1. Создаем пользователя letsencrypt и необходимые директории:




adduser —home /var/www/challenges \
—shell /bin/sh \
—disabled-password \
—disabled-login \
letsencrypt
mkdir -p /etc/letsencrypt/domains

2. Создаём основные приватные ключи:




cd /etc/letsencrypt/
openssl dhparam -out dhparam.pem 2048
openssl genrsa 4096 > account.key

3. Скачиваем клиент acme_tiny.py:




cd /var/www/challenges
wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py

4. Создаем сценарий /var/www/challenges/acme-tiny.sh, для автоматизации. Изменив значение переменной DOMAINS, указываем имена доменов, для которых необходимо получить сертификаты:

DOMAINS=( site1.ru site2.com )
DOMAIN_ROOT=/etc/letsencrypt/domains
ACCOUNT_KEY=/etc/letsencrypt/account.key
ACME_DIR=/var/www/challenges
ACME_TINY=${ACME_DIR}/acme_tiny.py

[ -d ${DOMAIN_ROOT} ] || { echo "ERROR: DOMAIN_ROOT dir does not exists"; exit 1; }
[ -f ${ACCOUNT_KEY} ] || { echo "ERROR: ACCOUNT_KEY not found."; exit 1; }
[ -d ${ACME_DIR} ] || { echo "ERROR: ACME_DIR dir does not exists"; exit 1; }
[ -f "$ACME_TINY" ] || { echo "ERROR: ACME_TINY not found."; exit 1; }

wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > ${DOMAIN_ROOT}/intermediate.pem

for DOMAIN in "${DOMAINS[@]}"
do
  if [ ! -f "${DOMAIN_ROOT}/${DOMAIN}.key" ]; then
    echo "INFO: Generation private key for $DOMAIN";
    openssl genrsa 4096 > ${DOMAIN_ROOT}/${DOMAIN}.key
    openssl req -new -sha256 -key ${DOMAIN_ROOT}/${DOMAIN}.key -subj "/CN=${DOMAIN}" > ${DOMAIN_ROOT}/${DOMAIN}.csr
  fi

  echo "INFO: Generation cert for $DOMAIN";
  python ${ACME_TINY} --account-key ${ACCOUNT_KEY} --csr ${DOMAIN_ROOT}/${DOMAIN}.csr --acme-dir ${ACME_DIR} > ${DOMAIN_ROOT}/${DOMAIN}.crt || exit 1
  cat ${DOMAIN_ROOT}/${DOMAIN}.crt ${DOMAIN_ROOT}/intermediate.pem > ${DOMAIN_ROOT}/${DOMAIN}.pem
done

sudo service nginx reload

5. Меняем права на директории:




chmod 755 /etc/letsencrypt
chown -R letsencrypt: /etc/letsencrypt /var/www/challenges

6. Создаём файл /etc/nginx/acme:

location ^~ /.well-known/acme-challenge/ {
    alias /var/www/challenges/;
    try_files $uri =404;
    allow all;
}

7. В конфигурационный файл nginx каждого сайта, в блок server, добавляем строку:




include /etc/nginx/acme;

8. Запускаем скрипт:




/bin/bash /var/www/challenges/acme-tiny.sh

9. Включаем шифрование, добавив в конфигурационные файлы nginx каждого сайта:

server {
    server_name site1.ru www.site1.ru;
    listen 80;

    include acme;
    # включим переадресацию на https-версию сайта
    location / {
        return 301 https://$host$request_uri;
    }
}

server {
        server_name site1.ru www.site1.ru;
        listen 443 ssl;

        # включим шифрование
        ssl on;
        ssl_certificate /etc/letsencrypt/domains/alluborka.ru.pem;
        ssl_certificate_key /etc/letsencrypt/domains/alluborka.ru.key;
        ssl_dhparam /etc/letsencrypt/dhparam.pem;

        ssl_stapling on;
        ssl_stapling_verify on;

        # исключим возврат на http-версию сайта
        add_header Strict-Transport-Security "max-age=31536000";

        # явно "сломаем" все картинки с http://
        add_header Content-Security-Policy "img-src https: data:; upgrade-insecure-requests";

    ...
}

10. Для автоматического продления сертификатов, создадим файл /etc/cron.d/letsencrypt:

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
0 0 1 * * letsencrypt /bin/bash /var/www/challenges/acme-tiny.sh >> /var/log/acme_tiny.log

11. Создадим файлы журналов:




sudo touch /var/log/acme_tiny.log
sudo chown letsencrypt: /var/log/acme_tiny.log

https://superuserdo.info/?p=747