Tento návod ukazuje, jak nainstalovat balík certbot a pomocí něho aktivovat Let’s Encrypt certifikát na Virtuálním Serveru (dále VPS). V případě potřeby garance SSL certifikátu, nebo potřeby úpravy CSR si prohlédněte naši nabídku placených SSL certifikátů.
Předpoklady
Pro úspěšnou instalaci SSL certifikátu podle tohoto návodu je potřeba splnit nasledovná kritéria:
- VPS s operačním systémem Ubuntu 12.04, Ubuntu 14.04, Ubuntu 16.04 nebo Ubuntu 18.04
- Webový server Apache
- Administrátorská privilegia na server (root nebo sudo)
Před začátkem instalace SSL certifikátu doporučujeme vytvořit snapshot Vašeho VPS.
Instalace balíčku certbot
Let’s Encrypt certifikáty jsou většinou nahrávané na server balíčky. Oficiálním balíčkem je Certbot – který je pravidelně aktualizovaný a na operačním systému Ubuntu podporovaný.
Prvním krokem je přidání repozitáře balíčku certbot, který potvrdíte klávesou ENTER:
sudo add-apt-repository ppa:certbot/certbotNásledně je potřebný update repozitářů pomocí příkazu:
sudo apt-get updatePoslední krok je instalace certbot balíčku pro webový server Apache, pomocí příkazu:
sudo apt-get install python-certbot-apachePokud všechno proběhne bez chybových hlášek, balík Certbot je připravený.
Získaní SSL certifikátu
SSL certifikát za vás vygeneruje balíček Certbot. Proces generování se skládá z:
- ověření domény (je potřeba mít doménu správně nasměrovanou DNS A záznamem na VPS)
- registrace e-mailu (volitelné, je možné přeskočit tuto možnost)
- vydání certifikátu
Pro získání certifikátu pro doménu example.com je možné použít následovný příkaz
certbot --apache -d example.com
Nebo příkaz bez registrace e-mailu (pozn., možnost –register-unsafely-without-email je možné použít i při více doménách):
certbot --apache -d example.com --register-unsafely-without-email
Na konci procesu je možné zvolit, jestli si přejete, aby Certbot automaticky přesměrovával doptávky na vaši doménu přes protokol https:// (možnost 1) nebo ponechal aktuální nastavení (možnosť 2). Následně je certifikát vygenerovaný.
V případě generování certifikátu pro subdomény je možné použít následovný formát, vždy však pouze s jednou doménou prvního stupně (v tomto případě example.com):
certbot --apache -d example.com -d www.example.com -d subdomain.example.com
Po úspěšné instalaci se certifikáty nacházejí ve složce /etc/letsencrypt/live
Kontrolu SSL certifikátu je možné vykonat například přes stránku: https://www.sslshopper.com/ssl-checker.html
Doporučujeme také otestovat Váš web přes https:// protokol (otevřením https://example.com/ v prohlížeči).
Automatická obnova certifikátu
Platnost všech Let’s Encrypt certifikátů je 90 dní. Po této době je potřeba certifikát obnovit. Certbot balík dělá obnovu certifikátů automaticky, vytvořením CRON úkolu ve složce /etc/cron.d, který obnovuje všechny certifikáty s platností kratší než 30 dní.
V případě potřeby manuálního obnovení certifikátu je možné zkontrolovat funkčnost pomocí příkazu:
sudo certbot renew --dry-runPokud je výstup bezchybový, je možné použít příkaz bez parametru –dry-run.