Автоматическое извлечение SSL-сертификатов Let’s Encrypt с помощью Certbot в Ubuntu 18.04 | 8HOST.COM

Использование acme.sh и основные команды

В этом разделе я покажу некоторые из наиболее распространенных команд и опций acme.sh.

Что это такое

Для начала разберемся в сути понятий. Это просто набор информации в определенном формате кода. Главная особенность в том, что эти сведения полностью уникальны. Поэтому могут служить в качестве подтверждающего знака, некого штампа, которого больше нет ни у кого.

В большинстве случаев компаниям необходимо ежегодно осуществлять продление ключа ЭЦП (электронной подписи), налоговая посмотрит на предприятие крайне неблагосклонно, если она начнет подтверждать отчетность без своего кода. Не говоря уже о невозможность заключения дистанционных сделок.

Для того чтобы в большей мере раскрыть возможности универсального кода, необходимо иметь соответствующее программное обеспечение. Тогда вы действительно сможете удаленно заключать сделки любого формата, отправлять отчетность в налоговую в один клик и заверять приказы внутри предприятия.

Приобрести самое современное программное обеспечение вы можете на сайте «Клеверенс». Вас ждут:

• Индивидуальные предложения, разработанные исходя из персональных особенностей предприятий.
• Коробочные пакеты, обладающие простой установкой и настройкой, быстрой интеграцией в систему компании.
• Оптимизированные под текущее российское законодательство программные продукты.
• Утилиты, позволяющие управлять всей отчетностью юридического лица.
• Приложения, которые дают возможность осуществлять массивные процедуры (как полная инвентаризация) силами одного сотрудника, вооруженного смартфоном или терминалом сбора данных.
• Удобные настройки: как вариант — оповещения, что ЭЦП заканчивается срок действия.

Как и с помощью обычного рукописного аналога, этот вариант помогает удостоверять личность. Только в этом случае необязательно физического лица, а также и юридического. Поэтому получать его необходимо в строгом соответствии с правилами, чтобы исключить даже теоретическую возможность подлога или внесения недостоверных данных. По этой же причине получение сопровождается предоставлением основных документов, удостоверяющих соискателя.

Убедитесь, что всё нужное под рукой

1) Действующий сертификат Контура или доверенного УЦ с такими же ИНН, ФИО, СНИЛС, как в новой заявке, чтобы подписать заявление в электронном виде. Это позволит быстрее продлить сертификат.

2) Если подходящего сертификата нет, то нужно будет подписать заявление вручную. Для этого понадобится принтер и телефон с камерой / фотоаппарат / цветной сканер. 

Истек срок действия эцп: что делать

Сюда же отнесем и ситуацию, при которой уникальный код был утерян. Так случается часто. Ведь он хранится не в облачном сервисе или на сервере проекта. Для полной безопасности код всегда обладает физическим носителем – это обычная флешка, защищенная от копирования и создания дубликатов.

Если случилось подобное, ты выход остается только один – получать новую. А вот при истечении срока, всегда можно его продлить. На самом деле, вторая процедура хоть слегка и полегче, но в корне мало чем отличается. В любом случае переживать не стоит, сейчас процессы получения оптимизированы, не занимают много времени, как это было раньше, когда механизм только внедрялся в российскую сферу бизнеса и дистанционного документооборота.

Введение

Для работы с информационными ресурсами
сети ВГАУ
необходимо установить на компьютер корневой сертификат безопасности
ms-MSDC-CA.

В списке сертификатов выберите нужную заявку

Если у вас нет других сертификатов, заявка сразу откроется. Если вы не можете найти заявку в списке, позвоните в Сервисный центр. Возможно, заявка привязана к другому номеру телефона или сотрудник Сервисного центра ещё не создал её.

3: настройка приложения

Настройка приложения для поддержки SSL выходит за рамки данного мануала, так как у каждого приложения разные требования и параметры конфигурации.

Проверьте данные сертификата

Эти данные попадут сертификат.

Важно! Проверяйте данные внимательно, потому что если в данных будут ошибки, потребуется перевыпуск сертификата за отдельную плату (если у вас не подключена услуга “Сопровождение сертификата”).— Если название или адрес организации указаны неверно, нажмите ссылку «Обновить по данным ФНС» — мы автоматически актуализируем информацию в соответствии с данными в ЕГРЮЛ.

— Если ИНН, ОГРН или параметры сертификата указаны неверно — позвоните в ваш сервисный центр.— Если данные владельца указаны неверно, нажмите “Редактировать” и исправьте ошибки. Особое внимание обратите на реквизиты паспорта. Если срок действия паспорта закончился или получен новый паспорт, укажите реквизиты нового документа.

Также проверьте номер телефона, к которому будет привязан сертификат — на него придёт СМС с кодом подтверждения при выпуске сертификата, а также по этому телефону можно подтверждать доступ к заявке (другой способ — по сертификату с такими же ФИО, ИНН и СНИЛС).

