором.

cd letsencrypt

Переходим в папку с Let’s Encrypt

Инсталятор запускается командой:

./letsencrypt-auto

У него много параметров, посмотреть которые можно в справке.

./letsencrypt-auto --help all

Нас интересует получение сертификатов и установка их в Apache.

./letsencrypt-auto --apache

Запускаем установщик, который получит сертификаты и сконфигурирует сервер Apache

Установщик проверяет конфигурацию сервера. Если вы явно не указали доменные имена, то он предложит их ввести вручную.

Если в конфигурации Apache не указаны домены, то установщик запросит их у вас

Если домены были явно указаны, то инсталлятор предложит выбрать для каких из них он должен получить сертификат.

Установщик нашёл сконфигурированные домены

Он так же попросит указать email для обратной связи. Этот адрес электронной почты не будет добавлен в сертификат.

Требуется указать email для обратной связи

Перед полученим сертификатов требуется принять условия предоставления услуг.

Перед полученим сертификатов требуется принять условия предоставления услуг

Установщик может добавить правила для перенаправления пользователей с обычной версии сайта на версию с безопасным подключением.

Установщик может добавить правила для перенаправления пользователей с обычной версии сайта на версию с безопасным подключением

Настройка завершена. Инсталлятор предлагает проверить конфигурацию сервера с помощью онлайн сервиса Qualys SSL Lab.

Настройка завершена

Сайт уже можно попробовать открыть в браузере.

Проверяем полученный сертификат в браузере

Инсталлятор скопировал существующую конфигурацию сайта, добавил в оригинальный файл редирект на HTTPS-версию, а в копии указал пути до приватного ключа, сертификата домена и промежуточных сертификатов. Так же он подключил файл с дополнительными настройками для mod_ssl.

Изменения в конфигурационных файлах Apache

Как видите, настройка безопасного соединения для вашего сервера оказалась не такая уж и сложная.

Комментарии к заметке: 11

Бесплатные сертификаты для доменов от Let’s Encrypt

Использовать зашифрованный канал при передачи данных между клиентом и сервером с последнее время уже становится правилом хорошего тона. Очень много личной информации пользователи доверяют онлайн-сервисам. Если владельцы сервисов могут обеспечить их сохранность в рамках сервера или дата-центра, то при передачи данных по сети злоумышленники могут легко перехватить их.

Решить эту проблему может установка безопасного соединения между клиентом и сервером. На HTTP-сервере должны находиться сертификат открытого ключа, который будет использоваться для шифрования. Этот сертификат подтверждает факт соответствия ключа и домена или принадлежность ключа персоне или организации, владеющей сайтом.

Сертификаты выпускают специальные центры сертификации (Certification Authorities). Они проверяют данные, которые вы им предоставили и присылают подписанный ими сертификат. По степени тщательности проверки данных в центре сертификации сертификаты принято делить на три группы:

  1. сертификаты для домена;
  2. сертификаты для организации;
  3. сертификаты с расширенной проверкой данных.

Выпуская сертификат для домена, центр сертификации проверяет только то, что лицо, подавшее заявку на выпуск, обладает полномочиями управлять этим доменом. Как правило, в этом случае просят указать определённую DNS-запись в домене или сообщить код, отправленный на служебный почтовый ящик. Это самый примитивный способ проверки, который может быть выполнен в автоматическом режиме.

Let’s Encrypt

Новый центр сертификации Let’s Encrypt запустил сервис по выпуску и обновлению сертификатов для доменов, который требует минимальное количество ручной работы. Администратор сервер запускает скрипт, который связывается с центром сертификации, проходит требуемые проверки и сохраняет полученные сертификаты на диск. Для популярных серверов Apache и Nginx даже будут внесены соответствующие изменения в конфигурации.

Подробнее процесс установки описан в инструкции.

Самое приятное, что этот сервис абсолютно бесплатный.

Проверка правильности конфигурации

Во время настройки сервера я рекомендую сверяться с чеклистом:

Чеклист настройки TLS

И проверить настройки сервера с помощью онлайн-сервиса.

Плюсы и минусы

Бесплатные TLS-сертификаты прекрасно подходят для «домашних» проектов, блогов и некоммерческих сайтов.

Но из-за того, что сертификат для домена не гарантирует принадлежность сайта конкретной организации или частному лицу, использовать их для корпоративных сайтов или защиты платёжных данных не стоит. Увы, сертификаты, дающие зелёную подсветку адресной строки, можно только купить.

Переходи на HTTPS!

И в заключении хочу поделиться слайдами и видео моей презентации «Переходи на HTTPS!»

Выступление на ChellyJS в Челябинске

Слайды

Выступление на 4front в Минске

Слайды

Комментарии к заметке: 3