В данной инструкции мы рассмотрим настройку и активацию сертификата Let"s Encrypt при использовании панели ISPmanager. Эта инструкция подходит как к хостингу для сайтов, так и к VDS хостингу. Для хостинга сайтов процедура несколько проще, т.к. настройку модуля мы уже произвели.
Инструкция делится на два шага (один из которых можно пропустить, если у Вас не VDS).
Шаг №1: Настройка модуля Let"s Encrypt
Внимание! Этот этап нужно пропустить, и перейти на , если у Вас хостинг для сайтов!
После входа в панель ISPmanager, необходимо активировать модуль Let"s Encrypt. Это делается в разделе "Модули" нажатием на кнопку установки напротив модуля Let"s Encrypt.
Как только панель установится, отобразится информационная страничка о том, что такое Let"s Encrypt. Можно просто нажать "Ок".
На этом настройка закончена. Можно приступать к генерации сертификатов.
Шаг №2: Генерация сертификата Let"s Encrypt
Для настройки сертификата Let"s Encrypt, при создании или изменении домена в разделе "WWW-домены", необходимо поставить галочку "Защищенное соединение (SSL)", "Перенаправлять HTTP-запросы в HTTPS" при желании, и выбрать SSL-сертификат "Новый Let"s Encrypt сертификат".
Система попросит подтвердить параметры сертификата. Нужно нажать "Ок" для продолжения.
Всё готово. Сертификат будет подписан центром сертификации Let"s Encrypt в течение 10 минут. Если в течение 10 минут сертификат не заработал, нужно посмотреть журнал и/или обратиться к нам при возникновении вопросов.
Просмотр журнала (в случае, если возникли какие-то проблемы)
Журнал находится в разделе "SSL сертификаты" по кнопке "Let"s Encrypt журнал".
В журнале могут быть описаны ошибки, если они возникли. В случае возникнования вопросов, Вы всегда можете написать нам в поддержку (мы и проконсультируем, и сертификат сделаем).
В нашем случае ошибок нет, поэтому сертификат был успешно выдан.
Получить SSL теперь можно не только бесплатно, но и максимально удобно. Выпуск, установка на сервер, продление – все автоматически. И так и должно быть, ведь уже сегодня сертификаты LE справляются с большинством задач. Они обеспечивают надежное шифрование, «дружат» с популярными браузерами и не дают потерять SEO-поинты по правилам Google. С таким раскладом бесплатные SSL подойдут для 90% сайтов. Тогда кто те оставшиеся десять, кто должен продолжать платить? За кого в ближайшее время поборются Сomodo и Symantec?
Главным образом, это проекты e-commerce. И есть сразу несколько причин, почему им не стоит спешить с установкой нашего модуля. Остановимся на каждой подробнее.
1. Использование стартапами
Начнем с простого. Возьмем типичный e-commerce стартап. Никому не известное название. Полное отсутствие упоминаний в интернете. Домен зарегистрирован месяц назад. Всё так и намекает пользователю: соверши здесь оплату и не увидишь ни товара, ни денег. Следовательно, доверия ноль!А теперь попробуем представить как при этом сертификат Let’s Encrypt, выдаваемый на 3 месяца, должен помочь его (доверие) повысить. Скорее он сделает все только хуже. Что нельзя сказать про сертификат EV с зеленой строкой. Он как минимум покажет, что вы настроены поработать еще год или два.
Использование сертификата Let´s Encrypt стартапом
2. Гарантии для покупателей
Не стоит забывать, что Let’s Encrypt выпускает только сертификаты с проверкой домена. Гарантий они дают не так много. Если быть откровенным, вообще никаких. Наличие DV (Domain Validated) сертификата свидетельствует лишь о шифровании данных на сайте, что само по себе ничего не значит.Попробую проиллюстрировать примером. Допустим, вы собрались получить DV сертификат для интернет-магазина. Будьте готовы к тому, что совершать покупки у вас рискнут далеко не все потенциальные клиенты. Опытные пользователи пройдут мимо, и вот почему.
Дело в том, что ни бесплатный Let’s Encrypt, ни платный RapidSSL не помешают мошенникам провернуть самую популярную схему фишинга. Они сделают копию вашего сайта, купят похожий домен, и даже установят DV сертификат. Проверок-то никаких! Им останется лишь перехватить трафик и дальше собирать платежи незадачливых клиентов.
Случись такое с вами, репутация будет безвозвратно утеряна. Поэтому стоит заранее побеспокоиться о данной проблеме. Для этого потребуется не только установить хотя бы самый простой сертификат с проверкой организации, но и приучить посетителей обращать на него внимание. Начать можно с малого. Например, с размещения на видном месте так называемой печати доверия (Site Seal).