Если сменился владелец сертификата, измените все данные. ФИО и дату рождения указывайте точно так же, как в паспорте: с буквами Ё, дефисами, пробелами и пр. Если у вас нет паспорта РФ, подойдёт временное удостоверение личности. ​Если вы иностранный гражданин, вместо паспорта РФ можете представить иностранный паспорт с нотариально заверенным переводом или вид на жительство в РФ (если нет иностранного паспорта). ФИО заполняйте русскими буквами, как в заверенном переводе. Поле “Серия” можно не заполнять, если в документе оно отсутствует. Укажите действующую электронную почту — туда будут приходить уведомления о статусе заявки и напоминания о продлении сертификата. 

Когда все данные будут указаны верно, нажмите «Подтвердить данные»

Подпишите заявление на выдачу сертификата

— Если у вас есть действующий сертификат доверенных УЦ с такими же ФИО, СНИЛС и ИНН, как в новой заявке, вы сможете подписать заявление электронно.

Если сертификат выдаётся не на руководителя из выписки, в заявлении появится строка «От имени юридического лица»
Должность, ФИО и подпись руководителя организации, на которую выдается сертификат. Вместо руководителя от имени ЮЛ может расписаться уполномоченное лицо по доверенности. Подпись синим цветом, не факсимиле. 

Проверьте актуальность документов

Мы скопируем документы из старой заявки, если соответствующие данные не поменялись. Проверьте их ещё раз.

Дождитесь ответа ПФР и ФНС — мы автоматически проверяем СНИЛС и ИНН. Если ПФР подтвердит данные, скан СНИЛС не нужен.
Если ответ долго не приходит или в госсистемах нет ваших данных, нажмите “Восстановить документ”, чтоб скопировать документ из старой заявки, или загрузите фотографию или скан карточки СНИЛС и свидетельства ИНН заново.
Если данные владельца или организации изменились, вам нужно подтвердить изменения документами. Напротив документов, которые нужно представить, есть зеленые кнопки “Загрузить”.

Сделайте фотографии или цветные сканы этих документов. Технические требования к файлам:

• Качество картинки должно быть таким, чтобы текст легко можно было разобрать (примерно 200-400 dpi).
• Страницы не обрезаны, входят целиком.
• Размер до 10 МБ.
• Форматы jpg, png, gif, pdf, tif, bmp, heic.

Если вы используете не оригинал документа, а копию, она должна быть заверена по образцу:

Заверить копию может:

• руководитель или уполномоченное лицо организации/ИП, с которой заключен договор на выдачу сертификата, при наличии печати,
• нотариус,
• сервисный центр.

ИсключениеЕсли сертификат на руководителя юридического лица, ИП или физлицо, то на копии паспорта или другого документа, удостоверяющего личность, заверительная надпись не обязательна. 

Важно! Нельзя фотографировать/сканировать копию заявления. Только оригинал. Не выбрасывайте заявление! Оно понадобится при получении сертификата.

Загрузите подготовленные сканы в нужные вкладки. Также вы можете загрузить дополнительные документы, кликнув на ссылку “Загрузить дополнительные документы” внизу страницы. У каждого опционального документа написано, в каких случаях он требуется.

После проверки/загрузки всех обязательных документов, станет активной кнопка “Продолжить” внизу страницы. Нажмите её.

Выберите сервисный центр

Чаще всего при продлении сертификата не нужен визит в сервисный центр, так как заявление на выдачу подписано действующим сертификатом.  В этом случае шага выбора СЦ не будет — вы сразу можете приступить к выпуску сертификата (следующая инструкция, начинайте с п.7).

В остальных случаях (например, заявление не подписано сертификатом) нужно выбрать адрес сервисного центра, куда вам будет удобно подойти с оригиналами документов после одобрения заявки.
Чаще всего какой-то сервисный центр уже выбран — он отображается на зелёной плашке. Если он вам подходит — сразу нажмите кнопку “Отправить на проверку”. Если СЦ не подходит или не выбран, найдите удобный вам адрес в списке или на карте и кликните на него — он подсветится зелёным.
В списке и на карте показываются только точки в выбранном регионе/городе. Если вы хотите посмотреть точки в других регионах — поменяйте локацию.
После того, как вы выбрали удобный вам сервисный центр, нажмите кнопку «Отправить на проверку».

Заявка отправлена

Мы проверим заявку в течение 1–2 дней и сообщим вам результат. На странице написана пошаговая инструкция конкретно для вашего случая.

— Если вам нужно подойти в сервисный центр, то инструкция будет, например, такая:

1) Если сертификат на руководителя юридического лица, ИП или физлицо, то в СЦ должен прийти будущий владелец лично.
2) Если сертификат на сотрудника юридического лица, то в СЦ должен прийти сам сотрудник с доверенностью. Руководитель, указанный в выписке, может обратиться без доверенности. 
Отправить вместо себя другое лицо нельзя по закону.

