Чтобы обеспечить защиту вашего сайта по протоколу HTTPS, воспользуйтесь Let’s Encrypt SSL — получить сертификат можно одним из 2-х способов:
вместе с созданием нового сайта
-
1.
Войдите в ISPmanager под root-пользователем. Затем в разделе Сайты нажмите Создать сайт:
-
2.
Чтобы создать новый сайт:
- в графе «Имя» введите имя домена,
- выберите нужный IP-адрес,
- укажите контактный email,
- поставьте галочку напротив графы Защищенное соединение (SSL).
Затем нажмите OK:
Готово, заявка на установку SSL Let’s Encrypt будет обработана в течение 5 минут. Результат рассмотрения заявки отобразится в «Журнале». Чтобы открыть журнал, перейдите в раздел SSL-сертификаты и кликните Let’s Encrypt Журнал. Сертификат Let’s Encrypt будет установлен в течение 24 часов.
Также вы можете подключить сертификат Let’s Encrypt для существующего домена. Для этого в разделе Сайты выберите нужный домен из списка, наведите курсор на Редактировать и нажмите Изменить. Затем выполните действия, указанные в инструкции выше, начиная с галочки в графе Защищенное соединение (SSL) (шаг 2).
из раздела SSL-сертификаты
-
1.
Войдите в ISPmanager на выделенном сервере под root-пользователем. Затем в разделе «SSL-сертификаты» кликните Let’s Encrypt:
-
2.
Выставите параметры:
- поставьте галочку напротив графы Включить SSL-сертификат,
- поставьте галочку напротив графы Wildcard-сертификат (так вы выберите SSL-сертификат для поддомена Let’s Encryptе — его действие будет распространяться на все поддомены),
- в выпадающем списке выберите домен, для которого будет выпускаться сертификат.
Затем нажмите ОК:
Готово, заявка на установку Let’s Encrypt будет обработана в течение 5 минут. Результат рассмотрения заявки отобразится в «Журнале». Чтобы открыть журнал, перейдите в раздел SSL-сертификаты и кликните Let’s Encrypt Журнал. Сертификат Let’s Encrypt будет установлен в течение 24 часов.
Также на сайте Рег.ру можно получить free ssl certificate GlobalSign на год при покупке домена или хостинга.
Помогла ли вам статья?
Спасибо за оценку. Рады помочь 😊
👍
На чтение 3 мин Просмотров 8.8к. Обновлено
Установка бесплатного SSL-сертификата Let’s Encrypt происходит в несколько кликом. Конечно есть свои плюсы, однако присутствуют и минусы такого сертификата. Получение бесплатного SSL-сертификата Let’s Encrypt, одна из популярных тем. Как результат лучше установить бесплатный, чем быть без него. Что такое SSL-сертификат и какие они бывают можете почитать тут.
А сегодня я расскажу как быстро установить и настроить бесплатный SSL-сертификат Let’s Encrypt.
Бесплатный SSL-сертификат Let’s Encrypt
Let’s Encrypt – удостоверяющий центр сертификации, выпускающие бесплатные сертификаты, для протокола шифрования https. Однако весь процесс получения сертификата автоматизирован, это упрощает получение цифровой подписи, установки и настройки SSL-сертификата. Получение такого сертификата происходит легко и не требует особых усилий. Прежде всего это сделано специально, чтобы каждый сайт смог быстро, а главное бесплатно получить протокол шифрования https.
Конечно есть ряд ограничений использования бесплатного SSL-сертификата Let’s Encrypt, одним из главных – это срок действия сертификата.
Бесплатный SSL-сертификат Let’s Encrypt действителен 3 месяца (90 дней), далее происходит перевыпуск сертификата. Огромных плюсом все же является автоматический перевыпуск сертификата в панели управления хостинга или сервера.
Например я использую домен и хостинг от компании REG.RU. Поэтому я расскажу получение и установку сертификата например панели управления хостингом – ISPmanager 5.
Установка бесплатного SSL-сертификат Let’s Encrypt на REG.RU
Открываем панель управления хостингом ISPmanager 5. WWW -> SSL – сертификаты -> Let’s Encrypt
Отмечаем Включить SSL-сертификат, выбираем домен для которого нужно выпустить сертификат, указываем имя сертификата и нажимаем ок.