Печать доверия Thawte на сайте Альфа-Банка
3. WildCard…не очень
Поддержки WildCard в LE нет, а значит, для каждого домена 3 уровня устанавливать защиту понадобится отдельно. Проблема, конечно, так себе. В ISPmanager выпуск даже пары десятков сертификатов Let’s Encrypt – вопрос трех минут. Но бывают случаи, когда нужно не 10 и не 20, а безлимит. Здесь дела обстоят не так радужно.Домены 3 уровня часто дарят своим клиентам хостинг-провайдеры. Обычно бонусом к основной услуге. Согласитесь, с бесплатным сертификатом предложение стало бы еще интереснее. Все так, вот только LE поддерживает лишь ограниченное количество подобных доменов. 128 штук, если быть точным. Поэтому в данном вопросе интеграция с Let’s Encrypt не помощник.
4. Использование блогами
Задача каждого блога состоит в том, чтобы получить максимальное количество подписчиков. Для этого формы ввода email адресов специально размещают на самом видном месте. За подписку нередко дают какой-нибудь небольшой бонус. И я полагаю, что каждый владелец авторского СМИ заинтересован в том, чтобы посетители оставляли реальные адреса, а не ящики для спама. Для этого нужно доверие. Поэтому стоит установить сертификат посерьезнее, чем Let’s Encrypt. В противном случае, вы не убедите посетителей, что их адреса не попадут третьим лицам и на почту не начнет валиться спам. О том, почему это произойдет, я уже рассказал в п.2.Еще один пример – это различные блоги со специфической аудиторией. Как те, что пишут про Luxury Lifestyle. Использование бесплатного SSL сертификата подобными проектами как минимум выглядит странно. Как если бы редактор из глянца, рассуждающий о высокой моде, ходил бы в бесплатной футболке “Пивко у Михалыча”, выданной промоутером. Далеко не факт, что аудитория таких блогов оценит экономию.
Вывод
Безопасность и доверие можно и нужно использовать как маркетинговые инструменты. Они прямым образом влияют на уровень дохода, который вы можете получить от посетителей вашего сайта. Поэтому, на мой взгляд, SSL сертификаты с проверкой организации по-прежнему являются минимально допустимыми для всех интернет-магазинов и различных сайтов коммерческих проектов.Буду рад услышать ваше мнение по этому поводу в комментариях. Очень интересно также узнать, каким вы видите будущее платных SSL сертификатов.
P.S. Не могу обойтись без метрик. Вот код со скидкой: habrssl5 . Он для тех, кто попал в десять процентов, о которых я говорил выше. Применить можно здесь.
Is a free certification authority that provides free X.509 certificated for TLS encryption. An automated process enables to facilitate creation, verification, setup and renewal of SSL certificates for protected web-sites.
Let’s Encrypt provides a number of limits:
- You can order only 5 certificates per week (TLD, including its subdomains)
- Let’s Encrypt certificate validity period is 3 months (every 3 months ISPmanager will reissue Let’s Encrypt certificates)
More information about additional limits can be found .
This module is available in ISPmanager 5.65 and later.
In order to install a plug-in as root, navigate to Modules ->Integration .
After you have installed Let’s Encrypt in ISPmanager, you can obtain a self-updated SSL-certificate for your domain. Be sure to create a user with a configured web-domain, and valid domain name available to world-wide DNS.
Once the installation is completed, in the WWW ->SSL-certificates module the user will see two new buttons - Let"s Encrypt and Let’s Encrypt Log. Clicking the first button will start the process of certificate issue.
The second function will be activated, if you already have the Let"s Encrypt certificate in the list of SSL-certificates, and will redirect you to the Event log.
Certificate creation
There are two ways to obtain an Let"s Encrypt certificate:
- Navigate to WWW ->SSL-certificates .
Click the Let"s Encrypt button, and fill out the form.
Select a user (if your create an SSL as root) and domain.
Enter required data (country id, city, email, etc.) the length of the private key for your certificate.
- When creating a WWW-domain
When creating a WWW-domain, select the Secure connection (SSL) . Let"s Encrypt certificate option will be added into the creation form. After you have provided all required information, you will be redirected to the Let"s Encrypt certificate creation form.
Certificate update
Every day at 1:30 a.m the system checks what certificates should be updated. The update procedure starts 7 (or less days) before the certificate"s expiration date.
You can also start the update process manually with the letsencrypt.check.update function. Call the function via the mgrctl utility with the following parameters:
force_update =yes, cert_name =%cert name%, user_name =%user name%
Attention! The number of certificates per domain is limited, that"s why do not update your certificates manually too often.
Certificate issue
First, a self-signed certificate is created with provided parameters. Once in 5 minutes, the system is trying to obtain a certificate.
Errors, if any, are logged into the Error log. The second attempt to obtain the certificate will be made in 5 minutes.
