Более подробно:
Совсем недавно Google Chrome обновила свой браузер на версию 61.0.3163.100 и выше, стало совсем грустно. Все сайты которые имеют сертификаты не имеющие доверия от Google, их просто не возможно открыть, даже добавив их в доверенную зону или приняв риски перехода по ссылке на сайт(ссылку убрали :) ).
Пришлось все таки перейти на халявные сертификаты от Let's Encrypt, неудобство правда в том, что действие данного сертификата всего 3 месяца, но у нас есть возможность их автоматически генерировать. Компрометация на минимальном уровне, а значит доверия с таким сертификатом больше.
Хорошая статья по созданию сертификата по этой ссылке: https://khashtamov.com/ru/free-ssl-certificates-lets-encrypt/
За основу создания берем инфу с вышеуказанной ссылки.
2. Переходим в папку где установлен Letsencrypt
# cd /
# cd root/letsencrypt
3. Вводим команду для обновления сертификата
root@site:/~letsencrypt# ./letsencrypt-auto renew
4. Запускаем NGINX
# service nginx start
root:/# crontab -e
2. Вводим строку и сохраняемся
https://letsclearitup.com.ua/debian/nastroyka-nginx-ssl-ot-let-s-encrypt-na-debian-8.html
Совсем недавно Google Chrome обновила свой браузер на версию 61.0.3163.100 и выше, стало совсем грустно. Все сайты которые имеют сертификаты не имеющие доверия от Google, их просто не возможно открыть, даже добавив их в доверенную зону или приняв риски перехода по ссылке на сайт(ссылку убрали :) ).
Пришлось все таки перейти на халявные сертификаты от Let's Encrypt, неудобство правда в том, что действие данного сертификата всего 3 месяца, но у нас есть возможность их автоматически генерировать. Компрометация на минимальном уровне, а значит доверия с таким сертификатом больше.
Хорошая статья по созданию сертификата по этой ссылке: https://khashtamov.com/ru/free-ssl-certificates-lets-encrypt/
За основу создания берем инфу с вышеуказанной ссылки.
Нюансы по процессу создания сертификата.
Create a file containing just this data:
JzHmlegrFSbMVcOsfsqQgvDIUwZZgh14tuz8CS7XTC8.VfGTPeLvGwMxS-5_uAF_ujwJMrvd1u_Wp63MgysAWPQ
And make it available on your web server at
this URL:
Необходимо создать файл с названием: JzHmlegrFSbMVcOsfsqQgvDIUwZZgh14tuz8CS7XTC8
(по пути /var/www/html/.well-known/acme-challenge), который внутри содержит данные -
JzHmlegrFSbMVcOsfsqQgvDIUwZZgh14tuz8CS7XTC8.VfGTPeLvGwMxS-5_uAF_ujwJMrvd1u_Wp63MgysAWPQ
Названия файлов и
содержимого различаются при каждом вводе команды.
2) Если после ввода команды - $ ./letsencrypt-auto certonly --manual -d mydomain.com, появляется ошибка:
Failed authorization procedure.
www.codebeer.ru (http-01): urn:acme:error:unauth orized :: The client lacks
sufficient authorization :: Invalid response from htt
p://www.codebeer.ru/.well-known/acme-challenge/oVRUfF1DISR8zRpq1Vju4C7XrYm2YULSe
5TVRfmGy64: "<html>
<head><title>403
Forbidden</title></head>
<body
bgcolor="white">
<center><h1>403
Forbidden</h1></center>
<hr><center>",
codebeer.ru (http-01): urn:acme:error:unauthorized :: The client lacks
sufficient authorization :: Invalid response from http://codebeer.ru/.well
-known/acme-challenge/yKovcd-Eemc6ezWUWNKiL3MKgs6htk06lfuQmYeBwdA:
"<html>
<head><title>403
Forbidden</title></head>
<body
bgcolor="white">
<center><h1>403
Forbidden</h1></center>
<hr><center>"
IMPORTANT NOTES:
- The following errors were reported by the
server:
Domain: www.codebeer.ru
Type: unauthorized
Detail: Invalid response from
http://www.codebeer.ru/.well-known/acme-challenge/oVRUfF1DISR8zRpq1Vju4C7XrYm
2YULSe5TVRfmGy64:
"<html>
<head><title>403
Forbidden</title></head>
<body bgcolor="white">
<center><h1>403
Forbidden</h1></center>
<hr><center>"
Domain: codebeer.ru
Type: unauthorized
Detail: Invalid response from
http://codebeer.ru/.well-known/acme-challenge/yKovcd-Eemc6ezWUWNKiL3MKgs6htk0
6lfuQmYeBwdA:
"<html>
<head><title>403
Forbidden</title></head>
<body bgcolor="white">
<center><h1>403
Forbidden</h1></center>
<hr><center>"
To fix these errors, please make sure that
your domain name was
entered correctly and the DNS A record(s) for
that domain
contain(s) the right IP address.
То
в конфигурационном файле (/etc/nginx/sites-enabled/site.conf) необходимо добавить
следующие строки:
По 80-му порту:
location
'/.well-known/acme-challenge' {
default_type "text/plain";
root /opt/seafile;
}
По 443-му порту:
location ~ /.well-known {
allow all;
}
Продление сертификата letsencrypt. Все действия под root:
НОВАЯ ИНФА ПО ОБНОВЛЕНИЮ
здесь - https://certbot.eff.org/lets-encrypt/debianbuster-nginx
1. Останавливаем nginx
# service nginx stop2. Переходим в папку где установлен Letsencrypt
# cd /
# cd root/letsencrypt
3. Вводим команду для обновления сертификата
root@site:/~letsencrypt# ./letsencrypt-auto renew
4. Запускаем NGINX
# service nginx start
В CRON для автообновления seafile можно записать так:
1. Открыть CRON под rootroot:/# crontab -e
2. Вводим строку и сохраняемся
@monthly /root/letsencrypt/letsencrypt-auto renew >> /var/log/le-renew.loghttps://letsclearitup.com.ua/debian/nastroyka-nginx-ssl-ot-let-s-encrypt-na-debian-8.html
Комментариев нет:
Отправить комментарий