Let's Encrypt - це центр сертифікації (ЦС), який надає безоплатні цифрові сертифікати для використання протоколу HTTPS (SSL/TLS) на веб-сайтах. Ці сертифікати використовуються для шифрування зв'язку між веб-сайтом та його користувачами, гарантуючи, що конфіденційна інформація, така як облікові дані для входу та дані кредитних карток, залишається конфіденційною та захищеною. Сертифікатам Let's Encrypt довіряють всі основні веб-браузери, що робить їх доступним і надійним варіантом для захисту веб-сайтів.
Для захисту даних користувачів важливо, щоб усі веб-сайти мали дійсний сертифікат SSL/TLS. Однак ці сертифікати мають обмежений термін дії, зазвичай 90 днів. Після закінчення цього періоду, щоб підтримувати безпечне з'єднання з вашим сайтом, вам необхідно поновити сертифікат. У цій статті ми обговоримо, як поновити сертифікати Let's Encrypt на системах на базі Linux.
Оновлення сертифіката Let's Encrypt
Існує кілька способів оновлення сертифіката Let's Encrypt, але найпоширенішим є використання такого інструменту, як Certbot, розробленого Electronic Frontier Foundation (EFF). Цей інструмент спрощує процес отримання та поновлення SSL/TLS сертифікатів.
Крок 1: Перевірте наявність Certbot
Перш ніж оновити сертифікат Let's Encrypt, переконайтеся, що у вашій системі встановлено Certbot.
Запустіть наступну команду, щоб перевірити, чи встановлено Certbot у вашій системі:
sudo certbot --version
Якщо Certbot не встановлено, ви побачите такий вивід на терміналі:
sudo: certbot: command not found
Ви можете встановити Certbot, виконавши наступну команду:
sudo pip install certbot certbot-nginx
Ви побачите результат, подібний до наведеного нижче:
Запустіть наступну команду, щоб створити симлінк і переконатися, що Certbot працює:
sudo ln -s /opt/certbot/bin/certbot /usr/bin/certbot
Крок 2: Оновлення сертифіката за допомогою Certbot
Після встановлення Certbot ви можете оновити свій сертифікат Let's Encrypt.
Для цього виконайте наступну команду:
sudo certbot renew
Примітка: Ця команда перевіряє, чи потрібно оновлювати сертифікати, і автоматично оновлює їх, якщо потрібно. Якщо у вас немає сертифікатів, які потрібно оновити, вона покаже вам порожній результат оновлення, як показано на малюнку нижче:
Крок 3: Оновлення конкретного сертифіката
Якщо ваш сайт має кілька доменів або субдоменів, вам може знадобитися вказати, який саме сертифікат ви хочете оновити.
Ви можете зробити це, виконавши наступну команду:
sudo certbot renew --cert-name example.com
Примітка: Замініть "example.com" на назву вашого домену або субдомену.
Крок 4: Оновлення кількох сертифікатів
Якщо у вас кілька доменів або субдоменів, ви можете вказати кілька сертифікатів, розділивши їх комами.
Виконайте наступну команду:
sudo certbot renew --cert-name example.com,www.example.com
Крок 5: Тестування оновлення сертифіката
Якщо ви хочете протестувати процес оновлення без фактичного оновлення сертифіката, ви можете використовувати прапорець -dry-run
.
Запустіть наступну команду, щоб протестувати оновлення сертифіката:
sudo certbot renew --dry-run
Примітка: Це імітує процес оновлення і дає змогу дізнатися, чи є якісь проблеми, які потрібно вирішити до фактичного оновлення.
Крок 6: Оновлення сертифікатів після внесення змін до веб-сайту
Важливо зазначити, що кожного разу, коли ви вносите зміни в конфігурацію веб-сайту, наприклад, змінюєте веб-сервер або додаєте нові домени, ви повинні оновити свій сертифікат Let's Encrypt, щоб врахувати ці зміни.
Запустіть наступну команду, щоб внести зміни:
sudo certbot certonly --force-renewal -d example.com -d www.example.com
Примітка: Замініть "example.com" і "www.example.com" доменами або субдоменами, які ви хочете оновити.
Прапорець -force-renewal
змушує Certbot випустити новий сертифікат, навіть якщо поточний сертифікат все ще дійсний.
Можливі помилки та їх усунення
Частіше за все під час поновлення сертифіката сайту виникають проблеми. Це може бути помилка з'єднання або помилка недійсності доменного імені. Щоб усунути ці проблеми, спробуйте виконати наведені нижче кроки:
- Переконайтеся, що годинник вашого сервера налаштовано правильно. Let's Encrypt вимагає, щоб годинник на вашому сервері був встановлений з допустимою похибкою.
- Переконайтеся, що ваші DNS-записи налаштовані правильно. Let's Encrypt використовує DNS для перевірки права власності на домен. Будь-які проблеми з вашими DNS-записами можуть перешкодити завершенню процесу оновлення.
- Переконайтеся, що ваш веб-сервер працює і доступний. Якщо ваш веб-сервер не працює або недоступний, Certbot не зможе оновити ваш сертифікат.
- Переконайтеся, що ваш фаєрвол не блокує сервери Let's Encrypt. Let's Encrypt використовує певні IP-адреси для перевірки права власності на домен. Якщо ваш фаєрвол блокує ці IP-адреси, то процес оновлення зазнає невдачі.
Висновок
Оновлення сертифіката Let's Encrypt - це відносно простий процес, який можна швидко і легко виконати за допомогою інструменту Certbot. За допомогою всього декількох команд ви можете гарантувати, що ваш веб-сайт або веб-застосунок залишатиметься безпечним і захищеним від небажаних атак. Завдяки Let's Encrypt захистити свій веб-сайт або веб-застосунок стало простіше, ніж будь-коли, а їх оновлення - це простий процес, який може виконати будь-хто, маючи невеликі технічні знання. За допомогою правильних інструментів і знань ви можете гарантувати, що ваша присутність в Інтернеті залишається безпечною, а ваші відвідувачі захищені від потенційних ризиків.
Ще немає коментарів