Apache2 - SSH - LetsEncrypt SSL - Certbot - Proxy - Ручная настройка: как это сделать?
У меня есть сайт, успешно работающий на HTTP-порту Apache 80 HTTP (во временном субдомене).
Я следую этому руководству, чтобы настроить SSL-сертификат на Apache2, Ubuntu, используя LetsEncrypt с certbot: [ ! d1]
https://www.digitalocean.com/community/tutorials/how-to-set-up-let-s-encrypt-certificates-for-multiple-apache-virtual-hosts-on-ubuntu- 16-04
Выполнены следующие шаги:
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install python-certbot-apache
sudo certbot --apache -d example.com -d www.example.com
Последний шаг завершился неудачно с
неавторизованнымсообщением , может быть, потому, что сайт находится за прокси-сервером и / или потому, что example.com еще не живет (записи DNS A и CNAME еще не установлены, так как должно быть свободное изменение со старого хоста, и веб-сайт уже работает) .
Поэтому мне нужно установить сертификат вручную до того, как будут установлены записи DNS. Я обнаружил, что у certbot есть опция --manual: https://www.digitalocean.com/community/tutorials/how-to-set-up-let-s-encrypt-certificates-for-multiple-apache -virtual-hosts-on-ubuntu-16-04
У меня также есть файл example.com для example.com из LetsEncrypt, если это более полезно?
Однако это то место, где я застрял, и где я не знаю, как правильно действовать ( до ).
Можете ли вы рассказать мне, что есть / следующий шаг (ы), чтобы правильно настроить этот сертификат ssl вручную?
3 ответа
У Certbot есть три способа подтвердить право собственности на домен на letencrypt. Два из них (http и tls-sni) открывают порт и обслуживают определенный фрагмент контента (http) или сертификат (tls-sni); оба из них не пригодны для вас, поскольку домен (как вы сказали) не указывает на хост, на котором вы работаете certbot.
Третий способ (dns) и идеально подходит для ваш сценарий. Процитировать certbot документацию:
При использовании вызова dns certbot попросит вас поместить запись TXT DNS с определенным содержимым под именем домена, состоящим из имени хоста, для которого вы хотите получить сертификат, добавлено _acme-challenge. Например, для домена example.com запись в файле зоны будет выглядеть так: _acme-challenge.example.com. 300 IN TXT "gfj9Xq ... Rg85nM"И это то, что вам нужно сделать. Run
certbot certonly --manual --preferred-challenges dns -d example.com -d www.example.com
Эта команда должна выполнить следующее:
Попросить вас создать запись DNS TXT Приобретите сертификат сразу после создания записи DNS TXT. Поместите сертификат в папку [ f9]Наконец, вам нужно добавить конфигурацию сертификата на свой веб-сервер.
У Certbot есть три способа подтвердить право собственности на домен на letencrypt. Два из них (http и tls-sni) открывают порт и обслуживают определенный фрагмент контента (http) или сертификат (tls-sni); оба из них не пригодны для вас, поскольку домен (как вы сказали) не указывает на хост, на котором вы работаете certbot.
Третий способ (dns) и идеально подходит для ваш сценарий. Процитировать certbot документацию:
При использовании вызова dns certbot попросит вас поместить запись TXT DNS с определенным содержимым под именем домена, состоящим из имени хоста, для которого вы хотите получить сертификат, добавлено _acme-challenge. Например, для домена example.com запись в файле зоны будет выглядеть так: _acme-challenge.example.com. 300 IN TXT "gfj9Xq ... Rg85nM"И это то, что вам нужно сделать. Run
certbot certonly --manual --preferred-challenges dns -d example.com -d www.example.com
Эта команда должна выполнить следующее:
Попросить вас создать запись DNS TXT Приобретите сертификат сразу после создания записи DNS TXT. Поместите сертификат в папку /etc/letsencryptНаконец, вам нужно добавить конфигурацию сертификата на свой веб-сервер.
У Certbot есть три способа подтвердить право собственности на домен на letencrypt. Два из них (http и tls-sni) открывают порт и обслуживают определенный фрагмент контента (http) или сертификат (tls-sni); оба из них не пригодны для вас, поскольку домен (как вы сказали) не указывает на хост, на котором вы работаете certbot.
Третий способ (dns) и идеально подходит для ваш сценарий. Процитировать certbot документацию:
При использовании вызова dns certbot попросит вас поместить запись TXT DNS с определенным содержимым под именем домена, состоящим из имени хоста, для которого вы хотите получить сертификат, добавлено _acme-challenge. Например, для домена example.com запись в файле зоны будет выглядеть так: _acme-challenge.example.com. 300 IN TXT "gfj9Xq ... Rg85nM"И это то, что вам нужно сделать. Run
certbot certonly --manual --preferred-challenges dns -d example.com -d www.example.com
Эта команда должна выполнить следующее:
Попросить вас создать запись DNS TXT Приобретите сертификат сразу после создания записи DNS TXT. Поместите сертификат в папку /etc/letsencryptНаконец, вам нужно добавить конфигурацию сертификата на свой веб-сервер.