Главная
   Документация
      Asterisk
      CentOS
      Debian
      Docker
      FreeBSD
      MySQL
      openHAB
      PostgreSQL
      Raspberry Pi
      Ubuntu
      WWW
      zoneminder
      Разное




Главная Документация WWW › Получаем SSL сертификаты от Let's Encrypt при помощи acme.sh.

Получаем SSL сертификаты от Let's Encrypt при помощи acme.sh.

Автор:

Статья написана 2019-02-13 11:58:29
Последние правки 2019-02-21 20:53:35

Let's Encrypt - центр сертификации от некоммерческой организации ISRG, существующий при поддержке EFF и многих компаний, взявшей на себя миссию дать людям бесплатные SSL/TLS сертификаты для сайтов и серверов. Хотя сам LE в качестве клиента рекомендует использовать certbot, могут возникнуть сложные случаи, где certbot, увы, бесполезен. В этом случае нам поможет acme.sh.


  • Исходные данные
    $ uname -sr
    FreeBSD 11.2-RELEASE-p5
    $ pkg info | grep acme.sh
    acme.sh-2.7.9_1                ACME protocol client written in shell
    
    Тип получаемого сертификата: wildcard. Это означает, что проверка владения доменом определяется только через DNS;
    DNS-сервера: размещены у регистратора r01.ru. Изменения зон на DNS-серверах этого регистратора производятся в течение 40 минут.


  • acme.sh - установка
    # cd /usr/ports/security/acme.sh
    # make install clean
    
    Настройки в процессе установки:
    [ ] BINDTOOLS   Depend on bind-tools for nsupdate
    [x] DOCS        Build and/or install documentation
    [ ] STANDALONE  Standalone mode requires SOCAT
    ─────────────────────────────────── HTTP ─────────────────────────────────
    (*) CURL        Depend on cURL for HTTP(S) queries
    ( ) WGET        Depend on Wget for HTTP(S) queries
    


  • Выпуск сертификата вручную
    Для тех, кто забыл, напоминаю: зона расположена у регистратора r01.ru, у которого данные на dns серверах обновляются в течение 40 минут.
    # acme.sh --issue -d mysite.com -d *.mysite.com --dns dns_show --dnssleep 2500
    
    --dnssleep 2500 - задержка в ~41 минуту
    В процессе нас попросят добавить в зону mysite.com две текстовые записи _acme-challenge. Добавляем, как и просят, ДВЕ записи, с разным содержимым.
    Ждем 41 минуту.
    Затем:
    # acme.sh --renew -d mysite.com -d *.mysite.com
    
    Мы делали операции от root, поэтому сертификаты ищем в /root/.acme.sh


  • DNS API hook для r01.ru
    У меня все же дошли руки написать hook для автоматического добавления записей на dns сервера регистратора r01.ru через их SOAP API. acme.sh предполагает использование интерпретатора sh, я с SOAP умею работать только через perl, поэтому получилось то, что получилось. Я знаю, что нет предела совершенству, в том числе и в вылизывании кода, но мой вполне себе работает (а больше от него ничего не надо).
    Итак.

    Файл /root/.acme.sh/dns_r01.sh:
    #!/usr/bin/env sh
    
    ########################################################################
    # r01.ru API hook script for acme.sh
    #
    # Author: Skull
    # Site: http://www.site-motor.ru/
    
    #-- dns_r01_add() - Add TXT record --------------------------------------
    # Usage: dns_r01_add _acme-challenge.subdomain.domain.com "XyZ123..."
    
    dns_r01_add() {
      _full_domain=$1
      _txt_value=$2
      _info "Using r01.ru DNS API hook"
      /root/.acme.sh/dnsapi/r01-add.pl $1 $2
    }
    
    #-- dns_r01_rm() - Remove TXT record ------------------------------------
    # Usage: dns_r01_rm _acme-challenge.subdomain.domain.com "XyZ123..."
    
    dns_r01_rm() {
      _full_domain=$1
      _txt_value=$2
      _info "Cleaning up after use r01.ru DNS API hook"
      /root/.acme.sh/dnsapi/r01-rm.pl $1
    }
    
    Как видите, я из sh-скрипта тупо передаю все в perl-скрипт.

    Файл /root/.acme.sh/dnsapi/r01-add.pl:
    #!/usr/bin/env perl
    use strict;
    use warnings;
    use SOAP::Lite;
    use HTTP::Cookies;
    $|=1;
    
    my $user = '';
    my $pass = '';
    
    my $domain = $ARGV[0];
    $domain =~ s/^_acme-challenge\.//;
    my $record = $ARGV[1];
    
    
    print "DOMAIN:\t$domain\n";
    print "DNS:\t_acme-challenge=$record\n";
    
    
    my $soap = SOAP::Lite->new(
        user_agent => 'RegbaseSoapInterfaceClient',
        default_ns => 'urn:RegbaseSoapInterface'
    );
    $soap->proxy(
        'https://partner.r01.ru:1443/partner_api.khtml',
        cookie_jar => ( HTTP::Cookies->new(
            autosave => 1,
            ignore_discard => 1
        ))
    );
    