Также можно отметить пункт Wildcard (поддомены), т.е. сертификат будет действовать и на поддомены. Проверка владения домена будет проведена через DNS.
Далее будет происходить выпуск сертификата, в пункте Тип – самоподписанный, после успешного выпуска тип поменяется на Существующий.
Весь процесс выпуска сертификата, можно проследить в Let’s Encrypt Журнале.
Подождав не больше минуты, придет сообщение о успешном выпуске.
Далее нужно установить сертификат для домена. WWW -> WWW-домены – выбираем домен.
Отмечаем Защищенное соединение (SSL) и Перенаправлять HTTP-запросы в HTTPS и нажимаем ок.
В результате установки и настройки сайт доступен по https.
Как купить и установить дешевый SSL-сертификат и какие могут быть трудности я рассказывала ранее.
Подведем итоги.
Плюсы:
- бесплатно;
- быстрота установки.
Минусы:
- перевыпуск сертификата через 90 дней, но если позволяет хостинг этот процесс можно автоматизировать.
- нет финансовой гарантии, в случае кражи данных.
В результате получаем отличный сертификат без необходимости ежегодной оплаты.
Если появились какие вопросы пишите в комментариях.
- Установка сертификата для основного домена и поддомена WWW на хостинге
- Установка Wildcard-сертификата
В этой статье мы расскажем, как выпустить и установить бесплатный SSL-сертификат от Let’s Encrypt на хостинге с панелью управления ISPmanager.
Let’s Encrypt-сертификат можно установить через панель управления как при добавлении нового домена на хостинг, так и для домена, который уже на него добавлен.
Ниже мы рассмотрим два варианта установки сертификата для уже существующего на хостинге домена:
- для основного домена и поддомена WWW,
- Wildcard-сертификат для основного домена и всех поддоменов 3 уровня.
Установка сертификата для основного домена и поддомена WWW на хостинге
Перед тем как выпустить сертификат, Let’s Encrypt проверяет, являетесь ли вы владельцем домена или нет. В качестве подтверждения используется TXT-запись, которую нужно добавить в ресурсные записи домена.
Если для вашего домена прописаны хостинговые DNS-серверы ns1.hosting.reg.ru и ns2.hosting.reg.ru, право владения подтвердится автоматически. Если прописаны ns1.reg.ru и ns2.reg.ru, запись нужно будет добавить вручную. Проверьте по инструкции, какие DNS-серверы прописаны у вашего домена, и выберите нужный вариант.
ns1.hosting.reg.ru/ns2.hosting.reg.ru
- Откройте панель управления.
- Перейдите в раздел SSL-сертификаты и нажмите Let’s Encrypt:
- Поставьте галочку напротив «Проверка через DNS» и из выпадающего списка «Домен» выберите тот, для которого хотите выпустить сертификат. Затем нажмите Ok.
Обратите внимание! Если на вашем сайте уже есть работающий сертификат, уберите галочку с «Включить SSL-сертификат». В противном случае он сразу будет заменен на новый (ещё не выпущенный). Пользователи будут видеть на сайте уведомление о незащищённом соединении до тех пор, пока новый сертификат не будет выпущен. После выпуска вы сможете включить сертификат в настройках сайта.
Готово, вы запросили сертификат. Он будет выпущен в течение 2 часов.
n1.reg.ru/ns2.reg.ru и другие DNS
- Откройте панель управления.
- Перейдите в раздел SSL-сертификаты и нажмите Let’s Encrypt:
- Поставьте галочку напротив Проверка через DNS и из выпадающего списка «Домен» выберите тот, для которого хотите выпустить сертификат. Затем нажмите Ok.
- Обратите внимание! Если на вашем сайте уже есть работающий сертификат, уберите галочку с «Включить SSL-сертификат». В противном случае он сразу будет заменен на новый (ещё не выпущенный). Пользователи будут видеть на сайте уведомление о незащищённом соединении до тех пор, пока новый сертификат не будет выпущен. После выпуска вы сможете включить сертификат в настройках сайта.