— Если вы подписали заявление сертификатом и все данные прошли проверку в гос.системах (паспорт, СНИЛС  ИНН для сертификатов для ИП и физлиц), то вам не нужно идти в сервисный центр, вы увидите вот такое сообщение. Дождитесь одобрения заявки и после этого приступайте к выпуску сертификата.

Заказать сертификат электронной подписи

Caveat emptor

Всё знаете про SNI? Читайте сразу про установку.

Error: letsencrypt challenge request 429

• Попробуйте удалить домен из панели VestaCP и добавить его снова, после чего повторить попытку выпуска сертификата.
• Повторите попытку выпуска сертификата через 1 час.

Step 4: получите подписанный сертификат!

Теперь, когда вы настроили ваш сервер для генерации всех необходимых файлов, запустите этот скрипт на вашем сервере с разрешениями, которые ему нужны для записи в вышеприведённую папку и чтения вашего приватного ключа аккаунта и CSR.

#запустите скрипт на вашем сервере
python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /var/www/challenges/ > ./signed.crt

Symbian s60

1. Сохраните файл корневого сертификата
   безопасности ms-MSDC-CA на свое мобильное устройство, например, на его карту памяти.
2. Запустите Диспетчер файлов на своем мобильном устройстве, перейдите к сохраненному файлу
   корневого сертификата безопасности ms-MSDC-CA и нажмите на нем Функции/Открыть.
   В появившемся окне нажмите Сохр., затем еще раз Сохр. В поле Метка
   укажите ms-MSDC-CA и нажмите ОК.

   
     
   
     
   

   

3. В появившемся окне Использ. сертификат поставьте крестики напротив вариантов Интернет,
   Проверка сертиф., VPN и нажмите ОК.

   
     
   

Windows 7

1. Откройте окно запуска программ. Для этого нажмите кнопку Пуск, затем Выполнить….
   Или нажмите комбинацию клавиш Windows R (клавиша Windows, на которой изображен флажок,
   находится между левыми Ctrl и Alt, а также между правым Alt и клавишей Menu –
   подробнее; необходимо нажать
   на нее и, не отпуская ее, нажать клавишу R).
   В появившемся окне наберите команду mmc и нажмите ОК.
   В ответ на возможный вопрос Разрешить следующей программе внести изменения на этом компьютере?
   нажмите Да. Если потребуется, укажите пароль учетной записи администратора.

   

2. Откроется окно, в котором необходимо нажать Файл/Добавить или удалить оснастку….

   

3. В появившемся списке выделите оснастку Сертификаты, после чего нажмите кнопку Добавить.

   

4. Выберите вариант учетной записи компьютера, нажмите Далее.

   

5. Выберите вариант локальным компьютером и нажмите Готово.

   

6. Нажмите ОК.

   

7. В левой части появившегося окна выделите следующий элемент списка:
   Корень консоли/Сертификаты/Доверенные корневые центры сертификации/Сертификаты,
   нажмите на нем правую кнопку мыши и выберите пункт меню Все задачи/Импорт….

   

8. Откроется окно мастера импорта сертификатов. Нажмите в нем Далее.

   

9. Нажмите кнопку Обзор….

   

10. Укажите сохраненный ранее файл корневого сертификата безопасности ms-MSDC-CA
    и нажмите Открыть.

    

11. Нажмите Далее.

    

12. Нажмите Далее.

    

13. Нажмите Готово.

    

14. Мастер импорта проинформирует вас о том, что установка успешно завершена. Нажмите OK.

    

15. Проверьте, что корневой сертификат безопасности ms-MSDC-CA
    помещен в нужное хранилище: Сертификаты/Доверенные корневые центры сертификации/Сертификаты.

    

16. Нажмите Файл/Выход. В появившемся окне нажмите Нет.

    

Windows xp, windows vista

1. Откройте проводник Windows и дважды щелкните левой клавишей мыши на ранее сохраненном
   файле корневого сертификата безопасности ms-MSDC-CA.
   В появившемся окне нажмите Открыть.

   

2. Нажмите Установить сертификат….

   

3. В появившемся окне нажмите Далее, затем пометьте вариант
   Поместить все сертификаты в следующее хранилище, после чего нажмите кнопку Обзор….

   

4. Пометьте в списке элемент Доверенные корневые центры сертификации
   и нажмите OK.

   

5. Нажмите Далее.

   

6. Нажмите Готово.

   

7. Появится окно, в котором необходимо нажать Да.

   

8. Мастер импорта проинформирует вас о том, что установка успешно завершена.
   Нажмите OK и еще раз OK.

   

   

9. Проверьте, что корневой сертификат безопасности ms-MSDC-CA
   помещен в нужное хранилище. Для этого перейдите в Панель Управления Windows, выберите пункт
   Свойства обозревателя, перейдите на вкладку Содержание и нажмите кнопку Сертификаты.

