Lets encrypt ssl сертификат инструкция reg ru

Недавно решал данную проблем. Хостинг nic.ru не очень клиентоориентирован и хочет чрезмерно много за обычный ssl сертификат. А хочется подешевле и бесплатно — Let’s Encrypt. К слову, хостинг reg.ru тоже не предполагает автоматом установки сертификата SSL для домена. Решение подойдет и ему и любому хостингу.

Актуальность статьи на март 2022 года.

Итак, сначала был создан ssh пользователь. получилось поставить CerBot, но на этапе выпуска сертификата потребовались root права, которые как известно получить на обычном шаред хостинге нереально, либо долго, т.к. с саппортом спорить там бесполезно.

Было решено искать другое решение. и нашлось.

NB! Сразу скажу, что для установки ssl сертификата на сайт, хостинг требует выделенный IP-адрес (у нас он был).

UPD 2022:

Дабы не зависеть от санкций и хотелок тех или иных сайтов пошел искать решение на сайте Let’s Encrypt. Благо теперь там куча вариаций по генерации.

Решение на php с автоматическим продлением, хотя установка на хостинге все равно делается руками.

Все что нужно — это доступ к файлам на сервере (FTP или через встроенный файл-менеджер)

1. Итак заходим на сайт https://freessl.tech/

2. Скачиваем архив (скачивание происходит как заказ в интернет-магазине). После оформления получаем ссылку на скачивание.

3. Далее распаковываем архив у себя на компе в папке будет еще 1 папка. можно закинуть ее в корень нашего сайта и там переименовать как угодно. Я переименовал папку в «mysert».

После переименования вводим в адресной строке браузера «ваш сайт/mysert». Если все сделано правильно, видим окно интерфейса с генерацией сертификата.

4. Наверху есть кнопка для быстрой генерации ключей. Если вы хотите , чтобы ключи генерировались автоматом, то нужно создать базу данных и ввести данные ниже в окне (на сайте есть мануал, хотя смысл от него, если все равно кличи надо руками прописывать на хостинге). Нажимаем кнопку, далее страница ввода e-mail (обязательно) и соглашаемся с условиями. После жмем кнопку и ждем несколько секунд.

5. После генерации получаем окно с результатами, наши главные строки со ссылками на папку, где лежать сертификаты.

6. Далее идем в паку, в которой сохранены сертификаты на хостинге, через total или файл-менеджер хостинга.

Мы выпустили сертификат SSL, поздравляю!

Нужно скачать 3 файла: certifacate (наш сертификат), private (наш приватный ключ), cabundle (промежуточный сертификат).

7. Теперь  надо добавить сертификат в панель управления хостингом nic.ru:

Заходим под своим логином. Выбираем управление услугами: хостинг, почта, конструктор сайтов — сайты  (выбираете нужный сайт и жмете на его название) — безопасность — жмете галку ssl сертификат и жмете кнопку установить.

После этого панель предложит загрузить файлы сертификата.

8. Грузите файлы сертификата: в окно сертификат — файл certificate- в окно приватный ключ файл с буквами key на конце, в окно с промежуточным сертификатом грузим -cabundle.

9. Сохраняем и радуемся! Перезагружаем сервер чтобы обновления вступили в силу.

P.S. Инструкция для добавления на nic.ru подходит и для других хостингов, хотя все уже сами предлагают автоматом сертификаты при размещении сайтов на их хосте.

Если сайт находится в режиме ручного управления, а не автоматического (по умолчанию), то переводим сайт в режим автоматического управления (предварительно сохранив файлы конфигурации сайта apache в другую папку (он будет перезаписан) и добавляем по инструкции. Потом файл с конфигурацией добавляем обратно перезаписью.

Вот так.

UPD 2021:

Появился сайт https://freessl.org/ обещают безлимитные сертификаты по 90 дней. сделал 1 посмотрим что дальше. Схема идентичная для всех. Сервис кривой и возможно не поддерживается более, валидация я пройти не смог.

UPD: с середины мая 2020 года они удалили все учётки, и теперь надо заново регистрироваться. С марта 2022 сервис прекратил выдачу бесплатных сертификатов для доменов зоны RU в связи с санкциями (политика и здесь). Теперь сервис стал партнером ZEROSSL и вроде как бесплатный, но с ограничениями в 3 домена. Теперь на free-аккаунте Вы можете иметь 3 домена и продлевать их каждые 90 дней. Сверху- плати. Я просто завел 2 аккаунта, т.к. у меня больше 3 доменов. В остальном немного изменился интерфейс, но порядок действий тот же!