- Разверните раздел Мониторинг и журналы и выберите Уведомления:
- В течение 15-30 минут в этом разделе появится уведомление. В нём будет указано значение одной или нескольких записей, которые нужно добавить на DNS-серверы вашего домена. Пример уведомления:
Где:
― _acme-challenge.test2d.ru ― субдомен, для которого нужно добавить запись.
― MGfCxSoRuLvddTolCjSg33yyBfGWjqX55WdURIWj8Ww ― уникальное значение записи. - Добавьте все указанные значения записей на DNS-серверы домена. Обычно для подтверждения нужно добавить 2 записи:
― субдомен ― _acme-challenge, значение ― код, который идёт после «TXT»;
― субдомен ― _acme-challenge.www, значение ― код, который идёт после «TXT».
Если для домена прописаны ns1.reg.ru и ns2.reg.ru, используйте для этого инструкцию. Если у вас прописаны другие DNS, обратитесь в компанию, которая вам их предоставляет.
Готово, вы запросили сертификат. Он будет выпущен в течение 2 часов.
Установка Wildcard-сертификата
Перед тем как выпустить Wildcard сертификат, Let’s Encrypt проверяет, являетесь ли вы владельцем домена. В качестве подтверждения используется TXT-запись, которую нужно добавить в ресурсные записи домена.
Если для вашего домена прописаны хостинговые DNS-серверы ns1.hosting.reg.ru и ns2.hosting.reg.ru, право владения подтвердится автоматически. Если прописаны ns1.reg.ru и ns2.reg.ru, запись нужно будет добавить вручную. Проверьте по инструкции, какие DNS-серверы прописаны у вашего домена, и выберите нужный вариант.
ns1.hosting.reg.ru/ns2.hosting.reg.ru
- Откройте панель управления.
- Перейдите в раздел SSL-сертификаты и нажмите Let’s Encrypt:
- Поставьте галочку напротив «Wildcard сертификат» и из выпадающего списка «Домен» выберите тот, для которого хотите выпустить сертификат. Затем нажмите Ok.
- Обратите внимание! Если на вашем сайте уже есть работающий сертификат, уберите галочку с «Включить SSL-сертификат». В противном случае он сразу будет заменен на новый (ещё не выпущенный). Пользователи будут видеть на сайте уведомление о незащищённом соединении до тех пор, пока новый сертификат не будет выпущен. После выпуска вы сможете включить сертификат в настройках сайта.
Готово, вы запросили сертификат. Он будет выпущен в течение 2 часов.
n1.reg.ru/ns2.reg.ru и другие DNS
- Откройте панель управления.
- Перейдите в раздел SSL-сертификаты и нажмите Let’s Encrypt:
- Поставьте галочку напротив «Wildcard сертификат» и из выпадающего списка «Домен» выберите тот, для которого хотите выпустить сертификат. Затем нажмите Ok.
- Обратите внимание! Если на вашем сайте уже есть работающий сертификат, уберите галочку с «Включить SSL-сертификат». В противном случае он сразу будет заменен на новый (ещё не выпущенный). Пользователи будут видеть на сайте уведомление о незащищённом соединении до тех пор, пока новый сертификат не будет выпущен. После выпуска вы сможете включить сертификат в настройках сайта.
- Разверните раздел Мониторинг и журналы и выберите Уведомления:
- В течение 15-30 минут в этом разделе появится уведомление. В нём будет указано значение одной или нескольких записей, которые нужно добавить на DNS-серверы вашего домена. Пример уведомления:
Где:
― _acme-challenge.test2d.ru ― субдомен, для которого нужно добавить запись,
― MGfCxSoRuLvddTolCjSg33yyBfGWjqX55WdURIWj8Ww ― уникальное значение записи. - Добавьте эту запись на DNS вашего домена. Если для домена прописаны ns1.reg.ru и ns2.reg.ru, используйте инструкцию. Если у вас прописаны другие DNS, обратитесь к компании, которая вам их предоставляет.
Где:Готово, вы запросили сертификат. Он будет выпущен в течение 2 часов.