   

10. Перейдите на вкладку Доверенные корневые центры сертификации, прокрутите список вниз.
    Если вы видите строку ms-MSDC-CA, то корневой сертификат безопасности
    ms-MSDC-CA установлен корректно. В противном случае, скорее всего,
    вы неверно указали хранилище в пункте 4.

    

    

Обращаем ваше внимание на то, что установку корневого сертификата безопасности
ms-MSDC-CA необходимо произвести для каждой учетной записи Windows,
для которой требуется доступ к информационным ресурсам сети ВГАУ.

Автоматическая интеграция dns api

Если у вашего DNS-провайдера есть API, acme.sh может использовать его для автоматического добавления записи DNS TXT.

Ваш сертификат будет автоматически выдан и продлен.

Ручной работы не требуется.

Прежде чем запрашивать сертификаты, настройте ключи API и адрес электронной почты.

В настоящее время acme.sh имеет встроенную автоматическую DNS-интеграцию с около 60 DNS-провайдерами и может использовать инструмент Lexicon для тех, кто не поддерживается изначально.

Один домен CloudFlare DNS API режим:

Автопродление ssl-сертификата

Для автопродления используется команда

$ /opt/letsencrypt/letsencrypt-auto renew

Т.к. мы недавно обновляли сертификат, то в ответ увидим сообщение

В примере будем использовать сервер с debian 9 и nginx в качестве веб-сервер.

Прежде всего потребуется установить дополнительные пакеты из stretch-backports. Прописываем нужный репозиторий

mcedit /etc/apt/sources.list

Внимание! в связи с плановой сменой сертификатов сервера «континент tls» всем пользователям гиис «электронный бюджет» необходимо выполнить установку новых корневых сертификатов

Восстановление сертификата

1. Откройте Диспетчер сертификатов.
2. Выберите сертификат, который следует восстановить.
3. Меню Действие выберите пункт Все задачи и выполните одно из следующих действий:
   • Нажмите кнопку Обновить сертификат новым ключом.
   • Наведите указатель мыши на пункт Дополнительные операции и выберите пункт Обновить сертификат тем самым ключом.
4. Завершите работу мастера, чтобы восстановить сертификат.

Вот и всё

Если вам близки по духу tee и sed, то есть гораздо более короткая инструкция по настройке связки Let’s Encrypt и nginx, при условии корректно настроенного hostname. Только копируй команды и вставляй.

Выпуск и настройка сертификата для панели управления vestacp

Поддержка Let’s Encrypt доступна в VestaCP из коробки.

Для выпуска и установки сертификата вы можете отметить дополнительные опции сразу при добавлении домена в разделе WEB панели VestaCP:

Или отредактировать настройки домена в разделе WEB, выбрав опции поддержки SSL уже после добавления:

Выпуск и автоматическая установка сертификата занимают до 5 минут. После этого данные SSL-сертификата будут доступны также в настройках домена.

Помимо этого, добавляется cron-задание для автоматического обновления сертификатов, истекающих через 30 и менее дней. Проверить это можно в разделе CRON панели VestaCP:

Добавление в linux корневых сертификатов x.509 локального корпоративного центра сертификации [вики it-kb]

С:ToolsPuTTy>pscp.exe С:TempAD-*.pem linux-user@LINUX-SERVER:/tmp

AD-RootCA.pem             | 1 kB |   1.3 kB/s | ETA: 00:00:00 | 100%
AD-SubCA.pem              | 1 kB |   1.9 kB/s | ETA: 00:00:00 | 100%

# mkdir /etc/ssl/certs-corp-ca
# mv /tmp/AD-*.pem /etc/ssl/certs-corp-ca
# chown root:root /etc/ssl/certs-corp-ca/AD-*.pem
# ls -la /etc/ssl/certs-corp-ca

...
-rw-r--r-- 1 root root 1344 Mar  6 19:35 AD-RootCA.pem
-rw-r--r-- 1 root root 1922 Mar  6 19:35 AD-SubCA.pem

# c_rehash /etc/ssl/certs-corp-ca

Doing /etc/ssl/certs-corp-ca
AD-RootCA.pem => 36865f67.0
AD-RootCA.pem => bb8428b0.0
AD-SubCA.pem => e740e31e.0
AD-SubCA.pem => 536fc63e.0

# ls -la /etc/ssl/certs-corp-ca

...
lrwxrwxrwx 1 root root   13 Mar  6 20:06 36865f67.0 -> AD-RootCA.pem
lrwxrwxrwx 1 root root   12 Mar  6 20:06 536fc63e.0 -> AD-SubCA.pem
-rw-r--r-- 1 root root 1344 Mar  6 19:59 AD-RootCA.pem
-rw-r--r-- 1 root root 1922 Mar  6 19:59 AD-SubCA.pem
lrwxrwxrwx 1 root root   13 Mar  6 20:06 bb8428b0.0 -> AD-RootCA.pem
lrwxrwxrwx 1 root root   12 Mar  6 20:06 e740e31e.0 -> AD-SubCA.pem

# find -L /etc/ssl/certs-corp-ca -type l -exec rm {}  

# mkdir /etc/ssl/certs-corp-ca-chain
# cd /etc/ssl/certs-corp-ca
# cat ./AD-RootCA.pem  ./AD-SubCA.pem > /etc/ssl/certs-corp-ca-chain/AD-Chain.pem
# cat /etc/ssl/certs-corp-ca-chain/AD-Chain.pem

-----BEGIN CERTIFICATE-----
...

