С помощью Certbot устанавливаем Let's Encrypt

Let's Encrypt предоставляет бесплатные SSL-сертификаты для ваших веб-сайтов, чтобы использовать безопасные соединения.
Получить сертификаты можно при помощи утилиты Certbot, для этого потребуется публичный (белый) IP адрес.

Certbot — это бесплатное программное обеспечение с открытым исходным кодом, которое позволяет легко создавать SSL-сертификаты Let’s Encrypt на сервере Linux.

Как работает Let’s Encrypt
В первую очередь, перед выдачей сертификата Let’s Encrypt подтверждает право собственности на ваш домен. Клиент Let’s Encrypt, работающий на вашем хосте, создает временный файл (токен) с необходимой информацией. Затем сервер проверки Let's Encrypt отправляет HTTP-запрос на получение файла и проверяет токен, который подтверждает, что DNS-запись для вашего домена разрешается на сервере с клиентом Let's Encrypt


Перед установкой необходимо учесть важный фактор, который повлияет на успех установки.
Необходимо проверить свободен ли порт 80 (можно проверить с помощью netstat).

Код:

# netstat -an | grep ':80'

Если Elma365 уже установлена на сервере, необходимо остановить сервисы Elma365.

Код:

elma365ctl stop

Есть несколько способов установки Certbot на Ubuntu, но сегодня мы остановимся на установке с использованием PPA.

Для начала нам следует установить необходимое для работы с PPA ПО:

Код:

apt-get install software-properties-common

Следующим шагом добавим необходимый PPA:

Код:

add-apt-repository ppa:certbot/certbot

Обновим список пакетов:

Код:

apt-get update

Установим Certbot:

Код:

apt-get install certbot

Для прохождения регистрации необходимо выполнить следующую команду.

Код:

certbot register -m admin@example.com 

После прохождения регистрации переходим к основному действию - к получению сертификата.

Код:

certbot certonly --standalone --register-unsafely-without-email --agree-tos -d www.example.com

В случае успешного выполнения команды вы получите сообщение с путями сертификата и ключа:



Далее добавляем пути при реконфигурации :

Код:

elma365ctl reconfigure

Таким же образом добавляется путь сертификата.

На этом процедура создания и установки сертификатов окончена. Надеюсь, моя статья поможет вам в дальнейшем и сэкономит драгоценное время.


UPD: ниже в комментарии от техподдержки указан алгоритм очистки правил iptables. Очистку необходимо выполнить перед запуском certbot.

Здравствуйте, на этапе получения домена происходит ошибка
certbot certonly --standalone --register-unsafely-without-email --agree-tos -d нашдомен
До реконфигурирования не доходит. Пожалуйста помогите с советом.

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address. Additionally, please check that
your computer has a publicly routable IP address and that no
firewalls are preventing the server from communicating with the
client. If you're using the webroot plugin, you should also verify
that you are serving files from the webroot path you provided.

Проверяли эти рекомендации?

Начиная с некоторых версий On-Premises, правила iptables для calico-интерфейсов "режут" соединение до 80 порта, даже несмотря на выключенный microk8s. Необходимо очищать правила iptables перед запуском certbot.

Важно: перед запуском certbot необходимо очистить правила iptables:
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F
iptables -t mangle -F
iptables -F
iptables -X

Для перезапуска microk8s и очистки таблиц правил, выполните следующий алгоритм:
1. elma365ctl stop,
2. microk8s stop,
3. очистка правил iptables,
4. ждём минут 10,
5. microk8s start,
6. elma365ctl start