Как получить сертификат от LetsEncrypt

[uberchel]

Для IP адреса LetsEncrypt, cloudflare не подойдут! Самое простое, что можно сделать для IP это купить Public IP SSL, а вообще для IP Используются Positive SSL и Organization SSL - все они платные.

[p51x]

Цитата:

Сообщение от uberchel

cloudflare не подойдут

Причем тут cloudflare? Где ТС хоть раз упомянал cloudflare? Вы тему читали или еще один одаренный что-то там себе придумал?

[uberchel]

Цитата:

Сообщение от p51x

Причем тут cloudflare? Где ТС хоть раз упомянал cloudflare? Вы тему читали или еще один одаренный что-то там себе придумал?

В ветке был вариант про cloudflare, хоть и не от ТС. Поэтому я сразу написал с чем выйдет, а с чем нет.

Пойкрайней мере я дал ответ, в не флеймил как при месячных в теме.

[Vapaamies]

Цитата:

Сообщение от LUN2

Мне нужно получить сертификат SSL для отладки самописного сервера, к которому браузер должен обращаться по SSL. У сервера не будет как такового доменного имени - к нему будут обращаться по IP
Скачал certbot, но не понимаю, с какими параметрами его запускать.
Сначала запускал с certonly, но что далее выбирать - webroot или standalone ?
И какое дальше доменное имя вводить, если этого имени не будет ?

Недавно я получал сертификат для своего сайта и думаю, что разобрался уже достаточно, чтобы давать советы другим. Есть также такое описание, в которое можно подглядывать, если я вдруг окажусь неправ. Сам я получал сертификат на домен через веб-API, предоставляемое регистратором, поэтому рассуждения о методах являются умозрительными.

Как понял, получить сертификат можно не только на домен, но и на IP. Очевидно, что IP должен быть внешним — доступным УЦ для проверки. Получить сертификат на IP 127.0.0.1 или 192.168.1.1 не выйдет.

Немного теории. Процесс выпуска сертификата удостоверяющим центром предполагает подтверждение прав на домен или IP — чтобы никакой левый чел не получил сертификат на ваш ресурс и не стал мошенничать. В целом, процесс аналогичен подтверждению прав на сайт в системах веб-аналитики типа «Яндекс.Вебмастера» или аналогичной гугловской: через TXT-записи домена, файлы в корневом каталоге веб-сервера и пр. Это и есть методы dns, webroot, alpn... Сам я, как писал выше, пользовался методом dns, в качестве параметра передавая скрипт с реализацией API добавления/удаления TXT-записей домена, предоставленный регистратором.

По совету ЧаВо регистратора я пользовался реализацией ACME под именем acme.sh. Запускал под Windows при помощи MSYS, взятой из дистрибутива Git. Нужен Git с полной подсистемой MSYS, сборка на основе BusyBox не подходит. Если Git уже стоит в системе, можно запустить скрипт как напрямую из командной строки Windows, так и предварительно войдя в консоль MINGW. Можно, наверное, воспользоваться WSL — не знаю, какие пакеты или компоненты ей понадобятся.

Код:

:: напрямую
sh acme.sh

# из консоли MINGW/WSL
acme.sh

Далее уже чистые рассуждения, пробовать самому неохота.

Как понимаю, метод webroot означает проверку через файлы в корневом каталоге веб-сервера. Непонятно, каким образом они должны там появиться — то есть, требует ли УЦ доступ на запись. В процессе проверки скрипт по-любому будет писать имена файлов, которые должны быть, и ждать потом несколько секунд, — так что их можно будет создать на лету, прямо в процессе проверки.

Мое внимание привлек также метод alpn — поднятие скриптом собственного веб-сервера на проверяемом IP или домене. Возможно, это самый простой способ проверки — в случае, если всё предельно автоматизировано и ничего вручную делать не придется. Очевидно, что при выборе этого метода непременно нужно остановить основной веб-сервер — чтобы освободить порты 80 и 443.

Вначале мне понадобилось зарегистрировать учетку — скрипт создает служебные файлы в %AppData% (не понял, обязателен ли данный шаг):

Код:

acme.sh --register-account -m my@email

После этого команда получения сертификата будет выглядеть примерно так:

Код:

acme.sh --issue -k 4096 --days 100 --cert-file "new-cert.pem" --key-file "new-key.pem" --ca-file "new-ca.pem" --alpn -d my.domain.or.ip

По умолчанию сертификат подписывается ключом ec-256 — мой веб-сервер его не распознает. Параметр -k 4096 заставляет подписывать ключом RSA длиной 4096 бит.

По умолчанию сертификат выписывается всего на 60 дней, параметр --days 100 позволяет получить сертификат ровно на 3 месяца. Больше нельзя, увы. Сертификаты на долгий срок платные.

Сертификат выписывает не Let's Encrypt (R3), а какая-то другая организация под названием ZeroSSL. Наверное, можно выбрать УЦ при помощи параметра, но я не парился. Сертификат валиден, браузер его принимает. Что еще надо?