...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...

...
-----END CERTIFICATE-----

Дополнения

Команда renew включает в себя перехваты для запуска команд или скриптов до или после обновления сертификата. Например, если у вас есть один сертификат, полученный с помощью автономного плагина, вам может потребоваться остановить веб-сервер перед обновлением, поэтому необходимо остановить, а затем запустить веб-сервер после завершения работы плагина. Пример:

Команды pre-hook и post-hook запускаются до и после каждой попытки обновления. Если вы хотите, чтобы ваш скрипт запускался только после успешного обновления, используйте команду deploy-hook в такой команде.

Если кнопка «отправить заявку на обновление» есть

Нажмите на эту кнопку и далее следуйте указаниям системы, они помогут вам отправить заявку.

Если нужно получить сертификат для домена без сайта…

Типичный пример — сертификат для выделенных под SMTP или IMAP серверов, на которых вообще нет каких-то сайтов. Либо используйте универсальный переадресатор что выше, либо…

Если сменился владелец сертификата или данные организации:

3) Документы. Оригинал или заверенная копия паспорта будущего владельца сертификата. Возможно, потребуются СНИЛС и ИНН (если не получится проверить ваши данные в госсистемах автоматически) и документы организации — список документов и случаи, в которых они нужны, написаны на шаге загрузки документов.

4) Телефон с камерой, фотоаппарат или цветной сканер. Нужно будет загрузить изображения документов.

Нажмите кнопку «Приступить», когда будете готовы заполнять заявку.

Запрос нового сертификата

1. Откройте Диспетчер сертификатов.
2. Откройте папку Личный.
3. Меню Действие выберите пункт Все задачи и Восстановить сертификат.
4. Следуйте указаниям мастера.

Инструкция по использованию acme-tiny

Если у вас уже есть выданный в Let’s Encrypt сертификат, и вы хотите его просто обновить, вы должны только выполнить Шаги 3 и 6.

Инструкция по установке континент tls vpn клиент 2.0.1440

Перед установкой Континента ТЛС версии 2 необходимо удалить предыдущую версию Континента (если конечно она была установлена) через Пуск > Панель управления > Программы > Программы и компоненты. Потом перезагрузить компьютер.

Скачанный дистрибутив необходимо разархивировать и запустить файл «Континент TLS-клиент.exe»

Корневой сертификат microsoft истекает в этом месяце, но компания просит его не удалять

Куда обращаться

Итак, переходим от теории к практике. Вот у вас уже подошло к исходу время функционирования кода, и срочно нужно отправляться за новым. Либо вы получаете документ в первый раз. Разницы практически нет. Существует несколько основных вариантов. А также масса дополнительных, ведь компаний-агентов, которые готовы предоставить свои услуги в сфере – огромное количество.

Мы дадим корректную инструкцию по всем базовым методам.

На какой срок возможна пролонгация

Никаких отличий с пунктом, который был описан выше. Пролонгировать вы можете также на 12 месяцев. И все остальные условия тоже остаются в силе, то есть, при проблемах с удостоверяющем центре, процедуру придется проходить повторно.

Настройка nginx

В итоге наш конфиг будет выглядеть так

Настройка скзи «континент tls vpn клиент» для работы в электронном бюджете

Запускаем Континент TLS VPN Клиент (через меню пуск или иконку на рабочем столе). В открывшемся окне нажимаем «Главная» > «Добавить» > «Ресурс».

В окне добавления ресурса прописываем следующее:

1. Если используете сертификат пользователя по ГОСТ 2021, то пишем:
2. Если используете сертификат пользователя по ГОСТ 2001, то пишем:

Новый код в еис

Мы узнали, как продлить действие сертификата ЭЦП (цифровой подписи). Теперь взглянем, как зарегистрировать полученные данные в ЕИС.

Обновление сертификата

Сертификаты Let’s Encrypt действуют 90 дней. Хорошо это или плохо – спорить бессмысленно, особенно учитывая то, что процесс обновления сертификата очень прост. А именно, для обновления сертификата достаточно выполнить команду

letsencrypt renew

Обновление скрипта letsencrypt

Скачиваем изменения для GitHub репозитория letsencrypt

$ cd /opt/letsencrypt
$ sudo git pull

Обновление ssl-сертификатов let’s encrypt

Вам не нужно обновлять сертификаты вручную.

