Certbot является одним из инструментов, позволяющих сгенерировать и установить на сервер бесплатный SSl-сертификат от LetsEncrypt. В данной статье рассматривается процедура установки сертификата на Centos9 - основной ОС для BitrixVM.

Шаг 1: Установите обновления системы

sudo dnf update -y

Шаг 2: Установите Nginx

sudo dnf install nginx -y

Шаг 3: Установите Certbot

sudo dnf install certbot python3-certbot-nginx -y

Шаг 4: Откройте порты для HTTPS

sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --reload

Шаг 5: Настройте Certbot

sudo certbot --nginx

Шаг 6: Введите ваш e-mail

После ввода команды выше вам будет предложено ввести ваш e-mail, где будут отправляться уведомления о срочном обновлении сертификата и важной безопасности. Введите ваш e-mail и нажмите Enter:

# Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Enter email address (used for urgent renewal and security notices)
(Enter 'c' to cancel): adminwin@mail.ru

Шаг 7: Прочтите и подтвердите лицензионное соглашение

После ввода e-mail вам будет предложено ознакомиться и подтвердить лицензионное соглашение. Нажмите «Y», чтобы согласиться:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server. Do you agree?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y

Шаг 8: Откажитесь от публикации e-mail

После этого вам будет предложено решить, хотите ли вы делиться своим e-mail с Electronic Frontier Foundation. Для отказа нажмите «N»:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - 
Would you be willing, once your first certificate is successfully issued, to
share your email address with the Electronic Frontier Foundation, a founding
partner of the Let's Encrypt project and the non-profit organization that
develops Certbot? We'd like to send you email about our work encrypting the web,
EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: N
Account registered.

Шаг 9: Выбор сайта

Теперь вам нужно выбрать сайт, для которого нужно активировать SSL сертификат. На экране будет отображаться список доступных сайтов. Введите номер сайта, для которого хотите установить SSL:

Which names would you like to activate SSL for?
   1: example.com
   2: www.example.com
   3: example.org
   4: www.example.org
   Enter your choice (1,2,3,4):

Шаг 10: Проверьте конфигурацию Nginx

sudo nginx -t

Шаг 11: Автоматический перевыпуск сертификата

Let's Encrypt сертификаты действительны 90 дней. Чтобы автоматизировать процесс перевыпуска сертификатов, можно настроить cron-задачу для автоматического обновления. Введите следующую команду, чтобы настроить автоматическое обновление:

sudo crontab -e

Добавьте в crontab следующую строку для автоматического обновления сертификата каждую неделю:

0 0 * * 0 certbot renew --quiet

Это гарантирует, что сертификат будет автоматически обновляться каждое воскресенье в полночь. Вы также можете проверить работу cron задачи с помощью команды:

sudo systemctl status cron