наткнулся на сайт https://freessl.space/ дает без регистрации на 90 дней сертификаты. установил на 2 сайта. все ок. проверим что дальше будет.  Сайт не открывается в августе 2021 года. жаль много сертов сделал для своих сайтов.

Поделиться ссылкой:

Установка бесплатного SSL-сертификата Let’s Encrypt происходит в несколько кликом. Конечно есть свои плюсы, однако присутствуют и минусы такого сертификата. Получение бесплатного SSL-сертификата Let’s Encrypt, одна из популярных тем. Как результат лучше установить бесплатный, чем быть без него. Что такое SSL-сертификат и какие они бывают можете почитать тут.

А сегодня я расскажу как быстро установить и настроить бесплатный SSL-сертификат Let’s Encrypt.

Let’s Encrypt – удостоверяющий центр сертификации, выпускающие бесплатные сертификаты, для протокола шифрования https. Однако весь процесс получения сертификата автоматизирован, это упрощает получение цифровой подписи, установки и настройки SSL-сертификата. Получение такого сертификата происходит легко и не требует особых усилий. Прежде всего это сделано специально, чтобы каждый сайт смог быстро, а главное бесплатно получить протокол шифрования https.

Конечно есть ряд ограничений использования бесплатного SSL-сертификата Let’s Encrypt, одним из главных – это срок действия сертификата.

Бесплатный SSL-сертификат Let’s Encrypt действителен 3 месяца (90 дней), далее происходит перевыпуск сертификата. Огромных плюсом все же является автоматический перевыпуск сертификата в панели управления хостинга или сервера.

Например я использую домен и хостинг от компании REG.RU. Поэтому я расскажу получение и установку сертификата например панели управления хостингом – ISPmanager 5.

Установка бесплатного SSL-сертификат Let’s Encrypt на REG.RU

Открываем панель управления хостингом ISPmanager 5. WWW -> SSL – сертификаты -> Let’s Encrypt

Отмечаем Включить SSL-сертификат, выбираем домен для которого нужно выпустить сертификат, указываем имя сертификата и нажимаем ок.

Также можно отметить пункт Wildcard (поддомены), т.е. сертификат будет действовать и на поддомены. Проверка владения домена будет проведена через DNS.

Далее будет происходить выпуск сертификата, в пункте Тип – самоподписанный, после успешного выпуска тип поменяется на Существующий.

Весь процесс выпуска сертификата, можно проследить  в Let’s Encrypt Журнале.

Подождав не больше минуты, придет сообщение о успешном выпуске.

Далее нужно установить сертификат для домена. WWW -> WWW-домены – выбираем домен.

Отмечаем Защищенное соединение (SSL) и Перенаправлять HTTP-запросы в HTTPS и нажимаем ок.

В результате установки и настройки сайт доступен по https.

Как купить и установить дешевый SSL-сертификат и какие могут быть трудности я рассказывала ранее.

Подведем итоги.

Плюсы:

• бесплатно;
• быстрота установки.

Минусы:

• перевыпуск сертификата через 90 дней, но если позволяет хостинг этот процесс можно автоматизировать.
• нет финансовой гарантии, в случае кражи данных.

В результате получаем отличный сертификат без необходимости ежегодной оплаты.

Если появились какие вопросы пишите в комментариях.

Время на прочтение
3 мин

Количество просмотров 4.1K

У большинства популярных DNS-провайдеров есть API, с помощью которого можно управлять записями. Это позволяет автоматизировать заказ и продление SSL-сертификатов через DNS01.

В Kubernetes для работы с сертификатами используется cert-manager. Чтобы заказать сертификат в кластере, нужно объявить ресурс центра сертификации — например, ClusterIssuer, который используются для подписи CSR (запросов на выпуск сертификата). К сожалению, не для каждого DNS-провайдера существует CusterIssuer. Однако cert-manager позволяет написать свою реализацию. У нас такая потребность возникла в проекте одного из клиентов, который пользовался услугами DNS-провайдера REG.RU.

Изначально мы вручную заказывали сертификаты через acme.sh, складывали их в репозиторий, а затем деплоили в кластер. Нам это надоело, и мы решили автоматизировать процесс. Так появился инструмент ClusterIssuer для REG.RU. Рады представить его Open Source-сообществу!

