Web-домен: SSL та Let's Encrypt у VestaCP

В попередній статті ми згадували, що HTTP/2 потребує захищеного з’єднання, тому для web-домену слід ввімкнути підтримку SSL і згенерувати новий сертифікат від Let’s Encrypt, або вставити зашифровані текстові дані придбаного SSL-сертифікату.

Перейдіть в налаштування web-домену. Встановіть прапорець «Підтримка SSL». Далі розкриються додаткові налаштування, що стосуються SSL сертифікатів.

Формально, SSL-сертифікат є зашифрованим текстом з описом параметрів, який можна розшифрувати і прочитати в установленому порядку за допомогою ключа. Цей текст зберігається на стороні веб-серверу і не повинна існувати можливість зміни даних в цьому тексті сторонніми особами.

То ж, в поля "SSL сертифікат" та "Ключ SSL сертифікату" вписується зашифрований текст.
Цей текст можна отримати кількома способами:

запустити спеціальну програму на своєму комп'ютері та внести ряд параметрів вручну (самопідписаний, недовірений сертифікат, придатний виключно для тестування),
придбати будь-який доступний SSL-сертифікат в акредитованого видавця,
або ж отримати безкоштовно від організації Let’s Encrypt.

У випадках з самостійним генеруванням та з покупкою Ви отримаєте щонайменше 2 файли, наприклад certificate.crt та certificate.key (.crt - файл сертифікату, .key - файл ключа). Відкрийте їх звичайним текстовим редактором та скопіюйте і вставте вміст у відповідні поля в налаштуваннях web-домену.

Як отримати SSL від Let’s Encrypt

В цих налаштуваннях встановіть прапорець «Підтримка Lets Encrypt», поля для введення тексту власного SSL-сертифікату стануть нередагованими.

Внизу форми натисніть кнопку «Зберегти». Форму буде перезавантажено з незначною затримкою (20-60 сек.) і вгорі над формою Ви побачите повідомлення "Зміни збережено". Це означає, що SSL-сертифікат від Let’s Encrypt було успішно отримано і застосовано до даного web-домену, жодні додаткові дії не потрібні.

Let’s Encrypt видає свої сертифікати з терміном дії всього лиш на 3 місяці. Їх можна перепідписувати або отримувати нові з тими ж параметрами знову і знову без жодних обмежень.

Наші сервери налаштовані таким чином, що при створенні нового сертифікату Let’s Encrypt також створюється і завдання по його автоматичному пролонгуванню. За кілька днів до збігання часу дії сертифікату буде запущено спеціальну програму, яка намагатиметься перевипустити, або отримати новий LE-сертифікат для Вашого web-домену.

Що може піти не так під час отримання LE сертифікату?

З боку Let’s Encrypt здійснюється перевірка даних за всіма адресами вказаних у сертифікаті аліасів (ті ж самі, що й www-домени). То ж, можливі наступні причини невдачі:

Доменне ім’я неправильно налаштоване з боку Реєстратора (вказано неправильні NS або не ту IP адресу в A-записі).
Доменне ім’я неправильно налаштоване з боку Власника (вказано неправильну IP адресу в A-записах).
Доменне ім’я було делеговано чи змінено щойно і в кеші DNS провайдерів ще не оновились зміни.
Вказано один з аліасів, доменне ім'я якого не делеговано, або не правильно налаштовано.

Ще раз нагадаємо правило щодо аліасів:

Якщо бодай 1 з аліасів web-домену не матиме правильних налаштувань (або домен взагалі не зареєстровано), сертифікат Let's Encrypt не буде створено!
Тому, будьте максимально уважні та обережні при створенні додаткових аліасів web-домену.

Для вирішення проблеми з отриманням сертифікаті від LE, перш за все, відкрийте в своєму браузері адреси всіх аліасів з незахищеним протоколом HTTP:// . Ви маєте бачити свій сайт. Якщо цього не відбулось, перевіряйте налаштування доменного імені (імен), інакше – пишіть нашій службі підтримки.