Tento návod ukazuje, ako nainštalovať balík certbot a pomocou neho aktivovať Let’s Encrypt certifikát na Virtuálnom Serveri (ďalej VPS). V prípade potreby garancie SSL certifikátu, alebo potreby úpravy CSR si pozrite našu ponuku platených SSL certifikátov.
Predpoklady
Na úspešnú inštaláciu SSL certifikátu podľa tohto návodu je potrebné splniť nasledovné kritériá:
- VPS s operačným systémom Ubuntu 12.04, Ubuntu 14.04, Ubuntu 16.04, Ubuntu 18.04 alebo Ubuntu 20.04
- Webový server Apache
- Administrátorské privilégiá na server (root alebo sudo)
Pred začatím inštalácie SSL certifikátu odporúčame vytvoriť snapshot Vášho VPS.
Let’s Encrypt certifikáty sú zvyčajne nahrávané na server balíkmi. Oficiálnym balíkom je Certbot – ktorý je pravidelne aktualizovaný a na operačnom systéme Ubuntu podporovaný.
Inštalácia balíka certbot pre staršie verzie ubuntu
Následujúce postup platí pre Ubuntu 12.04, Ubuntu 14.04, Ubuntu 16.04 a Ubuntu 18.04.
Prvým krokom je pridanie repozitára balíka certbot, ktorý potvrdíte klávesou ENTER:
sudo add-apt-repository ppa:certbot/certbotNásledne je potrebný update repozitárov pomocou príkazu:
sudo apt-get updatePosledný krok je inštalácia certbot balíka pre webový server Apache, pomocou príkazu:
sudo apt-get install python-certbot-apacheAk všetko prebehne bez chybových hlášok, balík Certbot je pripravený.
Inštalácia balíka certbot pre ubuntu 20.04
Spravte update repozitárov pomocou príkazu:
sudo apt-get updateNásledne je potrebná inštalácia certbot balíka pre webový server Apache, pomocou príkazu:
sudo apt-get install python3-certbot-apacheAk všetko prebehne bez chybových hlášok, balík Certbot je pripravený.
Získanie SSL certifikátu
SSL certifikát za vás vygeneruje balík Certbot. Proces generovania sa skladá z:
- verifikácie domény (je potrebné mať doménu správne nasmerovanú DNS A záznamom na VPS)
- registrácie e-mailu (voliteľné, je možné preskočiť túto možnosť)
- vydanie certifikátu
Pre získanie certifikátu pre doménu example.com je možné použiť nasledovný príkaz
certbot --apache -d example.com
Alebo príkaz bez registrácie e-mailu (pozn., možnosť –register-unsafely-without-email je možné použiť aj pri viacerých doménach):
certbot --apache -d example.com --register-unsafely-without-email
Na konci procesu je možné zvoliť, či si želáte aby Certbot automaticky presmerovával dopyty na vašu doménu cez protokol https:// (možnosť 1) alebo ponechal aktuálne nastavenia (možnosť 2). Následne je certifikát vygenerovaný.
V prípade generovanie certifikátu pre subdomény je možné použiť nasledovný formát, vždy však iba s jednou doménou prvého stupňa (v tomto prípade example.com):
certbot --apache -d example.com -d www.example.com -d subdomain.example.com
Po úspešnej inštalácií sa certifikáty nachádzajú v priečinku /etc/letsencrypt/live
Kontrolu SSL certifikátu je možné vykonať napríklad cez stránku: https://www.sslshopper.com/ssl-checker.html
Odporúčame taktiež otestovať Váš web cez https:// protokol (otvorením https://example.com/ v prehliadači).
Automatická obnova certifikátu
Platnosť všetkých Let’s Encrypt certifikátov je 90 dní. Po tejto dobe je potrebné certifikát obnoviť. Certbot balík robí obnovu certifikátov automaticky, vytvorením CRON úlohy v priečinku /etc/cron.d, ktorý obnovuje všetky certifikáty s platnosťou kratšou ako 30 dní.
V prípade potreby manuálneho obnovenia certifikátu, je možné skontorlovať funkčnosť pomocou príkazu:
sudo certbot renew --dry-runPokiaľ je výstup bezchybový je možné použiť príkaz bez parametra –dry-run.