Инструкция по использованию

Для начала убедитесь, что в кластере установлен cert-manager. Если его нет, установите согласно инструкции:

kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.9.1/cert-manager.yaml

Затем клонируйте репозиторий с ClusterIssuer:

git clone https://github.com/flant/cert-manager-webhook-regru.git

Отредактируйте в нём файл values.yaml, заполнив поля zone, image, user и password. Например:

issuer:
  zone: my-domain-test.ru
  image: ghcr.io/flant/cluster-issuer-regru:1.0.0
  user: my_user@example.com
  password: my_password

где user и password — данные для аутентификации в системе REG.RU.

Установите вебхук. Перейдите в каталог репозитория:

cd cert-manager-webhook-regru

Выполните команду:

helm install -n cert-manager regru-webhook ./helm

Создайте файл ClusterIssuer.yaml с таким содержимым (но не забудьте заменить e-mail на свой!):

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: regru-dns
spec:
  acme:
    # Email address used for ACME registration. REPLACE THIS WITH YOUR EMAIL!
    email: mail@example.com
    # The ACME server URL
    server: https://acme-v02.api.letsencrypt.org/directory
    privateKeySecretRef:
      name: cert-manager-letsencrypt-private-key
    solvers:
      - dns01:
          webhook:
            config:
              regruPasswordSecretRef:
                name: regru-password
                key: REGRU_PASSWORD
            groupName: {{ .Values.groupName.name }}
            solverName: regru-dns

Сохраните файл и выполните команду:

kubectl create -f ClusterIssuer.yaml

После этого можно создавать ресурс сертификата.

Пример: wildcard certificate

Создайте файл certificate.yaml с таким содержимым:

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: changeme
  namespace: changeme
spec:
  secretName: changeme
  issuerRef:
    name: regru-dns
    kind: ClusterIssuer
  dnsNames:
    - *.my-domain-test.ru

Выполните команду:

kubectl create -f certificate.yaml

Выпуск сертификата может занять некоторое время (зависит от скорости распространения записи у провайдера по его серверам). После этого сертификат сразу же будет готов к использованию в вашем приложении.

Заключение

Если у вас есть какие-то идеи или пожелания по добавлению новых функций, приносите их в issues (или даже pull requests). И, конечно, будем рады новым звездам!

Исходный код проекта распространяется на условиях Apache License 2.0.

P.S.

Читайте также в нашем блоге:

• «SSL-сертификаты от Let’s Encrypt с cert-manager в Kubernetes»;

• «Азбука безопасности в Kubernetes: аутентификация, авторизация, аудит»; 

• «Представляем glaball для управления множеством GitLab-инстансов».

Года 2 назад делал сайт на Reg.ru, тоже были проблемы с автоматической установкой Let’s Encrypt.
На днях опять сбой с обновлением сертификата для поддерживаемого сайта По бурению скважин на воду, вот переписка с техподдержкой. Просто сквозит, в конце, что не заинтересованы они.

–––––––
Здравствуйте!
У нас стоит мониторинг изменения файлов на сайте.
Второй день в директории ./abissinskii-kolodets/.well-known/acme-challenge/ каждый час создаются файлы..
Предполагаю, это для продления Let’s Encrypt?
Но раньше это всё происходило за раз..
Что сейчас не так?
19 сентября 2020, 20:51 Абиссинский колодец

–––––––
Здравствуйте!

Мы перевыпустили SSL-сертификат, пожалуйста, проверьте.

Ранее проблема с выпуском заключалась в файле .htaccess. Мы переименовали его на момент выпуска сертификата и проблема была устранена.
19 сентября 2020, 21:35 Отдел технической поддержки хостинга

–––––––
Вообще-то в файловом менеджере дата изменения .htaccess в директории ./abissinskii-kolodets/.well-known/acme-challenge/ — 18/09/2020 13:28, просто из интереса смотрю.
Сертификат показывает до 18 Декабря теперь.
А вот файлы в директории и сама директория не удалены. Похоже сбой какой-то у вас..
19 сентября 2020, 22:43 Абиссинский колодец
Или вы имеете в виду .htaccess в корне сайта? Тогда какая в нем проблема?
19 сентября 2020, 22:55 Абиссинский колодец

–––––––
С нашей стороны корректировали название файла .htaccess в корне сайта, а не в директории .well-known.
Перед выпуском сертификата, мы изменили название файла на .htaccess_old, выпустили сертификат, после чего вернули название файла на .htaccess.
19 сентября 2020, 22:56 Отдел технической поддержки хостинга

–––––––
Просто раньше таких проблем не было..
И, как выше написал, директория ./abissinskii-kolodets/.well-known/acme-challenge/ не очищена, раньше, вроде, она удалялась автоматически.
Я могу её удалить? Или она нужна?
Хочется чтобы всё автоматически гладко проходило, и через 3 месяца опять не пришлось нам предпринимать что-то!
19 сентября 2020, 23:08 Абиссинский колодец