Все сертификаты будут обновляться автоматически каждые 60 дней.

Однако вы также можете принудительно обновить сертификат:

Ошибки при выполнении acme-tiny

Если у вас возникает ошибка

Перенаправление портов

Уверен, это ни у кого затруднений не вызовет, но, для полноты изложения, опишу этот шаг.

План работ

Для получения сертификата и поддержания его актуальности нам понадобится пройти через пять этапов:

Подготовим nginx к получению сертификатов

В общем случае для получения сертификата необходимо во всех блоках server добавить следующий блок до других блоков location:

location /.well-known {
    root /var/www/html;
}

Понятно, что вписывать для каждого сайта такой блок явно — это моветон, потому создадим файл /etc/nginx/acme с содержанием блока выше.

# cat /etc/nginx/acme 
location /.well-known {
    root /var/www/html;
}

Затем для каждого домена и поддомена, для которых нужно получить сертификаты, в блоке server перед всеми блоками location укажем:

include acme;

Хосты-редиректоры (например, с голого домена на www) можно пропустить. ACME сервер обязан учитывать стандартную переадресацию. Подробней об этом ниже.

Перезагрузим nginx и проверим что наш тестовый файл виден:

Подготовка

Устанавливаем пакеты

$ sudo yum -y install git bc

Клонируем GitHub репозиторий letsencrypt в каталог /opt/letsencrypt

Получаем ssl-сертификат

Переходим в каталог

$ cd /opt/letsencrypt

Запускаем скрипт

Получаем сертификаты

У Let’s Encrypt есть лимиты на количество обращений за сертификатами, потому сначала попробуем получить необходимый сертификат в режиме для тестов:

Получение корневого сертификата безопасности

Файл корневого сертификата безопасности ms-MSDC-CA может быть получен
следующими способами:

Получение сертификата

Поскольку ваша архитектура сервера еще не поддерживает автоматическую установку, вам нужно будет использовать команду certonly для получения вашего сертификата. Это позволит вам интерактивно выбирать плагин и параметры, используемые для получения вашего сертификата.

Если у вас уже есть веб-сервер, мы рекомендуем выбрать плагин webroot. Кроме того, вы можете указать дополнительную информацию в командной строке. Чтобы получить сертификат, используя плагин webroot, который может работать с каталогом webroot любого программного обеспечения веб-сервера:

Продлеваем в сбис

Альтернативный метод, который также достоин упоминания.

• Первоначальный этап отличается лишь одним моментом. Оповещение приходит не через 60, а через 30 дней. Соответственно, оформить пролонгацию раньше невозможно.
• После перехода по ссылке вы увидите несколько методов получения. Нам понадобится – через каналы связи.
• Заявление создается в автоматическом режиме. Вам остается лишь проверить, корректно ли введена информация. Если где-то закралась ошибка, либо изначальные реквизиты были изменены, отредактируйте поля.
• Теперь нам необходимо «вложить» скрины документов, о которых говорилось выше. Также внесите сведения из паспорта о владельце.
• Следующая стадия – звонок менеджера. Он поступит через несколько минут, после оформления запроса.
• Уточнив детали, остается получить нашу подпись. Для этого вставляем носитель с предыдущей копией, щелкаем по «получению другой».
• Копия проверена, флешка нам уже не понадобится, но придется вставить новую. По правилам на одном носителе можно хранить лишь 1 код. Поэтому заранее подготовьте дополнительный накопитель.
• Вставляем его, снова проверяем информацию, отправляем на проверку.
• Завершающем этапом переходим на официальный сайт проекта, открываем опцию – ответственные лица, подтверждаем наш запрос.

Продление сертификата ключа электронной цифровой подписи: подготовительный этап

На этой стадии в принцип нам нужно только подготовить требуемые документы для идентификации нашей личности. В первую очередь – это СНИЛС и паспорт. Если речь идет о физическом лице, которое не является при этом индивидуальным предпринимателем, то необходимо будет также использовать и ИНН.

Для предприятия в форме ООО нужно также предоставить определенные учредительные документы и выписку из ЕГРЮЛ. Помните, что персональные данные компании могли измениться, например, переехал фактический адрес, сменилось название исходя из маркетинговой кампании и так далее. В этих случаях, обновление ключа-сертификата ЭЦП невозможно, придется получать новый.

Продление сертификатов

Сертификаты выдаются на три месяца. Не на полгода, не на год, а лишь на три месяца. Естественно это вызывает вопросы. Нужно ли проходить всю эту процедуру через три месяца? Нужно ли это делать всегда до искончания веков? Может стоит всё-таки вложиться в платный сертификат чтобы забыть об этом всем и не воспоминать пару лет?

Но нет, не спешите искать платежные средства! Как и было обещано в начале статьи, с обновлением сертификатов проблем нет.