You can start the letsencrypt.periodic command via the mgrctl utility.
If the certificate cannot be obtained withing 24 hours, the corresponding notification is created for the user and administrators, and no other attempts are made.
If the certificate is successfully obtained, the self-signed certificate is changed into Let"s Encrypt . The user and administrators get notification that the certificate has been successfully issued.
Order of requests:
- Account creation
- Authentication
- Request for domain ownership (in order to verify domain ownership, a new token is added. This is a file with data that were received after authentication, Path to the file .well-known/acme-challenge/%token_name%)
- Waiting for successful validation
- Certificate issue
DNS validation
Let"s Encrypt supports DNS-based validation that requires specific TXT records to be inserted into the DNS zone for a domain.
Select the "DNS validation" check box when you order a new SSL-certificate.
TXT-records will be automatically added by control panel. However, if external DNS is used, the process will be suspended for 30 minutes.
Administrator and user will see the notification: In order to proceed with Let"s Encrypt %certificate name% setup, add TXT-record: "%record%" on name servers "%name_servers%". Next verification process is scheduled on %activation_date_and_time%. Be very attentive when adding TXT-records, mistakes in their names or content are not permitted .
If domain validation processes cannot be completed successfully during 24 hours since you ordered a certificate, the system will stop trying to issue the certificate.
Mail domains
Let"s Encrypt can be issued for mail domains. Navigate to "Mail domains" --> click "Add" or "Edit" --> select "New Let"s Encrypt". The certificate will be also ordered for aliases mail.domain.name, smtp.domain.name, pop.domain.name. If the web-domain with the same name is not created in the control panel, the verification procedure will run via DNS.
Wildcard
Starting from version 5.147.0 in ISPmanager Lite and Business introduced support of wildcard SSL certificates . To receive a Wildcard SSL-certificate check the Wildcard box on the order form. Attention! Domain verification procedure is performed only via DNS. An alias such as *.domain.name specified manually will be ignored during the order to avoid verification conflicts.
Exceptions
- In ISPmanager Business: a web-domain can be resolved to several cluster nodes. If one of those cluster nodes doesn"t have the web-role, it cannot be used for HTTP validation. Solutions:
- Use DNS-based vaalidation
- Wait for some time. ACME server will try to find a suitable address for HTTP-validation.
This form does not appeal to the support.
We can not identify you and respond to your message.
Клиенты FirstVDS с панелью ISPmanager на виртуальном сервере могут устанавливать бесплатные сертификаты Let"s Encrypt для любого количества сайтов. Let"s Encrypt представляет собой обычный SSL -сертификат с проверкой домена (DV), который выдается на неограниченный срок.
Как установить сертификат?
1. Зайдите в панель ISPmanager с правами супер-пользователя (root).
2. Перейдите в раздел Интеграция → Модули, установите бесплатный плагин Let’s Encrypt
3. Перейдите в Настройки web-сервера → SSL-сертификаты, выберите Let’s Encrypt
4. Выберите пользователя и домен, на который хотите установить сертификат. Домен должен быть делегирован, т.е. по нему должен открываться сайт - иначе сертификат не будет выдан. Заполните остальную форму.
5. Сертификат автоматически установится на сайт с выбранным доменом. Сначала на сайт устанавливается самоподписанный сертификат, который после завершения процесса заменяется полноценным. Дождитесь выпуска сертификата - тип должен смениться на «Существующий ».
6. Готово! Ваш сайт защищен подписанным сертификатом Let’s Encrypt - в адресной строке должен быть зеленый замок. Сертификат действует бессрочно.
Для чего подходит?
Сертификаты Let"s Encrypt подходят для защиты веб-сайтов . Сертификат не получится использовать для подписи кода и шифрования email.
Какие типы проверки выполняются?
Только проверка домена (DV , domain validation). Поддержка проверок OV и EV отсутствует и не планируется.
Как быстро выпускается?
Сертификат Let"s Encrypt выпускается и начинает работать в течение нескольких минут . Главное условие - домен, к которому привязывается сертификат, должен быть делегирован. Проверить просто: напишите доменное имя сайта в адресной строке браузера и нажмите Enter . Если вы увидите свой сайт, то всё в порядке - можно приступать к получению сертификата.
Сколько действует сертификат?
Вечно , при наличии на сервере панели управления ISPmanager . При отсутствии панели сертификат продляться не будет ! Почему так? Сертификаты Let"s Encrypt выпускаются на 3 месяца. Плагин ISPmanager обновляет сертификат автоматически за 7 дней до окончания очередного срока. Если удалить панель, то при окончании очередных 3-х месяцев сертификат не обновится и перестанет определяться браузерами - появится перечеркнутый значок HTTPS и предупреждение о небезопасном подключении. В этом случае обновлять сертификат придется вручную каждые 3 месяца, либо самостоятельно настроить авто-обновление с помощью стороннего ПО.
