Настройка плагина

Блок основных настроек. #

Перейдите в основной пункт Настройка

Настройте следующие параметры:

Включить плагин: Включить плагин Let’s Encrypt

Автообновление: Создает задачу в планировщике для регулярного перевыпуска сертификата. При включении данного пункта появляется дополнительная закладка Обновление расписания, в которой можно задать периодичность выполнения плагином задачи проверки/перевыпуска сертификатов.

Окружение Let’s Encrypt: Имеет два значения — Промежуточное окружение (для проверки правильности настроек — данные сертификаты являются недействительными и требуют дальнейшего перевыпуска) и Промышленное окружение — означающее выпуск действительного сертификата.

Интеграция HAProxy: Позволяет плагину, при наличии настроенного HAProxy плагина, автоматически вносить изменения в настройки плагина HAProxy. Настройки будут выполняться на основании выбора фронтенда на следующих этапах настройки плагина os-acme-client (Внимание! плагин os-acme-client работает в режиме интеграции с HAProxy только на фронтендах HAProxy, запущенных в режиме http)

Создание учетной записи Let’s Encrypt. #

Для этого перейдите в в пункт настроек Аккаунты и нажмите на + (добавить аккаунт).

В открывшемся окне заполните необходимые поля:

• Имя: Имя для идентификации аккаунта.
• E-Mail адрес: адрес электронной почты, который будет использоваться для регистрации, восстановления и важных уведомлений.
• Включен: использовать эту учетную запись при выдаче сертификата.

Настройка метода валидации. #

Данный плагин поддерживает два метода валидации права собственности доменом, на который выдается сертификат.

HTTP-01 и DNS-01.

HTTP-01 — Данный метод заключается в том, что при проверке права собственности доменом, скриптом создается файл ключа в корневом каталоге, после чего центр сертификации выполняет вызов acme ( http — запрос для считывания содержимого данного файла-ключа) и если данная процедура проходит успешно (право владения доменом подтверждается), то центром сертификации выдается/продлевается домен на 90 дней. Использование данного метода возможно только с использованием плагина HAProxy либо web-интерфейсом NPS AV.

DNS-01 — Данный метод заключается в том, что плагином создается временная запись TXT в DNS зоне домена в момент проверки права собственности доменом и если данная процедура проходит успешно (право владения доменом подтверждается), то центром сертификации выдается/продлевается домен на 90 дней.

Плагин поддерживает API многих провайдеров DNS хостинга, а также обновление DNS nsupdate согласно RFC-2136

Данный тип проверки не требует внесения изменений в правила файрволла и не вызывает прерываний работы сервиса HAProxy либо web-интерфейса NPS AV.

Для настройки метода валидации перейдите в соответствующий пункт настроек Методы валидации

• Для настройки валидации с использованием DNS-01 заполните следующие поля:

  Имя: Уникальное имя для данного типа проверки.

  Тип вызова: DNS-01

  Сервера DNS: В выпадающем списке выберите службу, которая предоставляет вам услугу DNS хостинга.

  Время сна: Время, которое данный плагин «ждет» появления записи TXT в зоне домена после ее добавления плагином.

  Дальнейшие поля зависят от того, API какого из поставщиков услуги DNS хостинга вы используете. К примеру, в случае использования API хостинга FreeDNS необходимо указать данные учетной записи (логин и пароль), которой принадлежит данный домен.

• Для настройки валидации с использованием HTTP-01 «web-интерфейса NPS AV» заполните следующие поля:

  Имя: Уникальное имя для данного типа проверки.

  Тип вызова: HTTP-01

  Служба HTTP: web-служба NPS AV

  Интерфейс: Выберите интерфейс, на котором в данный момент сконфигурирован IP на который указывает FQDN домена, для которого будет выполняться проверка.

  Автообнаружение IP: Выберите этот параметр, чтобы разрешить NPS AV автоматически обнаруживать IP-адреса согласно FQDN, прописанному в сертификате.

  IP адреса: FQDN, используемое в сертификате, должно указывать на один или несколько официальных IP-адресов. Введите все эти IP-адреса здесь.

  Примечание: при выполнении проверки NPS AV автоматически создаст временное перенаправление порта для проверки права собственности доменом. Это приведет к кратковременному простою службы, которая обычно используется с этими IP-адресами.

• Для настройки валидации с использованием HTTP-01 «HAProxy HTTP frontend integration» заполните следующие поля:

  Включить автонастройку: Автоматически внедрить конфиг в локальный экземпляр HAProxy чтобы обслуживать вызовы acme без прерывания сервиса.

  Фронтенды HAProxy: Выберите фронтенды HAProxy. Они могут быть автоматически настроены на перенаправление вызовов acme к внутреннему acme-клиенту.

  Примечание: Использование данного метода подразумевает, что плагин HAProxy установлен и настроен

Создание задачи, выполняемой при операции выпуска/перевыпуска сертификата. #

Данная настройка вам может понадобиться, если вы используете метод валидации HTTP-01 и вам необходимо в случае обновления сертификата, перегрузить web-интерфейс NPS AV, чтобы внесенные изменения вступили в силу, либо выполнить какую-либо системную задачу, связанную с процедурой перевыпуска сертификата.

Включен: Предлагать ли данное действие при настройке сертификата.

Имя: Уникальное имя задачи.

Команда рестарта: Задача из выпадающего списка, выполнить которую необходимо в случае выпуска/перевыпуска сертификата.

Конфигурирование сертификата. #

Перейдите в пункт меню Сертификаты. По нажатию + вызывается форма создания сертификата.

Где необходимо настроить:

Включен: Включить этот сертификат в обработку плагином

Стандартное имя: Имя домена (CN), на которое выписывается сертификат.

Дополнительные имена: Дополнительные доменные имена (SAN), которые также должны защищаться данным сертификатом. (имена разделяются табуляцией)

Аккаунт LE: Аккаунт Let’s Encrypt из выпадающего списка, сконфигурированный на предыдущем этапе.

Метод валидации: Метод валидации права собственности доменом из выпадающего списка, сконфигурированный на предыдущем этапе.

Действие рестарта: Действие, выполняемое при выпуске/перевыпуске данного сертификата из выпадающего списка, сконфигурированное на предыдущем этапе либо пусто.

Автообновление: Если данный флаг установлен, планировщик задач будет регулярно проверять срок истечения данного сертификата и перевыпускать его при необходимости.

Интервал обновления: Через сколько дней выполнять перевыпуск сертификата (максимально 60 дней).

Успешно выпущенный сертификат выглядит следующим образом:

Блоком кнопок справа от сертификата вы можете выполнять следующие действия (слева направо):

Редактировать сертификат, копировать сертификат в новый, удалить сертификат, перевыпустить сертификат, отозвать сертификат.

Таким образом с помощью данного плагина возможно автоматизировать процедуру выпуска/перевыпуска сертификатов, как для web-интерфейса NPS AV, так и для плагина HAProxy с целью SSL разгрузки сервисов, сконфигурированных в нем.