Адреса панели Сертификаты

Материал из ISPWiki
Перейти к: навигация, поиск

В этом разделе вы можете добавить SSL-сертификаты для адресов или доменного имени (необходима поддержка Server Name Indication) панели.

SSL-сертификаты для адресов панели необходимы для того, чтобы можно было зайти в панель управления через протокол https используя IP-адрес или доменное имя.

Модуль «Адреса панели - Сертификаты»
T-back.png Возврат на предыдущую страницу
T-bullet.png Список сертификатов адресов панели
T-new.png Добавить сертификат панели
T-delete.png Удалить сертификат адреса панели

Список сертификатов адресов панели

  • Доменное имя - доменные имена, для которых выпущен сертификат. Отображается доменное имя и альтернативные имена (если они есть).
  • IP-адрес - адрес панели, к которому привязан сертификат.
  • Статус - графический индикатор статуса:
P-lt3.png - IP-адрес домена соответствует IP-адресу панели
P-lt4.png - Домен ведет на IP-адрес, который не совпадает с выбранным
P-lt4.png - Домен ведет на IP-адрес, который отсутствует на сервере
P-lt4.png - Домен ведет на IP-адрес, который отсутствует среди адресов панели
P-lt4.png - Домен ведет на IP-адрес, который отсутствует на сервере и среди адресов панели
P-tick-grey.png - Домен не существует или ведет на неизвестный IP-адрес

Добавить сертификат панели

Чтобы добавить новый сертификат необходимо перейти в раздел Адреса панели -> Сертификаты нажать кнопку Добавить.

Let’s Encrypt сертификат

Данная возможность доступна с версии 5.124.

Let’s Encrypt – некоммерческий удостоверяющий центр, который предоставляет бесплатные X.509 сертификаты для TLS шифрования с помощью автоматизированного процесса, без обычного сложного процесса ручного создания, проверки, подписи, установки и обновления сертификатов для защищённых доменных имен.

Официальный сайт сервиса: Let’s Encrypt.

Let’s Encrypt имеет основные ограничения:

  • Можно заказать только 5 сертификатов в неделю (TLD, включая его поддомены).
  • Не поддерживаются wildcard сертификаты.
  • Срок действия Let’s Encrypt сертификата 3 месяца (каждые 3 месяца будет выполнятся перевыпуск Let’s Encrypt сертификатов).

Существуют и другие ограничения. Подробнее в документации об ограничениях.

Перед добавлением сертификата Let’s Encrypt нужно убедиться, что доменное имя ведет на существующий IP-адрес панели, так как при добавлении сертификата Let’s Encrypt будет выполнена проверка, что вы являетесь владельцем домена.

При заказе сертификата в директории

/usr/local/mgr5/www/letsencrypt/.well-known/acme-challenge

создается файл с токеном и данными для проверки. Сервис проверки Let’s Encrypt выполняет запрос по доменному имени и считывает этот токен.

После успешной выдачи сертификата для продления выпущенного сертификата добавляется задание в планировщик, которое будет проверять необходимость продления сертификата:

0 0 * * * "/usr/local/mgr5/etc/scripts/acmesh"/acme.sh --cron --home "/usr/local/mgr5/etc/scripts/acmesh" > /dev/null

При выпуске нескольких сертификатов для доменных имен третьего уровня и выше может возникнуть ошибка выпуска сертификата на большое количество поддоменов. Данное ограничение Let’s Encrypt позволяет продолжить выдачу сертификатов спустя некоторое время (обычно в пределах суток).

Поддерживается работа совместно с веб-сервером Apache и Nginx. Если никакой веб сервер не запущен, то запускается встроенный сервер, который будет принимать запросы от Let’s Encrypt во время проверки домена.

Let’s Encrypt сертификат

Существующий сертификат

При добавлении существующего сертификата соответствие домена и IP-адреса не проверяется. В случае не соответствия доменного имени и IP-адреса такой сертификат в списке будет отмечен соответствующего пиктограммой.

Cуществующий сертификат
  • Тип сертификата - тип сертификата, который необходимо заказать.
    • Let’s Encrypt сертификат
    • Существующий сертификат
  • Доменное имя сертификата - доменное имя, для которого будет выпущен сертификат. При использовании существующего сертификата доменное имя будет взято из него.
  • IP-адрес - адрес панели к которому будет привязан сертификат.
  • SSL сертификат - укажите SSL сертификат, который вы хотите использовать.
  • Ключ SSL сертификата - укажите ключ для вашего SSL-сертификата.
  • Цепочка SSL-сертификатов - укажите цепочку SSL-сертификатов, которая будет добавлена в файл сертификата.

Server Name Indication

Если операционная система поддерживает Server Name Indication существует возможность создать несколько сертификатов на различные доменные имена. При обращении к панели по доменному имени будет использоваться сертификат, соответствующий этому доменному имени.

Server Name Indication поддерживают операционные системы:

  • CentOS с версии 7.
  • Debian с версии 8.
  • Ubuntu с версии 16.04

Поддерживаются сертификаты с альтернативными доменными именами.

Удалить сертификат адреса панели

Для удаления сертификата нажмите кнопку Удалить. После этого выбранный сертификат будет удален. Для IP-адреса будет использоваться самоподписанный сертификат по умолчанию.