Будет ли сертификат определяться браузерами как доверенный?
Да, будет . Поддерживается большинство современных браузеров. Детальную информацию о совместимости можно найти на официальном форуме поддержки.
Можно ли использовать в коммерческих целях?
Да, можно . Именно для таких целей сертификат и создавался.
Поддерживаются ли национальные домены (IDN)?
Сертификаты Let"s Encrypt поддерживают IDN - доменные имена с использованием символов национальных алфавитов. Вы можете использовать сертификат для кириллических доменов вида мойсайт.рф.
Поддерживаются ли поддомены (wildcard)?
Сертификаты Let"s Encrypt поддерживают wildcard . Проверяются такие сертификаты только через DNS-записи.
Поддерживается ли мультидомен (SAN)?
Нет . Сам сертификат поддерживает SAN до 100 разных доменов, но автоматизированный процесс привязки в панели исключает использование этой возможности. Каждый домен придется настраивать отдельно.
Как настроить автоматический редирект на HTTPS?
Даже если на сайте установлен сертификат, посетитель может набрать в браузере адрес через http://... , либо перейти по старой ссылке в поисковой системе. В этом случае его подключение не будет безопасным, и он не узнает, что сайт использует SSL-сертификат для шифрования передаваемых данных. Чтобы все запросы посетителей сайта шифровались сертификатом, необходимо настроить редирект HTTP → HTTPS .
Редирект на связке Apache+Nginx
1. В панели управления ISPmanager перейдите в Домены → WWW-домены, выберите домен с сертификатом и нажмите Изменить.
2. В настройках установите галочку Перенаправлять HTTP-запросы в HTTPS и примените изменения.
3. Готово! Все запросы к сайту теперь проходят через безопасное подключение HTTPS .
Редирект на чистом Apache
Внимание! Все изменения в конфигурационном файле Apache вы делаете на свой страх и риск ! Настройки, описанные ниже, сработают для большинства случаев, но могут вызвать проблемы на специфических конфигурациях. Доверьтесь специалистам, если не уверены в результате вносимых изменений.
1. В панели управления ISPmanager перейдите в Домены → WWW-домены, выберите домен с сертификатом и нажмите Конфиг.
Из панели управления ISPmanager теперь можно установить бесплатный SSL-сертификат Let’s Encrypt.
Это бесплатный SSL-сертификат, который выдается после проверки доменного имени (DV – domain validation). Его особенность заключается в том, что сертификат нужно продлять в ручном режиме каждые 3 месяца. Но в ISPsystem создали отдельный модуль для панели управления ISPmanager, который за 7 дней до окончания срока действия сертификата автоматически его обновляет.
Сертификат устанавливается за 6 шагов
1. Зайдите в панель ISPmanager как root-пользователь.
2. В разделе Интеграция –> Модули установите плагин Let’s Encrypt Encrypt.
3. В разделе Настройки web-сервера –> SSL-сертификаты выберите Let’s Encrypt.
4. Заполните поля формы, выбрав пользователя и домен, на который хотите установить сертификат. Обратите внимание, что по домену должен открываться сайт, в противном случае домен не пройдет проверку и сертификат выдан не будет.
5. После нажатия кнопки “Ок” на сайт установится самоподписанный сертификат. После завершения процесса проверки домена тип изменится на “Существующий”.
6. Готово. Перейдите по вашему домену, слева от него появится зеленый замок, который означает, что соединение защищено.
Ответы на частые вопросы
Let’s Encrypt подходит только для сайтов
Его нельзя использовать для защиты почты или кода
Сертификаты поддерживают
домены с национальными символами (IDN)
Сертификат выдается для любых доменов, включая национальные. Сертификат можно выпустить для доменов в зоне.рф.
Проверяется только право на владение доменом
Проверка организации и расширенная проверка (OV и EV) не планируется.
Сертификат выпускается за несколько минут
Если домен делегирован, т.е. по домену открывается сайт, то никаких заминок быть не должно.
Сертификат действует вечно
Панель автоматически продляет сертификат. Это значит, что сертификат действует до тех пор, пока у вас есть панель.
Определяется браузерами как доверенный
Сертификат поддерживается большинством современных браузеров. Полный список браузеров на официальном форуме поддержки Let’s Encrypt.
Поддомены не поддерживаются
Если вам нужны сертификаты для поддоменов,то выпустите отдельный сертификат для каждого поддомена.
Автоматизация поддерживается только для одного домена
Один сертификат поддерживает до 100 доменов, но процесс автоматизации не позволяет использовать один сертификат для нескольких доменов. Оформите отдельный сертификат для отдельного домена или закажите один из платных сертификатов с поддержкой мультидоменов.