    
    # логин
    my $login = $soap->logIn($user,$pass);
    die 'logIn() ERROR ==> '.$login->faultstring if ($login->fault);
    print 'logIn() ',$login->result->{status}{code},': ',$login->result->{status}{name},"\n";
    $soap->set_cookie('SOAPClient',$login->result->{status}{message});
    
    
    # добавляем запись _acme-challenge
    my $params =
        SOAP::Data->value(
            SOAP::Data->name('domain' => uc($domain)),
            SOAP::Data->name('type_record' => 'TXT'),
            SOAP::Data->name('params' => \SOAP::Data->value(
                SOAP::Data->name('owner' => '_acme-challenge'),
                SOAP::Data->name('data' => $record),
            ))
    );
    my $ret = $soap->addNewRrRecord($params);
    die 'addNewRrRecord() ERROR ==> '.$ret->faultstring if ($ret->fault);
    print 'addNewRrRecord() ',$ret->result->{status}{code},': ',$ret->result->{status}{name},"\n";
    
    exit;
    
    $user, $pass - здесь надо задать логин и пароль для API r01.ru

    Файл /root/.acme.sh/dnsapi/r01-rm.pl:
    #!/usr/bin/env perl
    use strict;
    use warnings;
    use SOAP::Lite;
    use HTTP::Cookies;
    $|=1;
    
    my $user = '';
    my $pass = '';
    
    my $domain = $ARGV[0];
    $domain =~ s/^_acme-challenge\.//;
    print "DOMAIN:\t$domain\n";
    
    
    my $soap = SOAP::Lite->new(
        user_agent => 'RegbaseSoapInterfaceClient',
        default_ns => 'urn:RegbaseSoapInterface'
    );
    $soap->proxy(
        'https://partner.r01.ru:1443/partner_api.khtml',
        cookie_jar => ( HTTP::Cookies->new(
            autosave => 1,
            ignore_discard => 1
        ))
    );
    
    
    # логин в систему
    my $login = $soap->logIn($user,$pass);
    die 'logIn() ERROR ==> '.$login->faultstring if ($login->fault);
    print 'logIn() ',$login->result->{status}{code},': ',$login->result->{status}{name},"\n";
    $soap->set_cookie('SOAPClient',$login->result->{status}{message});
    
    
    # читаем записи домена
    my $records = $soap->getRrRecords(uc($domain));
    die 'getRrRecords() ERROR ==> '.$records->faultstring if ($records->fault);
    print 'getRrRecords() ',$records->result->{status}{code},': ',$records->result->{status}{name},"\n";
    
    for my $el (@{$records->result->{data}}){
        if($el->{owner} eq '_acme-challenge'){
            # удаляем запись
            my $ret = $soap->deleteRrRecord($el->{id});
            die 'deleteRrRecord() '.$el->{id}.' ERROR ==> '.$ret->faultstring if ($ret->fault);
            print 'deleteRrRecord() ',$ret->result->{status}{code},': ',$ret->result->{status}{name},"\n";
        }
    }
    
    # выход из системы
    my $logout = $soap->call('logOut');
    
    exit;
    
    $user, $pass - здесь надо задать логин и пароль для API r01.ru

    Не забываем все файлы сделать исполняемыми (chmod +x)


  • Выпуск сертификата в автоматическом режиме
    # acme.sh --issue -d mysite.com -d *.mysite.com --dns dns_r01 --dnssleep 2500
    
    В результате записи _acme-challenge будут автоматически добавлены в dns, но в процессе придется сидеть и ждать 2500 секунд. После чего записи в dns также автоматически будут удалены и вы станете счастливым обладателем wildcard-сертификата.


  • Автоматический перевыпуск сертификатов
    Для перезапуска после обновления, например, nginx, необходимо сделать следующее:
    - открываем файл /root/.acme.sh/mysite.com/mysite.com.conf;
    - ищем там строчку Le_RenewHook='' и меняем её (или добавляем новую):
    Le_RenewHook='/usr/local/etc/rc.d/nginx restart'
    
    Для root в cron добавляем:
    34 1 * * * /usr/local/sbin/acme.sh --cron > /dev/null
    
    34 - минута запуска, поменяйте на другое число от 0 до 59
    1 - час запуска, поменяйте на другое число от 0 до 23


  • nginx - пути к сертификатам для добавления в блок server
    ssl_certificate /root/.acme.sh/mysite.com/fullchain.cer;
    ssl_certificate_key /root/.acme.sh/mysite.com/mysite.com.key;
    


  • Посмотреть данные сертификата
    # openssl x509 -in cert.pem  -noout -text
    


Связанные странички:
Получаем SSL сертификаты от Let's Encrypt при помощи certbot.
Установка Ansible на Ubuntu 18.04
Установка Docker на FreeBSD
Обновление ядра и мира в FreeBSD 10.2
FreeBSD ошибка libicui18n.so.XX not found
ClamAV - установка на сервере FreeBSD
Сервисы в Ubuntu
Docker, установка в Ubuntu
Обновление исходного кода FreeBSD 10.1
FreeBSD, установка и настройка courier-imap