–––––––
Да, вы можете ее удалить. Если в будущем вы будете наблюдать указанную вами проблему с выпуском SSL-сертификата, то вы можете проделать описанные ранее действия, а именно переименовать файл .htaccess, а затем вручную выпустить сертифика, либо обратиться к нам в рамках заявки, чтобы мы выполнили это за вас.
19 сентября 2020, 23:24 Отдел технической поддержки хостинга

–––––––
Вы можете сказать, какая директива в .htaccess мешала?
19 сентября 2020, 23:31 Абиссинский колодец

–––––––
Ранее мы не проверяли этого. Как правило мешают директивы связанные с перенаправлением запросов, такие как:

RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]

RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !^/index.php
RewriteCond %{REQUEST_URI} (/|.php|.html|.htm|.feed|.pdf|.raw|/[^.]*)$ [NC]
RewriteRule (.*) index.php
RewriteRule .* — [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]

20 сентября 2020, 00:50 Отдел технической поддержки хостинга

–––––––
Да вот не вижу, что может мешать, может плохо смотрю (но раньше-то работало всё и .htaccess года 1.5 вообще не трогал)..
Получается, если бы я не обратил внимание на разбухание папки, то сертификат не был бы установлен!!
Через месяц сайт перестал бы работать!! А вдруг в это время я был бы недоступен (например в больнице).. Это всё не правильно.
Вы предоставляете услугу по установке и продлению Let’s Encrypt. Почему же не проверяете, сертификат установлен или нет??
Года 2 назад, я, кстати, на другом аккаунте уже сталкивался с подобной проблемой: Let’s Encrypt на ровном месте не устанавливался, и вручную поддержка его ставила..
20 сентября 2020, 01:29 Абиссинский колодец

–––––––
При необходимости вы можете установить себе напоминание, например на сайте https:// sslshopper.com/ssl-checker.html

Когда подойдет срок истечения сертификата вам придет уведомление на адрес электронной почты в случае если сертификат не будет продлен автоматически.
20 сентября 2020, 02:14 Отдел технической поддержки хостинга

–––––––
У Вас программа принципиально не проверяет что ли?
Зачем мне плодить сущности? Подключать какие-то сторонние сервисы на каждый чих? Во что такой подход выльется со временем — я обрасту кучей какого-то барахла, и даже сам перестану понимать что зачем.. В наше время только и успеваешь следить, чтобы не вляпаться в какие-то навязанные «услуги», иначе утонешь просто..
20 сентября 2020, 09:04 Абиссинский колодец

–––––––
Вероятно, панель управления некорректно отработала задание на выпуск сертификата.
Сейчас проблема не наблюдается, следующий перевыпуск должен произойти корректно.
20 сентября 2020, 13:45 Отдел технической поддержки хостинга

SSL-сертификат (Secure Sockets Layer в переводе с англ. яз. – это уровень защищённых сокетов) – это протокол безопасности для защиты сайта, который обеспечивает конфиденциальность обмена данными между посетителями и самим сайтом.

В этой статье мы будем рассматривать только официальные и легальные способы получения и установки SSL-сертификата безопасности на сайт.

Содержание

• Как получить бесплатный SSL-сертификат
• Где выгоднее купить SSL-сертификат
• Разновидности SSL-сертификатов
• Что такое Let’s Encrypt SSL
• Установка SSL-сертификата на сайт
• Инструкция по установке и настройке SSL-сертификата
• Что делать если забыли продлить SSL-сертификат
• Пошаговая инструкция быстрого восстановления SSL-сертификата

К сравнению возьмём 2 самые крупные и надежные компании-регистраторы REG.RU и NIC.RU. Самый лучший и проверенный способ – бесплатно получить SSL при покупки домена или хостинга.

NIC.RU – он же «RU center» на данный момент (12 июня 2022 года): предоставление бесплатных SSL-сертификатов в рамках акций приостановлено в связи с отказом удостоверяющего центра Digicert выпускать сертификаты для России. Сроки возобновления выпуска в настоящее время не определены.

REG.RU – он же «Регистратор доменных имен РЕГ.РУ» на данный момент до сих пор предоставляет бесплатные SSL-сертификаты при покупки хостинга или домена.

Где выгоднее купить SSL-сертификат

Сравним основные типы SSL-сертификаты. Все нижеприведённые сертификаты подходят для физических и юридических лиц.