Недавно решал данную проблем. Хостинг nic.ru не очень клиентоориентирован и хочет чрезмерно много за обычный ssl сертификат. А хочется подешевле и бесплатно — Let’s Encrypt. К слову, хостинг reg.ru тоже не предполагает автоматом установки сертификата SSL для домена. Решение подойдет и ему и любому хостингу.
Актуальность статьи на март 2022 года.
Итак, сначала был создан ssh пользователь. получилось поставить CerBot, но на этапе выпуска сертификата потребовались root права, которые как известно получить на обычном шаред хостинге нереально, либо долго, т.к. с саппортом спорить там бесполезно.
Было решено искать другое решение. и нашлось.
NB! Сразу скажу, что для установки ssl сертификата на сайт, хостинг требует выделенный IP-адрес (у нас он был).
UPD 2022:
Дабы не зависеть от санкций и хотелок тех или иных сайтов пошел искать решение на сайте Let’s Encrypt. Благо теперь там куча вариаций по генерации.
Решение на php с автоматическим продлением, хотя установка на хостинге все равно делается руками.
Все что нужно — это доступ к файлам на сервере (FTP или через встроенный файл-менеджер)
1. Итак заходим на сайт https://freessl.tech/
2. Скачиваем архив (скачивание происходит как заказ в интернет-магазине). После оформления получаем ссылку на скачивание.
3. Далее распаковываем архив у себя на компе в папке будет еще 1 папка. можно закинуть ее в корень нашего сайта и там переименовать как угодно. Я переименовал папку в «mysert».
После переименования вводим в адресной строке браузера «ваш сайт/mysert». Если все сделано правильно, видим окно интерфейса с генерацией сертификата.
4. Наверху есть кнопка для быстрой генерации ключей. Если вы хотите , чтобы ключи генерировались автоматом, то нужно создать базу данных и ввести данные ниже в окне (на сайте есть мануал, хотя смысл от него, если все равно кличи надо руками прописывать на хостинге). Нажимаем кнопку, далее страница ввода e-mail (обязательно) и соглашаемся с условиями. После жмем кнопку и ждем несколько секунд.
5. После генерации получаем окно с результатами, наши главные строки со ссылками на папку, где лежать сертификаты.
6. Далее идем в паку, в которой сохранены сертификаты на хостинге, через total или файл-менеджер хостинга.
Мы выпустили сертификат SSL, поздравляю!
Нужно скачать 3 файла: certifacate (наш сертификат), private (наш приватный ключ), cabundle (промежуточный сертификат).
7. Теперь надо добавить сертификат в панель управления хостингом nic.ru:
Заходим под своим логином. Выбираем управление услугами: хостинг, почта, конструктор сайтов — сайты (выбираете нужный сайт и жмете на его название) — безопасность — жмете галку ssl сертификат и жмете кнопку установить.
После этого панель предложит загрузить файлы сертификата.
8. Грузите файлы сертификата: в окно сертификат — файл certificate- в окно приватный ключ файл с буквами key на конце, в окно с промежуточным сертификатом грузим -cabundle.
9. Сохраняем и радуемся! Перезагружаем сервер чтобы обновления вступили в силу.
P.S. Инструкция для добавления на nic.ru подходит и для других хостингов, хотя все уже сами предлагают автоматом сертификаты при размещении сайтов на их хосте.
Если сайт находится в режиме ручного управления, а не автоматического (по умолчанию), то переводим сайт в режим автоматического управления (предварительно сохранив файлы конфигурации сайта apache в другую папку (он будет перезаписан) и добавляем по инструкции. Потом файл с конфигурацией добавляем обратно перезаписью.
Вот так.
UPD 2021:
Появился сайт https://freessl.org/ обещают безлимитные сертификаты по 90 дней. сделал 1 посмотрим что дальше. Схема идентичная для всех. Сервис кривой и возможно не поддерживается более, валидация я пройти не смог.
UPD: с середины мая 2020 года они удалили все учётки, и теперь надо заново регистрироваться. С марта 2022 сервис прекратил выдачу бесплатных сертификатов для доменов зоны RU в связи с санкциями (политика и здесь). Теперь сервис стал партнером ZEROSSL и вроде как бесплатный, но с ограничениями в 3 домена. Теперь на free-аккаунте Вы можете иметь 3 домена и продлевать их каждые 90 дней. Сверху- плати. Я просто завел 2 аккаунта, т.к. у меня больше 3 доменов. В остальном немного изменился интерфейс, но порядок действий тот же!
