Let's Encrypt SSL certifikáty na VPS (Ubuntu)

Tento návod ukazuje, ako nainštalovať balík certbot a pomocou neho aktivovať Let's Encrypt certifikát na Virtuálnom Serveri (ďalej VPS). V prípade potreby garancie SSL certifikátu, alebo potreby úpravy CSR si pozrite našu ponuku platených SSL certifikátov.

Predpoklady

Na úspešnú inštaláciu SSL certifikátu podľa tohto návodu je potrebné splniť nasledovné kritériá:

  • VPS s operačným systémom Ubuntu 12.04, Ubuntu 14.04 alebo Ubuntu 16.04
  • Webový server Apache
  • Administrátorské privilégiá na server (root alebo sudo)

Pred začatím inštalácie SSL certifikátu odporúčame vytvoriť snapshot Vášho VPS.

Inštalácia balíka Certbot

Let's Encrypt certifikáty sú zvyčajne nahrávané na server balíkmi. Oficiálnym balíkom je Certbot - ktorý je pravidelne aktualizovaný a na operačnom systéme Ubuntu podporovaný.

Prvým krokom je pridanie repozitára balíka certbot, ktorý potvrdíte klávesou ENTER:

sudo add-apt-repository ppa:certbot/certbot

Následne je potrebný update repozitárov pomocou príkazu:

sudo apt-get update

Posledný krok je inštalácia certbot balíka pre webový server Apache, pomocou príkazu:

sudo apt-get install python-certbot-apache

Ak všetko prebehne bez chybových hlášok, balík Certbot je pripravený.

Získanie SSL certifikátu

SSL certifikát za vás vygeneruje balík Certbot. Proces generovania sa skladá z:

  • verifikácie domény (je potrebné mať doménu správne nasmerovanú DNS A záznamom na VPS)
  • registrácie e-mailu (voliteľné, je možné preskočiť túto možnosť)
  • vydanie certifikátu

Pre získanie certifikátu pre doménu example.com je možné použiť nasledovný príkaz

certbot --apache -d example.com

Alebo príkaz bez registrácie e-mailu (pozn., možnosť --register-unsafely-without-email je možné použiť aj pri viacerých doménach):

certbot --apache -d example.com --register-unsafely-without-email

Na konci procesu je možné zvoliť, či si želáte aby Certbot automaticky presmerovával dopyty na vašu doménu cez protokol https://  (možnosť 1) alebo ponechal aktuálne nastavenia (možnosť 2). Následne je certifikát vygenerovaný.

V prípade generovanie certifikátu pre subdomény je možné použiť nasledovný formát, vždy však iba s jednou doménou prvého stupňa (v tomto prípade example.com):

certbot --apache -d example.com -d www.example.com -d subdomain.example.com

Po úspešnej inštalácií sa certifikáty nachádzajú v priečinku  /etc/letsencrypt/live

Kontrolu SSL certifikátu je možné vykonať napríklad cez stránku: https://www.sslshopper.com/ssl-checker.html
Odporúčame taktiež otestovať Váš web cez https:// protokol (otvorením https://example.com/ v prehliadači).

Automatická obnova certifikátu

Platnosť všetkých Let’s Encrypt certifikátov je 90 dní. Po tejto dobe je potrebné certifikát obnoviť. Certbot balík robí obnovu certifikátov automaticky, vytvorením CRON úlohy v priečinku /etc/cron.d, ktorý obnovuje všetky certifikáty s platnosťou kratšou ako 30 dní.

V prípade potreby manuálneho obnovenia certifikátu, je možné skontorlovať funkčnosť pomocou príkazu:

sudo certbot renew --dry-run

Pokiaľ je výstup bezchybový je možné použiť príkaz bez parametra --dry-run.