Автоматическое извлечение SSL-сертификатов Let’s Encrypt с помощью Certbot в CentOS 7

Let’s Encrypt – бесплатный сервис доверенных SSL-сертификатов, которые выдаются через автоматизированный API. Разработанный EFF клиент Certbot является самым популярным клиентом Let’s Encrypt.

Certbot поддерживает много способов проверки доменов, получения сертификатов и автоматической настройки Apache и Nginx. В этом мануале мы расскажем, как настроить автономный режим Certbot и с его помощью защитить другие сервисы: почтовые серверы, брокеры сообщений типа RabbitMQ и т.п.

Здесь вы не найдете подробного описания процесса создания SSL-сертификата, но сможете получить доверенный сертификат, который будет обновляться автоматически. Кроме того, вы сможете автоматизировать перезагрузку сервиса, чтобы он мог получить доступ к новому сертификату.

Требования

  • Сервер CentOS 7 с пользователем sudo (как описано здесь).
  • Доменное имя, направленное на сервер (в мануале используется условный example.com). Дополнительные инструкции можно найти в мануале Как настроить имя хоста.
  • Свободный порт 80 или 443. Если у вас есть веб-сервер, оба порта будут заняты. В таком случае вы можете использовать Certbot в другом режиме, например, в webroot.

1: Установка Certbot

В репозитории EPEL есть пакет Certbot, он достаточно свеж и его можно использовать. Чтобы включить репозиторий EPEL на CentOS 7, запустите следующую команду yum:

sudo yum --enablerepo=extras install epel-release

Затем можно установить пакет certbot:

sudo yum install certbot

Вы можете проверить свою установку, запросив номер версии certbot:

certbot --version
certbot 0.31.0

Теперь у вас есть установка Certbot. Давайте запустим его, чтобы получить сертификат.

2: Запуск Certbot

Certbot должен выполнить криптографическую проверку API-интерфейса Let’s Encrypt, чтобы доказать, что указанный домен действительно принадлежит вам. Для этого используются порты 80 (HTTP) или 443 (HTTPS). Откройте соответствующий порт в брандмауэре. В firewalld это делается примерно так:

sudo firewall-cmd --add-service=http
sudo firewall-cmd --runtime-to-permanent

Чтобы открыть порт 443, укажите https вместо http.

Затем запустите Certbot, чтобы получить сертификат. Добавьте параметр —standalone, чтобы для обработки проверки Certbot использовал встроенный веб-сервер. Параметр —preferred-challenges позволяет Certbot использовать порты 80 или 443. Если вы используете порт 80, укажите —preferred-challenges http. Порт 443 указывается с помощью параметра

--preferred-challenges tls-sni. Флаг –d позволяет задать домен, для которого предназначен сертификат. Если сертификат будет использоваться для защиты нескольких доменов, добавьте такое же количество флагов –d.
sudo certbot certonly --standalone --preferred-challenges http -d example.com

Запустив команду, вы должны указать адрес электронной почты и принять условия использования. После этого вы увидите сообщение о том, что процесс был успешно выполнен, и узнаете, где хранятся сертификаты:

IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2018-10-09. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
Donating to EFF:                    https://eff.org/donate-le

Сертификаты получены. Давайте подробнее рассмотрим, что именно мы загрузили, и попробуем использовать эти файлы с нашим ПО.

3: Настройка приложения

Полная настройка поддержки SSL вашим приложением выходит за рамки данного мануала, ведь у каждого приложения индивидуальные требования и конфигурация.

Давайте ознакомимся с файлами, которые загрузил Certbot. Используйте команду ls, чтобы просмотреть каталог, в котором хранятся ключи и сертификаты:

sudo ls /etc/letsencrypt/live/example.com
cert.pem  chain.pem  fullchain.pem  privkey.pem  README

Файл README содержит информацию о каждом из файлов. Обычно нужны только два файла:

  • privkey.pem: закрытый ключ сертификата. Его следует хранить в секрете, поэтому каталог /etc/letsencrypt обычно блокирует доступ, он доступен только root пользователю. Конфигурации программного обеспечения будут ссылаться на этот файл с помощью параметров ssl-certificate-key или ssl-certificate-key-file.
  • fullchain.pem: файл сертификата, связанный с промежуточными сертификатами. Большинство программ ссылается на этот файл как на ssl-certificate.

Читайте также: Раздел Where are my certificates в документации Certbot

Некоторые программы требуют, чтобы файлы сертификатов располагались в другом месте, были в другом формате или имели другие привилегии. Лучше всё хранить в каталоге letsencrypt и привилегий не менять (они все равно будут переписаны при обновлении сертификата), но иногда это мешает работе программы. В таком случае нужно написать сценарий для автоматического перемещения файлов и изменения привилегий. Этот сценарий нужно запускать во время обновления сертификатов Certbot.

4: Автоматическое обновление сертификатов Certbot

Сертификаты Let’s Encrypt действительны в течение 90 дней. Потому лучше автоматизировать процесс обновления сертификатов. Установленный ранее пакет certbot включает таймер systemd. Он запускается два раза в день и продлевает сертификат, срок действия которого истекает через тридцать дней. По умолчанию этот таймер отключен. Чтобы включить его, введите:

sudo systemctl enable --now certbot-renew.timer

Created symlink from /etc/systemd/system/timers.target.wants/certbot-renew.timer to /usr/lib/systemd/system/certbot-renew.timer.

Теперь проверьте состояние таймера:

sudo systemctl status certbot-renew.timer
certbot-renew.timer - This is the timer to set the schedule for automated renewals
Loaded: loaded (/usr/lib/systemd/system/certbot-renew.timer; enabled; vendor preset: disabled)
Active: active (waiting) since Fri 2019-05-31 15:10:10 UTC; 48s ago

Таймер должен включиться (в выводе будет active). Теперь Certbot будет автоматически обновлять сертификаты по мере необходимости.

5: Запуск задач после обновления сертификатов

При автоматическом обновлении сертификатов нужно найти способ запускать остальные задачи после этого. Как минимум, вам нужно перезагрузить сервер, чтобы новые сертификаты вступили в силу. Как говорилось в разделе 3, вам также может понадобиться дополнительно обработать файлы сертификатов, чтобы они не конфликтовали с программным обеспечением. Для этого Certbot предлагает опцию renew_hook.

Чтобы добавить ее, обновите конфигурационный файл Certbot в каталоге renewal. Certbot запоминает все сведения о первом сертификате и при обновлении запустится с теми же параметрами. Нужно просто добавить опцию renew_hook в файл. Откройте файл с помощью редактора:

sudo vi /etc/letsencrypt/renewal/example.com.conf

Вставьте в конец файла строку:

renew_hook = systemctl reload rabbitmq

Обновите эту команду и укажите в ней задачи, которые нужно выполнить (например, перезагрузить сервер или запустить сценарий для обработки файлов). Обычно для перезагрузки сервисов в CentOS используют systemctl. Сохраните и закройте файл, затем запустите пробный прогон, чтобы убедиться, что синтаксис не содержит ошибок:

sudo certbot renew --dry-run

Certbot должен обновлять сертификаты по мере необходимости и выполнять все команды для восстановления поддержки новых сертификатов.

Заключение

Теперь вы знаете, как установить Certbot, получить SSL-сертификаты и автоматизировать их обновление.

Читайте также:

  • Краткое сравнение центров сертификации SSL
  • Краткий обзор сервиса Let’s Encrypt
  • Документация Certbot
Tags: , , , ,