{ "version": "https:\/\/jsonfeed.org\/version\/1", "title": "Максим Кузнецов: заметки с тегом веб-сервер", "_rss_description": "Простыми словами о веб-разработке", "_rss_language": "ru", "_itunes_email": "", "_itunes_categories_xml": "", "_itunes_image": "", "_itunes_explicit": "", "home_page_url": "https:\/\/maxkuznetsov.ru\/tags\/veb-server\/", "feed_url": "https:\/\/maxkuznetsov.ru\/tags\/veb-server\/json\/", "icon": "https:\/\/maxkuznetsov.ru\/user\/userpic@2x.jpg?1586398004", "author": { "name": "Максим Кузнецов", "url": "https:\/\/maxkuznetsov.ru\/", "avatar": "https:\/\/maxkuznetsov.ru\/user\/userpic@2x.jpg?1586398004" }, "items": [ { "id": "40", "url": "https:\/\/maxkuznetsov.ru\/all\/nginx-free-wildcard-ssl\/", "title": "Бесплатный wildcard SSL-сертификат для поддоменов", "content_html": "

Для простых веб-приложений достаточно одного домена (example.com). Однако для сложных систем, с разделением на бэкенд и фронтенд части, с лендингами, микросервисами и т. п. нужны поддомены, например: api.example.com, app.example.com, cdn.example.com.<\/p>\n

Вместо того, чтобы выпускать отдельные сертификаты на каждый поддомен, мы можем выпустить один сертификат, покрывающий сразу все кейсы — *.example.com. Такой тип сертификатов называется Wildcard<\/i>.<\/p>\n

Как и в предыдущей статье про выдачу бесплатного SSL-сертификата<\/a>, мы воспользуемся утилитой Certbot, который поможет нам выпустить и установить бесплатные SSL-сертификаты для наших поддоменов через центр Let’s encrypt.<\/p>\n

\n

Предполагаю, что вы уже настроили ваш сервер, чтобы поддомены были доступны по http (80 порт). Если вы не знаете, как это сделать, поищите статью по вашим ОС и веб-серверу на Digitalocean. Например, вот статья про установку и настройку Nginx на Ubuntu 20.04<\/a>.<\/p>\n<\/blockquote>\n

Заходим на сайт Certbot’а<\/a> и выбираем ОС нашего сервиса и веб-сервер. Ниже в примере будет Ubuntu 20.04 и Nginx. Дальше выбираем таб Wildcard.<\/p>\n

Предположим, что нам нужны следующие домены: example.com, api.example.com и app.example.com.
\nЗапускаем по инструкции первые 8 шагов для установки самой утилиты:<\/p>\n

\/\/ Удаляем snap, если он был установлен ранее\r\n$ sudo apt-get remove certbot\r\n\/\/ Устанавливаем snap\r\n$ sudo snap install core; sudo snap refresh core\r\n\/\/ Устанавливаем certbot\r\n$ sudo snap install --classic certbot\r\n$ sudo ln -s \/snap\/bin\/certbot \/usr\/bin\/certbot\r\n$ sudo snap set certbot trust-plugin-with-root=ok\r\n\r\n\/\/ Проверяем, что certbot установлен\r\n$ certbot --version\r\n> certbot 1.14.0<\/code><\/pre>
Для того, чтобы выпустить сертификаты, мы должны доказать удостоверяющему центру Let’s Encrypt, что мы действительно владеем данными доменами и сабдоменами. Есть два способа это сделать.<\/p>\n
    \n
  1. Добавить в DNS специальные txt записи, которые попросит нас добавить Let’s Encrypt, после этого он их проверит, и если записи будут обнаружены, это подтвердит факт владения (или по крайней мере доступа к ним). С чужими доменами так сделать не получится.<\/li>\n
  2. Webroot. Аналогичный способ, но специальные уникальные строки добавляются в файлы, которые потом должны быть доступны через URL, например: http:\/\/api.example.com\/.well-known\/acme-challenge\/JH1kjoemxaS33d<\/a><\/tt>. Поскольку такой файл сможет добавить только владелец домена, этого тоже достаточно, чтобы Let’s Encrypt удостоверился в факте нашего владения.<\/li>\n<\/ol>\n
    Certbot позволяет автоматизировать каждый из способов. Нам не придётся делать это вручную, что критично для будущей поддержки сертификатов — их нужно будет обновлять раз в два месяца. И если доменов и сабдоменов много, то это быстро станет обузой.<\/p>\n
    Certbot поддерживает из коробки несколько популярных DNS-регистраторов (те сервисы, где можно купить домен), и тогда можно следовать по инструкции, однако в моём случае регистратором был Godaddy, который не поддерживается. Поэтому я воспользовался вторым способом и он оказался даже проще первого. Кроме того, данный способ надёжнее, так как не зависит, повезёт ли вам с поддержкой вашего регистратора или нет.<\/p>\n
    Для верификации доменов по webroot нам нужно настроить каждый домен\/поддомен, чтобы он отдавал директорию \/.well-known\/acme-challenge\/<\/tt>. В эту папку certbot запишет то, что нужно Let’s Encrypt, чтобы мы прошли проверку, поэтому убедитесь, что certbot имеет туда доступ.<\/p>\n
    Есть небольшой лайфхак, как упростить работу с этой папкой в конфигах сервера. Для этого мы создадим отдельный файл конфига, который будем подключать для каждого домена\/поддомена. Пример для Nginx:<\/p>\n
    \/\/ создаём файл "\/etc\/nginx\/letsencrypt.conf"\r\nlocation \/.well-known\/acme-challenge {\r\n    # Вместо `\/var\/www\/acme-challenge` можно указать любую папку.\r\n    # Она может быть недоступна извне, это неважно. Главное, чтобы туда имел доступ ваш текущий юзер.\r\n    alias \/var\/www\/acme-challenge\/.well-known\/acme-challenge;\r\n}<\/code><\/pre>
    Подключаем этот файл в конфигах доменов и поддоменов. Допустим, у вас есть файл <\/tt>\/etc\/nginx\/sites-available\/api.example.com<\/tt> (с остальными аналогично).<\/p>\n
    server {\r\n    server_name api.example.com;\r\n    include letsencrypt.conf;\r\n    ...\r\n}<\/code><\/pre>
    Готово. Теперь домен будет все запросы, начинающиеся на \/.well-known\/acme-challenge<\/tt> будут направлены в папку \/var\/www\/acme-challenge\/.well-known\/acme-challenge<\/tt>, общую для всех доменов\/поддоменов.<\/p>\n
    Далее запускаем certbot, чтобы он пообщался с Let’s Encrypt, подтвердил наши домены, выпустил сертификаты и даже настроил наш веб-сервер на их использование.<\/p>\n
    certbot run -a webroot -i nginx -w \/var\/www\/acme-challenge -d example.com -d api.example.com -d app.example.com<\/code><\/pre>
    Разберём эти конфиги:<\/p>\n