наткнулся на сайт https://freessl.space/ дает без регистрации на 90 дней сертификаты. установил на 2 сайта. все ок. проверим что дальше будет. Сайт не открывается в августе 2021 года. жаль много сертов сделал для своих сайтов.
Поделиться ссылкой:
Время на прочтение
3 мин
Количество просмотров 5.1K
У большинства популярных DNS-провайдеров есть API, с помощью которого можно управлять записями. Это позволяет автоматизировать заказ и продление SSL-сертификатов через DNS01.
В Kubernetes для работы с сертификатами используется cert-manager. Чтобы заказать сертификат в кластере, нужно объявить ресурс центра сертификации — например, ClusterIssuer, который используются для подписи CSR (запросов на выпуск сертификата). К сожалению, не для каждого DNS-провайдера существует CusterIssuer. Однако cert-manager позволяет написать свою реализацию. У нас такая потребность возникла в проекте одного из клиентов, который пользовался услугами DNS-провайдера REG.RU.
Изначально мы вручную заказывали сертификаты через acme.sh, складывали их в репозиторий, а затем деплоили в кластер. Нам это надоело, и мы решили автоматизировать процесс. Так появился инструмент ClusterIssuer для REG.RU. Рады представить его Open Source-сообществу!
Инструкция по использованию
Для начала убедитесь, что в кластере установлен cert-manager. Если его нет, установите согласно инструкции:
kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.9.1/cert-manager.yamlЗатем клонируйте репозиторий с ClusterIssuer:
git clone https://github.com/flant/cert-manager-webhook-regru.gitОтредактируйте в нём файл values.yaml, заполнив поля zone, image, user и password. Например:
issuer:
zone: my-domain-test.ru
image: ghcr.io/flant/cluster-issuer-regru:1.0.0
user: my_user@example.com
password: my_passwordгде user и password — данные для аутентификации в системе REG.RU.
Установите вебхук. Перейдите в каталог репозитория:
cd cert-manager-webhook-regruВыполните команду:
helm install -n cert-manager regru-webhook ./helmСоздайте файл ClusterIssuer.yaml с таким содержимым (но не забудьте заменить e-mail на свой!):
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
name: regru-dns
spec:
acme:
# Email address used for ACME registration. REPLACE THIS WITH YOUR EMAIL!
email: mail@example.com
# The ACME server URL
server: https://acme-v02.api.letsencrypt.org/directory
privateKeySecretRef:
name: cert-manager-letsencrypt-private-key
solvers:
- dns01:
webhook:
config:
regruPasswordSecretRef:
name: regru-password
key: REGRU_PASSWORD
groupName: {{ .Values.groupName.name }}
solverName: regru-dnsСохраните файл и выполните команду:
kubectl create -f ClusterIssuer.yamlПосле этого можно создавать ресурс сертификата.
Пример: wildcard certificate
Создайте файл certificate.yaml с таким содержимым:
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
name: changeme
namespace: changeme
spec:
secretName: changeme
issuerRef:
name: regru-dns
kind: ClusterIssuer
dnsNames:
- *.my-domain-test.ruВыполните команду:
kubectl create -f certificate.yamlВыпуск сертификата может занять некоторое время (зависит от скорости распространения записи у провайдера по его серверам). После этого сертификат сразу же будет готов к использованию в вашем приложении.
Заключение
Если у вас есть какие-то идеи или пожелания по добавлению новых функций, приносите их в issues (или даже pull requests). И, конечно, будем рады новым звездам!
Исходный код проекта распространяется на условиях Apache License 2.0.
P.S.
Читайте также в нашем блоге:
-
«SSL-сертификаты от Let’s Encrypt с cert-manager в Kubernetes»;
-
«Азбука безопасности в Kubernetes: аутентификация, авторизация, аудит»;
-
«Представляем glaball для управления множеством GitLab-инстансов».