Установка wildcard SSL-сертификата от Let’s Encrypt на BitrixVM

При работе с интернет-магазинами, продвигающимися на всю Россию через региональные поддомены, приходится прибегать к установке wildcard-сертификатов. В этой статье я опишу простой способ установки такого сертификата на виртуальную машину BitrixVM.

Что нужно для установки сертификата

1. SSH/SFTP-доступ к серверу с правами пользователя root
2. Доступ к редактированию DNS-записей домена

Получение wildcard сертификата Let’s Encrypt

Для получения SSL-сертификатов Let’s Encrypt я пользуюсь онлайн-сервисом SSL For Free.

1. Вводим на главной странице сервиса адреса доменов, на которые нужно получить SSL-сертификат. Если нам нужен wildcard-сертификат, то вводить следует site.ru, *.site.ru — т.е. сертификат для основного домена и для всех поддоменов без ограничений.
2. После этого нас попросят подтвердить права на домен путем добавления двух DNS-записей с определенными значениями. Заходим в панель управления DNS и добавляем их.
3. После обновления DNS нажимаем на «Download SSL Certificate» и скачиваем архив с тремя файлами: certificate.crt, ca_bundle.crt, private.key

Установка wildcard-сертификата на BitrixVM

1. Подключаемся к виртуальной машине по SFTP (или любым другим доступным способом) и копируем полученные файлы certificate.crt, ca_bundle.crt, private.key в /etc/nginx/certs/
2. Подключаемся к виртуальной машине по SSH под пользователем root и попадаем в консольный интерфейс управления сервером
3. Переходим в «8. Manage pool web servers» → «3. Configure certificates»→ «2. Configure own certificate»
4. Следуя подсказкам системы прописываем сначала имя сайта для установки сертификата, а затем полные пути к файлам сертификата. Если они были скопированы в /etc/nginx/certs/, то нужно указывать /etc/nginx/certs/private.key, /etc/nginx/certs/certificate.crt, /etc/nginx/certs/ca_bundle.crt соответственно
5. Дожидаемся завершения установки сертификата и проверяем его работу на сайте

Готово. Через 3 месяца потребуется перевыпустить сертификат и повторить вышеописанные действия для его повторной установки. Теоретически возможно автоматизировать выдачу и установку wildcard-сертификатов так же, как и выдачу и установку обычных сертификатов Let’s Encrypt, но на практике это сопряжено с определенными трудностями и не всегда оправдано. Проще раз в три месяца переустанавливать сертификат вручную.