Page tree

Let's Encrypt - это бесплатный SSL-сертификат, выпускаемый на срок до 90 дней.

При использовании OS Bitrix 7 можно сгенерировать Let's Encrypt как средствами самой системы (начиная с версии Bitrix 7.2.0), так и вручную.

Получение и установка Let's Encrypt через меню Bitrix

  1. Перейдите в меню по разделам: 8. Manage web nodes in the pool -> 3. Certificates configuration -> 1. Configure Let's encrypt certificate.
  2. Укажите следующие данные:

         • сайт, для которого заказывается SSL (можно указать сразу несколько сайтов, для этого перечислите их через запятую: site.ru, site2.ru, site3.com);

         • доменные имена сайтов (также через запятую);

         • контактный e-mail для уведомлений от Let's Encrypt.

  3. Подтвердите действие, нажав Y.

После сертификат будет автоматически выпущен и установлен. Его перевыпуск при истечении срока действия также будет производиться автоматически. 

Получение сертификата вручную

  1. Установите пакет GIT:

    yum install git
  2. Создайте директорию letsencrypt и перейдите в нее:

    mkdir /opt/letsencrypt && cd "$_"
  3. Скопируйте репозиторий certbot - это инструмент, который поможет получить сертификат и продлевать его:

    git clone https://github.com/certbot/certbot
  4. Перейдите в директорию с полученным ПО:

    cd certbot
  5. Выполните следующую команду для получения сертификата (также будут установлены все зависимости для certbot), указав в ней необходимые данные. В процессе потребуется нажать клавишу Y для ответа на запрос "Is this ok [y/d/N]:"

    ./certbot-auto certonly --webroot --agree-tos --email admin@email.ru -w /path/to/dir/site/ -d domain.ru -d www.domain.ru
  • admin@email.ru - e-mail администратора домена;
  • /path/to/dir/site/ - полный путь до директории с файлами сайта;
  • domain.ru и www.domain.ru - домены, для которых будет сгенерирован сертификат (можно указать несколько доменов, перед каждым необходимо указать ключ -d).


По окончании процесса, если он прошел успешно, отобразится следующий текст, где будет указан путь к сертификату (fullchain.pem) и приватному ключу в незашифрованном виде (privkey.pem):

IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
  /etc/letsencrypt/live/domain.ru/fullchain.pem
  Your key file has been saved at:
  /etc/letsencrypt/live/domain.ru/privkey.pem
  Your cert will expire on 2017-12-16. To obtain a new or tweaked
  version of this certificate in the future, simply run certbot-auto
  again. To non-interactively renew *all* of your certificates, run
  "certbot-auto renew"

Далее полученный сертификат необходимо установить.

Продление сертификата

Для автоматического продления сертификатов Let's Encrypt на BitrixOS необходимо добавить соответствующее задание в crtontab.

  1. Проверьте возможность обновления сертификата после установки

    /opt/letsencrypt/certbot/certbot-auto renew --dry-run
  2. Откройте crontab:

    crontab -e
  3. Добавьте задачу:

    43 6 * * * /opt/letsencrypt/certbot/certbot-auto renew --post-hook "systemctl reload nginx"

Согласно данному заданию, ежедневно в 6:43 будет проводиться проверка необходимости обновления сертификата.

  • No labels