Обновление SSL-сертификата Let’s Encrypt
SSL-сертификаты Let’s Encrypt всем хороши, и они бесплатные, но срок действия у них только 3 месяца. Let’s Encrypt предлагает средства для автоматической замены сертификатов, и некоторые хостеры их даже используют, предоставляя своим клиентам полностью бесплатные сертификаты, которые сами собой обновляются автоматически. Но это редкость - обычно хостеры предпочитают иметь дополнительный заработок перепродавая платные сертификаты.
Если у вас недорогой виртуальный хостинг, то обновлять сертификаты придется вручную. Это можно сделать разными способами, например - с помощью сервиса ZeroSSL. Этот сервис предоставляет несколько инструментов для работы с сертификатами, в том числе - веб-интерфейс к сервису Let’s Encrypt для создания и обновления сертификата. Обратите внимание: Let’s Encrypt и ZeroSSL - это разные сервисы, их предоставляют разные конторы. За Let’s Encrypt стоят очень серьёзные и солидные фирмы. ZeroSSL, судя по всему, сделан одним человеком по имени Alexander Yezhov (Александр Ежов?), однако весь код сервиса открыт и исполняется в браузере. Определённый риск, конечно, есть, но мне кажется, что сервису ZeroSSL можно доверять.
Предположим, что я (или кто-то другой) сделал вам сайт, установил сертификат Let’s Encrypt, а дальше вы решили обновлять сертификаты самостоятельно. Тогда эта инструкция для вас.
Заходим на сайт ZeroSSL: https://zerossl.com/
Кликаем на ONLINE TOOLS, попадаем в список инструментов, первым сразу идёт FREE SSL Certificate Wizard:
Кликаем START, попадаем в этот инструмент. Здесь можно переключиться на русский язык:
Кликаем RU, и видим форму уже на русском языке, первый шаг из трёх:
Поскольку это обновление сертификата, а не создание нового, то верхние поля "Email" и "Список доменов" заполнять не надо.
(1) - сюда копируем содержимое файла letsencrypt-account-key.txt, это ключ аккаунта Let’s Encrypt
(2) - сюда копируем содержимое файла CSR.txt, это информация о нужном сертификате
(3) - оставляем HTTP верификацию
(4) - ставим 2 галочки (соглашаемся с условиями сервисов Let’s Encrypt и ZeroSSL)
(5) - кликаем ДАЛЕЕ
Шаг 2 - проверка, что вы действительно (и по-прежнему) владеете сайтом, для которого обновляете сертификат. Чтобы пройти проверку, надо скачать 2 файла с этой страницы, и скопировать их на сайт.
(1) - кликаем иконки для скачивания файлов с длинными бессмысленными именами
копируем скачанные файлы на сайт в подкаталог .well-known/acme-challenge корня сайта, например - по FTP:
Старые файлы верификации удалять с сайта не надо. Когда файлы загружены на сайт, возвращаемся к ZeroSSL:
(2) - кликаем имена файлов, чтобы убедиться, что они скопированы куда надо. В результате в новых вкладках браузера вы увидите содержимое этих файлов (если нет - значит что-то сделали не так, разбирайтесь):
(3) - если всё нормально, кликаем ДАЛЕЕ:
Сертификат готов. Осталось скачать его, и установить на сайт. Если у вас хостинг на nic.ru, то следуйте этой инструкции:
https://www.nic.ru/help/ustanovka-ssl-sertifikata-na-hosting-ru-center_6794.html
Кстати, как выяснилось, разбивать сертификат на части, и добавлять вторуй часть как промежуточный сертификат не надо - можно всё поместить в поле "Сертификат".
В поле "Приватный ключ сертификата" помещается содержимое файла domain-key.txt.
Кстати, напоминаю, что файлы letsencrypt-account-key.txt, CSR.txt, и особенно domain-key.txt - секретные, храните их так, чтобы никто посторонний не мог получить к ним доступ!
После того, как сертификат был установлен, надо проверить, что получилось. На некоторых хостингах результат может быть виден не сразу, тогда подождите несколько часов. На nic.ru эффект моментальный. Чтобы проверить сертификат любого сайта (в том числе вашего), откройте сайт, и кликните на замочек в адресной строке:
(1) - кликаем на замочек
(2) - в разных браузерах может быть по-разному, в Pale Moon открывается информация о странице на вкладке Security
(3) - кликаем View Certificate
(4) - открывается просмотр сертификата - убеждаемся, что он будет действителен ещё 3 месяца