# Apt-get install letsencrypt -t jessie-backports
Якщо вирішили ставити з сайту (або у вас немає вибору), то:
# Mv certbot-auto / usr / bin / letsencrypt
Тепер важливе. На поточний момент (ну якщо ви мануал не по діагоналі робите, а по порядку) у нас не повинно бути запущено нічого, з того, що займає порти 80/443. Якщо запущено - ласкаво просимо в /etc/init.d/ stop до тих пір, поки ви не прочитаєте статтю про налаштування ssl в nginx (яку я ще писати не почав, хе).
Але взагалі я про те, що зараз ми використовуємо модуль standalone, який для перевірки «володіння» доменом запускає свій веб-сервер на портах 80 та 443 і нишпорить по http (s) файли, в які letsencrypt ходить зовні. Пізніше ми будемо використовувати модуль webroot, який буде ці файли створювати в певному каталозі (а нам для запуску клієнта LE вже не доведеться стопать nginx), але це вже після правильного налаштування nginx.
У letsencrypt можна замовити один сертифікат на кілька доменів (і потрібно - скільки б ви казок про SNI не взяла, його підтримують не всі клієнти досі). Єдина умова для отримання сертифікату - щоб letsencrypt зміг прийти по http (s) на всі домени, для яких ви запитуєте сертифікат, за певним uri і отримати з цього uri певний файл. uri і вміст файлу генерітся динамічно, якщо що. Відповідно, щоб отримати сертифікат - домен вже повинен «дивитися» в шуканий сервер.
Нам зараз потрібно отримати сертифікат на fqdn нашого сервера (або інший домен, який ви будете використовувати для розміщення там всяких адмінських панелей). Для прикладу я додам другий домен (взагалі ж ви можете вказати опцію -d приблизно 100 раз, щоб отримати сертифікат на сотню доменів).
Поїхали. Замовляємо сертифікат, попередньо звільнивши порти 80/443:
# Letsencrypt certonly -n --standalone -d yourfqdn.example.com -d seconddomain.example.com --agree-tos --email [email protected]
Якщо у вас вже налаштований nginx (частина 16 Великого мануал), то нам потрібно використовувати модуль webroot:
# Letsencrypt certonly -n --webroot -w / var / www / letsencrypt / -d yourfqdn.example.com -d seconddomain.example.com --agree-tos --email [email protected]
Обидві ці команди можна в майбутньому використовувати і для продовження сертифікатів.
Тепер про опціях:
-n - опція читається як «писок і нічого не питай». Якщо у вас при запуску LE відбувається YOНХ - то приберіть цю опцію, клієнт почне задавати питання, а не використовувати дефолтний поведінку.
certonly - власне, опція «замовляємо сертифікат»
-standalone - для проходження перевірки клієнт запустить власний web-сервер.
-webroot - для проходження перевірки клієнт створить тимчасові файли в певному каталозі.
-w - тут ми вказуємо каталог для -webroot
-d - вказуємо домен, для якого замовляємо сертифікат. Опцію -d можна вказувати кілька разів, щоб отримати сертифікат на кілька доменів (перевірка буде для всіх доменів).
-agree-tos - погоджуємося з tos автоматично (щоб зайвий раз не тиснути стрілочки перед запуском клієнта).
-email - тут ви вказуєте (в теорії) пошту для відновлення своїх сертифікатів. Тільки ось відновлення поки не працює =) Так що напишіть туди на майбутнє будь-який робочий ящик (можна в будь-якому домені).
Якщо ви все зробили правильно, то в кінці своєї роботи клієнт повідомить нам приблизно наступне:
Якщо такого напису ви не спостерігаєте, то приберіть опцію -n і запустіть клієнт знову. Якщо і так незрозуміло - то додайте опцію -v (verbose), щоб розібратися, де не виходить пройти перевірку.
Нам залишилося підготувати файл з сертифікатом в тому форматі, в якому його зможе використовувати nginx і відкласти його в «безпечне» (ну щоб туди клієнт letsencrypt не прийшов і нічого не зламав) місце (місце це поки тимчасове):
Якщо nginx вже налаштований (точніше, налаштоване те, що описано в частині 18 мануал), то можна зробити відразу так (тільки не забудьте про те, що використовувати сертифікат краще не раніше, ніж через 12 годин після його отримання, якщо мова про сайт, куди хтось ходить):
От і все. Процедуру повторювати раз в
3 місяці =)
Ну і так, щодо StartSSL - отриманий від них сертифікат можна використовувати рівно так само, тільки потрібно «зварити» його в правильному форматі (тобто в один файл покласти послідовно приватний ключ, сертифікат і ланцюжок сертифіката). Плюс у startssl в тому, що за 59USD на рік у них можна отримувати wildcard-сертифікати (в будь-якій кількості). В інших випадках LE вам буде досить.
А щодо китайців з wosign - нахер їх, вони ж китайці =)