Lets encrypt

1. Войти в ЛК NIC.RU

2. Зайти в раздел "DNS-хостинг"

3. Нажать "Управление DNS-зонами"

4. Щелкнуть на свой домен

5. На вкладке "Ресурсные записи" перейти на вкладку "TXT"

6. Добавить записи "_acme-challenge" и "_acme-challenge.www" с значениями из раздела DNS-01 в настройках плагина

7. Подождать около 10-15 минут, пока DNS записи обновятся

8. Вернуться к настройкам плагина (7-9 пункт)

9. В ЛК хостинга перейти в раздел "Виртуальный хостинг" - "Панель управления"

10. Перейти в "SSL и антивирус"

11. Кнопка "Установить"

12. Загрузить файлы сертификата в соответствующие пункты. Сертификат - certificate.pem, Промежуточный сертификат - cabundle.pem, Приватный ключ сертификата - private.pem

    На этом всё, через некоторое время сертификат заработает и браузеры перестанут "ругаться" на ваш сайт.

Сертификат действует 3 месяца. Рекомендуется обновлять каждые 2 месяца.

В целом никому не рекомендую пользоваться услугами этого хостера, но если по каким-то причинам не можете перейти, то пользуйтесь этой инструкцией. Самый дешевый SSL в nic.ru от 12к, а бесплатный они очень неохотно выдают и придумают множество причин отказать в услуге.

Почему именно 3.8? Потому что во-первых на самых свежих версиях питона у меня ничего не взлетело, а во-вторых потому что на данной версии все отработало как нужно)

Далее из гайда:

ln -s /opt/certbot/bin/certbot /usr/local/sbin/certbot

/usr/local/sbin/certbot certonly -d $(hostname --fqdn) --standalone --preferred-chain "ISRG Root X2" --agree-tos --register-unsafely-without-email

И работать это у нас не будет! pyopenssl 23.2.0, который идет в комплекте, не подходит для certbot'a.

Поэтому сначала делаем:

/opt/certbot/bin/pip install -U "pyopenssl==23.1.0"

Далее, при выполнении скрипта из crontab:

/etc/cron.daily/letsencrypt-zimbra

не пройдет верификация сертификата из-за устаревших корневых сертификатов. Лечится это следующим образом:

wget -O /tmp/ISRG-X1.pem https://letsencrypt.org/certs/isrgrootx1.pem.txt

cat /tmp/ISRG-X1.pem >> /etc/letsencrypt/live/$(hostname --fqdn)/chain.pem

И уже после этого, можно запускать скрипт из кронтаба, который успешно задеплоит сертификат в зимбру:

/etc/cron.daily/letsencrypt-zimbra

Вот и все. Не забываем рестартнуть сервер:

su zimbra -c '/opt/zimbra/bin/zmcontrol restart'

И радуемся полученному результату.

P.S.: надеюсь заметки из данного поста пригодятся хотя бы одному человеку. Тогда эта простыня текста будет не напрасной.

Распаковываем в удобное место, запускаем wacs.exe:

Выбираем N для создания нового сертификата, и 2 для ручной настройки:

Вводим адрес нашего домена, и тут я рекомендую через запятую ввести его в формате "www.домен".

В следующем пункте выбираем 3 (загрузить файл верификации по FTP):

Краткая справка: для выпуска сертификата сервис должен проверить, что вы действительно владеете этим сайтом. Самый простой способ - программа генерирует специальный файл, загружает его на ваш сервер, сервис проверяет его корректность, и только после этого происходит генерация сертификатов. Можно проверить и другими способами, но для конечного пользователя, которых хочет просто чтобы google chrome не рисовал страшилки о небезопасном соединении, это хватит за глаза. Так же, можно и вручную нужный файл грузить... Но за чем, если данная прога это сделает за вас?)

Далее у нас просит адрес вашего FTP с сайтом. Посмотреть его можно в панели управления сайтом на вашем хостинге, при чём путь должен быть именно до папки, где хранятся сами файлы сайта. Если вы тоже используете nic.ru, то это проще всего сделать путём создания нового пользователя FTP - просто укажите ему доступ к папке конкретного сайта:

В противном случае, вам надо будет сперва подключиться имеющимся пользователем по FTP и найти там папку с файлами сайта, и прописать путь именно до неё. На примере того же ру-центра, это выглядит как "ftp://ftp.ИМЯ_АККАУНТА.nichost.ru:21/home/ИМЯ_АККАУНТА/ИМЯ_...". На крайняк - с этим может помочь техподдержка хостинга, только не говорите, что вам для установки сертификата, потому что я однажды столкнулся с полным забиванием на мои запросы после этого (ага, как же иначе - посмел покуситься на потенциальную прибыль барыг).

Далее нам надо отказаться от загрузки вебконфига (просто тыкаем enter), ввести имя пользователя FTP, которого мы создали, выбрать ввод пароля в консоли (2), ввести сам пароль, отказаться от его сохранения (enter):

Далее надо выбрать тип файла, в котором нам отдадут сертификат. Почти наверняка вам понадобится формат PEM, так что выбираем пункт 2 (если вдруг не подойдёт - в техподдержку, или попробуйте другие форматы).

Следующим пунктом идёт место сохранения сертификата. Проще всего - в папке программы создайте папку SSL, и скопирeйте прямо из окна проводника путь (для вставки скопированного текста - нажмите правой кнопкой мыши в окне программы):

Далее соглашаемся ввести пароль от приватного ключа в консоли (2), придумываем и вводим пароль, отказываемся от сохранения (enter), и отказываемся от выполнения дополнительных скриптов (3):

Всё, осталось только дождаться завершения проверки и выпуска сертификата. Если всё правильно сделали - это максимум пара минут, и видим заветное "certificate ... created"!

А в созданной папке для сертификатов появилось 4 файла:

Нам отсюда обычно нужны только файлы сертификата (-crt) и ключа (-key).

Дальше - надо загрузить их на хостинг, и тут уже зависит от конкретного хостинга. Я покажу на примере ру-центра.

В панели управления хостингом выбираем "Сайты", потом ваш сайт, вкладку "Безопасность", при необходимости включаем "Защищенное HTTPS-соединение" и нажимаем на "Добавить/сменить сертификат".

Тут нам надо скормить полученный файлы хостеру. Выбираем напротив "сертификат" кнопку "загрузить файл", грузим файл с crt в названии, аналогично с приватным ключом, вводим под ним пароль, который мы задали ранее, и нажимаем на "Установить":

Поздравляю, сертификат установлен!

Поверить срок действия можно в разделе "безопасность" конкретного сайта:

Через без копеек 3 месяца надо будет повторить процесс, но win-acme сохранил данные (кроме паролей), и при запуске надо будет выбирать не "N: Create certificate", а "R: Run renewals".