Продление электронно-цифровой подписи в скб контур

Это один из лидирующих удостоверяющих центров на данный момент. Давайте рассмотрим, каким образом мы сможем поработать с ним.

Разрешение

Самой большой проблемой, с которой вы вероятно столкнётесь при настройке и запуске скрипта – это разрешения. Вы хотите ограничить доступ к вашему приватному ключу аккаута и каталогу файлов вызова настолько, насколько это возможно. Я рекомендую создать специального пользователя для работы с этим скриптом, приватном ключом аккаунта и папкой вызова.

Затем добавьте возможность этому пользователю писать в ваш установленный файл сертификата (например, /path/to/chained.pem) и перезагружать ваш веб-сервер. Таким образом, скрипт cron будет делать следующее: переписывать ваш старый сертификат и перезагружать ваш веб-сервер и при этом у него не будет разрешения на что-либо ещё.

УБЕДИТЕСЬ, ЧТО:

• Сделали резервную копию секретного ключа вашего аккаунта (e.g. account.key)
• Не позволяйте скрипту быть способным читать ваш приватный ключ домена!
• Не позволяйте скрипту быть запущенным от рута!

Расположение сертификатов

Все сгенерированные ключи и выданные сертификаты можно найти в домене /etc/letencrypt/live/$domain. Вместо того, чтобы копировать, укажите конфигурацию сервера непосредственно на эти файлы (или создайте символические ссылки). Во время обновления, /etc/letencrypt/live обновляется последними полученными файлами.

Доступны следующие файлы

privkey.pem — закрытый ключ сертификата

Это то, что Apache требуется для SSLCertificateKeyFile и Nginx для ssl_certificate_key.

fullchain.pem — все сертификаты, включая сертификат сервера (сертификат aka leaf или сертификат конечного объекта). Сертификат сервера является первым в этом файле, за которым следуют любые промежуточные продукты. Это то, что Apache> = 2.4.8 требуется для SSLCertificateFile, и что нужно Nginx для ssl_certificate.

cert.pem и chain.pem (менее распространены) cert.pem содержит сертификат сервера сам по себе, а chain.pem содержит дополнительный промежуточный сертификат или сертификаты, которые понадобятся веб-браузерам для проверки сертификата сервера.

Если вы поставите один из этих файлов на свой веб-сервер, вы должны предоставить оба из них, или некоторые браузеры будут показывать ошибки «Это соединение без доверия» для вашего сайта. Apache <2.4.8 нуждается в них для SSLCertificateFile. и SSLCertificateChainFile, соответственно.

Регистрация в let’s encrypt

Регистрацию нужно сделать только один раз:

Уведомление о необходимости смены подписи

Также при штатном окончании срока функционирования ЭЦП, заблаговременно компания присылает уведомления. Они идут на номер телефона, а также в форме писем на электронную почту. Количество и интенсивность зависит от самого центра. Но чаще всего предупреждают за 21 день, а дальше за 14 и 7. Поэтому владелец всегда будет в курсе, если скоро потребуется обновление.

Законом не предусматривается обязательность такого рода оповещений. Центры отвечают за то, как продлить сертификат электронной подписи, и не обязаны вовремя сообщать о необходимости таких мероприятий. Но, как показывает практика, практически всегда уведомления приходят.

Если у вас не хватает времени на подобные заботы, вы всегда можете переадресовать все эти моменты посредникам. Правда, для этого придется делегировать полномочия, а значит, оформить нотариальную доверенность на лицо. И это зачастую занимает времени не меньше, чем возня с получением.

Удаленный перевыпуск эцп, как перевыпустить электронную цифровую подпись

Установка acme.sh

У вас есть несколько вариантов установки acme.sh.

Установить из Интернета с помощью curl или wget:

Установка apache

Apache доступен в репозиториях CentOS по умолчанию.

Установка в jessie

Если у вас еще в ходу актуальный на конец 2021 года Debian stable “jessie”, то всё лишь немного сложнее.

Установка корневого сертификата безопасности

Последовательность действий, необходимая для установки корневого сертификата
безопасности ms-MSDC-CA, зависит от используемой
операционной системы.

Утилита rootsupd.exe

В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe, список корневых и отозванных сертификатов, зашитых в  которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates). Посмотрим, можно ли использовать ли ее сейчас.

Ценовой аспект

Однозначно ответить не получится. Ведь существует множество уровней подписи, каждый из которых обладает своей стоимостью. Простой формат для частных лиц обойдется в среднем в 950 руб. А вот уже более продвинутая версия, но без квалификации, будет стоить в районе 1500 руб. Основной вариант квалифицированной ЭЦП в стоимостном выражении начинается от 1900 руб.