Разновидности SSL-сертификатов

Разберёмся в особенностях и типах SSL – почему один сертификат стоит 1 599, а другой 21 900 рублей.

• AlphaSSL – начальный уровень доверия, обеспечивает стандартную безопасность для английских «site.ru» и русских доменов «сайт.рф»
• DomainSSL – дополнительно защищает все поддомены, то есть сайты, которые имеют страницы типа: «poddomen.site.ru» и «поддомен.сайт.рф»
• OrganizationSSL – сертификат, который проверяет и подтверждает организацию, использующую домен без поддержки русских доменов «сайт.рф» (при выпуске необходимо предоставляет юридические документы на компанию)
• ExtendedSSL – расширенный домен, подтверждающий компанию и номер телефона указанный на сайте (требуется полный пакет документов на название компании и соответствие к доменному имени) поддерживает русские домены «сайт.рф»

Для микро-бизнеса и малого бизнеса вполне подойдёт AlphaSSL или DomainSSL если у вас есть поддомены, типа «poddomen.site.ru» или «поддомен.сайт.рф».

Для среднего и крупного бизнеса лучше брать OrganizationSSL или ExtendedSSL, если у вас русский домен типа «сайт.рф».

Что такое Let’s Encrypt SSL

Let’s Encrypt SSL – это временный сертификат, который можно запросить у компании-регистратора после покупки любого из вышеупомянутых SSL. Это делается, чтобы на сайте сразу был SSL до того момента, пока не заработает купленный SSL, а купленный SSL сейчас (12 июня 2022 года) выпускается от 15 до 20 дней из-за задержек на стороне GlobalSign (компания, которая проверяет сайты и выпускает SSL-сертификаты).

Установка SSL-сертификата на сайт

Для установки SSL-сертификата есть специальные инструкции у компаний-регистраторов. Лучше всего обратиться к своему администратору сайта, подрядчику отвечающему за работоспособность сайта или к тому, кто разрабатывал вам сайт.

А также можно заказать услугу по настройке SSL у компании, где вы заказали сертификат, такая услуга стоит от 490 рублей. Если у вас нету ответственного за сайт, тогда лучше всего обратиться за данной услугой, она сэкономит ваше время.

Инструкция по установке и настройке SSL-сертификата

REG.RU – ссылка на подробную и понятную инструкцию »

NIC.RU – ссылка пошаговую инструкцию »

Как проверить правильность установки SSL–сертификата ссылка »

Что делать если забыли продлить SSL-сертификат

Сейчас SSL-сертификаты выпускаются дольше обычного (10-15 дней), на практике это может занять 1-2 месяца. Раньше время выпуска было 3-5 дней, идёт задержка при проверке российских сайтов (со стороны зарубежной компании, удостоверяющего центра – GlobalSign).

Если вам нужно срочно поставить SSL-сертификат – можно установить временный (предварительно купить один из платных и заказать выпуск).

Временный SSL-сертификат у компании reg.ru как раз таки называется Let’s Encrypt SSL. Заказать временный бесплатный SSL можно через техподдержку хостинга (регистратора доменного имени reg.ru).

Пошаговая инструкция быстрого восстановления SSL-сертификата

1. Заказываете новый (один из платных) SSL-сертификатов, например в reg.ru
2. Сразу пишите в поддержку reg.ru с просьбой о выпуски временного Let’s Encrypt SSL – вам его установят в течении 1-3 дней
3. После пишите в компанию GlobalSign на электронную почту support@globalsign.com, которая проводит проверку сайта с номером заказа (от регистратора) с просьбой об ускоренной проверке, образец письма: «Здравствуйте! Уточните, пожалуйста, на какой стадии находится проверка по выпуску SSL-сертификата для site.ru – Order ID CEAP220*******09. Просьба ускорить процесс проверки, наш сайт соответствует всем требованиям для выпуска SSL-сертификата»
4. Как только платный SSL-сертификат будет выпущен – замените на него временный (по инструкции reg.ru)

Это всё желательно делать быстро, в особенности 1 и 2 пункт – про временный SSL-сертификат, для того чтобы сайт не пропал из поисковой выдачи (не просел по SEO)… если он, конечно, ранее продвигался.

• Что такое SEO простыми словами https://key-client.ru/chto-takoe-seo
• Услуга SEO-продвижение сайта в поисковых системах https://key-client.ru/seo-prodvizhenie

Не потеряйте нас, подпишитесь на дайджест
и сразу получите: «10 лайфхаков по привлечению клиентов»