раздел 05
Шпаргалка
Всё главное на одной странице. Команды выполняют с правами администратора (sudo).
Основные команды
| Команда | Что делает |
|---|---|
certbot --nginx | Получить сертификат и автоматически настроить HTTPS в nginx |
certbot certonly --standalone | Получить сертификат без веб-сервера (Certbot сам поднимет временный на порту 80) |
certbot renew | Продлить сертификаты, которым скоро истекать |
certbot renew --dry-run | Тестовый прогон продления - проверить, что автопродление работает, без траты лимитов |
certbot certificates | Показать список выпущенных сертификатов и сроки их действия |
certbot delete | Удалить сертификат |
Чек-лист перед выпуском
- A-запись домена указывает на IP вашего сервера
- Порт 80 открыт (нужен для проверки HTTP-01)
- Порт 443 открыт (по нему работает сам HTTPS)
- Изменения DNS уже разошлись (если меняли запись только что - подождите)
- Сначала прогон через
--dry-run, и только потом реальный выпуск - чтобы не упереться в rate limits
Глоссарий
- HTTPS - защищённая версия протокола сайта: соединение между браузером и сервером зашифровано, в адресе виден замок.
- SSL/TLS-сертификат - цифровой «паспорт» домена, благодаря которому браузер доверяет сайту и включает HTTPS.
- CA (центр сертификации) - доверенная организация, которая выдаёт сертификаты. Здесь это Let's Encrypt.
- ACME - протокол, по которому Certbot общается с центром: запрашивает сертификат и проходит проверку.
- Challenge (проверка) - способ доказать владение доменом: HTTP-01 (файл на сайте по порту 80) или DNS-01 (TXT-запись в DNS).
- Wildcard - сертификат сразу на все поддомены вида
*.example.com; выдаётся только через проверку DNS-01.
Куда дальше
- Домены и DNS - как направить домен на сервер и настроить записи
- Подключение к серверу - как зайти на VPS, чтобы выполнить команды
- Хостинг на Selectel - где поднять сам сервер