Возможности у разных типов, также отличаются. Для регистрации на виртуальных ресурсах, управления личным кабинетом в банках или портале Госуслуг достаточно будет простого формата. А вот если вам необходимо вести внутреннюю отчетность, управлять потоками документов, а также сотрудничать с налоговым органом, то понадобится уже неквалифицированная форма.

Выбирайте тот формат, который нужен. Более дорогой тип не даст преимуществ, например, гражданину. Да и оформить он его не сможет.

Шаг 1 — установить необходимые программы зависимости для сервера

Обновим кэш менеджера пакетов, чтобы получить последние версии програмного обеспечения

Шаг 1: создание приватного ключа аккаунта let’s encrypt (если у вас ещё его нет)

У вас должен быть публичный ключ, зарегистрированный с Let’s Encrypt и вы должны подписывать ваши запросы соответствующим приватным ключом. Если вы не понимаете, что я только что сказал, то весьма вероятно, что этот скрипт не для вас! Пожалуйста, используйте официальный клиент Let’s Encrypt.

openssl genrsa 4096 > account.key

Использование существующего ключа Let’s Encrypt

В качестве альтернативы, вы можете конвертировать ваш ключ, ранее сгенерированный оригинальным клиентом Let’s Encrypt.

Приватный ключ аккаунта из клиента Let’s Encrypt сохраняется в формате JWK. acme-tiny использует формат ключа PEM. Для конвертирования этого ключа, вы можете использовать инструмент скрипт преобразований от JonLundy:

Шаг 2 — установка клиента let’s encrypt

Скачаем клиент Let’s Encrypt из официального репозитория и разместим его файлы на сервере.Клонируем репозиторий Let’s Encrypt в папку /opt, которая является стандартной папкой для размещения в Linux программ сторонних производителей:

Это создаст локальную копию официального репозитория Let’s Encrypt в папке /opt/letsencrypt.

Шаг 2: создание запроса подписания сертификата (certificate signing request (csr)) для ваших доменов.

Протокол ACME (который использует Let’s Encrypt) требует, чтобы им был предоставлен файл CSR (запроса подписания сертификата) даже для продлений. Вы можете использовать один и тот же CSR для множества продлений. ПРИМЕЧАНИЕ: вы не можете использовать приватный ключ аккаунта в качестве приватного ключа домена!

#генерируем приватный ключ домена (если ещё нет)
openssl genrsa 4096 > domain.key

Шаг 3 — получение и установка ssl сертификата

Получение и установка SSL сертификата с помощью Let’s Encrypt довольно простая. Клиент Let’s Encrypt делает все автоматически и устанавливает новый SSL сертификат ,который валиден для доменов, указанных в качестве параметров.Перейдем с папку letsencrypt:

Шаг 4 — установка автообновления

Сертификаты Let’s Encrypt действительны на протяжении 90 дней. Однако рекомендуется обновлять их каждые 60 дней, чтобы не пропустить срок. У клиента Let’s Encrypt есть команда, которая позволяет обносить сертификат, если до истечения срока его валидности меньше 30 дней. Это позволяет сделать команда:

Есть запустить эту программу сразу, после установки сертификата, то она толкьо проинформирует, что пока нет необходимости обновлять сертификат:

Чтобы обеспечить автоматическое обновление сертификатов, воспользуемся командой cron. Сертификаты будут проверяться и обновляться только если будет менее 30 дней до даты истечения их валидности.Отредактируем crontab и создадим новое задание, которео будет запускать программу проверки и обновления сертификатов каждую неделю:

Включите следующую строку:30 2 * * 1 /opt/letsencrypt/letsencrypt-auto renew >> /var/log/letsencrypt-renew.logСохраните и выйдите из редактирования файла. Эта создаст новую задачу cron, которая будет автоматически запускать letsencrypt-auto каждый понедельник в 2:30. Результат будет выводиться в лог файл по адресу /var/log/ letsencrypt-renew.log.

Шаг 5.1. перемещение полученных файлов в постоянную директорию расположения

Помните, что вам нужно переместить полученный файлы в надлежащие директории. К примеру, я храню файлы в следующих расопложениях:

• Сертификат на домен: /etc/ssl/certs/server.crt
• Приватный (секретный) ключ: /etc/ssl/private/server.key

Для того, чтобы присвоить файлам соответствующие имена и переместить в нужные директории выполняем:

sudo mv signed.crt /etc/ssl/certs/server.crt
sudo mv domain.key /etc/ssl/private/server.key

Вывод

Вы узнали, как установить бесплатный SSL сертификат Let’s Encrypt для того, чтобы сделать безопасными соединения веб-сервера Apache.

Заключение

Итак, если истек срок действия сертификата электронной подписи, как обновить ЭЦП, мы теперь точно знаем. Рекомендуем не затягивать с этим моментом. И совершать действия до фактического завершения функциональности. Лучше хотя бы за 10 дней. Иначе на какой-то промежуток времени предприятия окажется просто неспособно к ведению виртуального документооборота.

Количество показов: 5468