При работе с интернет-магазинами, продвигающимися на всю Россию через региональные поддомены, приходится прибегать к установке wildcard-сертификатов. В этой статье я опишу простой способ установки такого сертификата на виртуальную машину BitrixVM.
Содержание
Что нужно для установки сертификата
- SSH/SFTP-доступ к серверу с правами пользователя root
- Доступ к редактированию DNS-записей домена
Получение wildcard сертификата Let’s Encrypt
Для получения SSL-сертификатов Let’s Encrypt я пользуюсь онлайн-сервисом SSL For Free.
- Вводим на главной странице сервиса адреса доменов, на которые нужно получить SSL-сертификат. Если нам нужен wildcard-сертификат, то вводить следует site.ru, *.site.ru — т.е. сертификат для основного домена и для всех поддоменов без ограничений.
- После этого нас попросят подтвердить права на домен путем добавления двух DNS-записей с определенными значениями. Заходим в панель управления DNS и добавляем их.
- После обновления DNS нажимаем на «Download SSL Certificate» и скачиваем архив с тремя файлами: certificate.crt, ca_bundle.crt, private.key
Установка wildcard-сертификата на BitrixVM
- Подключаемся к виртуальной машине по SFTP (или любым другим доступным способом) и копируем полученные файлы certificate.crt, ca_bundle.crt, private.key в /etc/nginx/certs/
- Подключаемся к виртуальной машине по SSH под пользователем root и попадаем в консольный интерфейс управления сервером
- Переходим в «8. Manage pool web servers» → «3. Configure certificates»→ «2. Configure own certificate»
- Следуя подсказкам системы прописываем сначала имя сайта для установки сертификата, а затем полные пути к файлам сертификата. Если они были скопированы в /etc/nginx/certs/, то нужно указывать /etc/nginx/certs/private.key, /etc/nginx/certs/certificate.crt, /etc/nginx/certs/ca_bundle.crt соответственно
- Дожидаемся завершения установки сертификата и проверяем его работу на сайте
Готово. Через 3 месяца потребуется перевыпустить сертификат и повторить вышеописанные действия для его повторной установки. Теоретически возможно автоматизировать выдачу и установку wildcard-сертификатов так же, как и выдачу и установку обычных сертификатов Let’s Encrypt, но на практике это сопряжено с определенными трудностями и не всегда оправдано. Проще раз в три месяца переустанавливать сертификат вручную.