Сертификаты от Let’s Encrypt®

В менеджере секретов можно выпустить TLS-сертификат от Let’s Encrypt® для домена, который добавлен в DNS-хостинге Selectel.

Если выпустить сертификат Let’s Encrypt® в менеджере секретов, проверка DNS-01 будет происходить автоматически. DNS-записи домена хранятся в инфраструктуре Selectel, поэтому сервис самостоятельно создает TXT-запись для выпуска сертификата. Сервис отследит дату окончания сертификата и автоматически обновит его за 30 дней до истечения срока действия. При самостоятельном выпуске сертификата нужно подтверждать право на домен и проходить проверку, а затем обновлять сертификат каждые 60 дней.

Cертификат действует только в том проекте облачной платформы, в котором он был выпущен.

После выпуска сертификата Let’s Encrypt® сайт, сервис или приложение не будет автоматически открываться по протоколу HTTPS — нужно скачать сертификат и установить его на стороне вашего сервиса.

Выпустить сертификат Let’s Encrypt®

В сертификат Let’s Encrypt® для основного домена можно добавить любые его поддомены или выпустить Wildcard-сертификат, который будет действовать для всех поддоменов сразу.

Можно выпустить сертификат, который будет действовать только для поддомена.

  1. Если нужно выпустить сертификат для основного домена и его поддоменов или только для основного, то добавьте и делегируйте домен с помощью услуги DNS-хостинг.

  2. Если нужно выпустить сертификат только для поддомена, но не выпускать для основного, добавьте и делегируйте поддомен.

  3. В панели управления перейдите в раздел Облачная платформа ⟶ Менеджер секретов.

  4. Откройте вкладку Сертификаты.

  5. Нажмите Добавить сертификат.

  6. Выберите Сертификаты от Let’s Encrypt®.

  7. Введите имя сертификата.

  8. Выберите домен, для которого будет выпущен сертификат:

    • если сертификат нужно выпустить для основного домена и его поддоменов или только для основного, то выберите домен, который вы добавили в DNS-хостинг Selectel на шаге 1;
    • если сертификат нужен только для поддомена, то выберите поддомен, который вы добавили на шаге 2.

  9. Опционально: чтобы добавить в сертификат для основного домена поддомен, нажмите Добавить дополнительный домен.

    Введите имя поддомена. Чтобы выпустить Wildcard-сертификат, введите поддомен вида *.<example.com>

  10. Нажмите Выпустить сертификат.

  11. Скачайте сертификат и установите его на стороне вашего сервиса.

Скачать сертификат Let’s Encrypt®

  1. В панели управления перейдите в раздел Облачная платформа ⟶ Менеджер секретов.
  2. Откройте вкладку Сертификаты ⟶ страница сертификата.
  3. В блоке Файлы сертификата выберите сертификат, цепочку промежуточных сертификатов, корневой сертификат и приватный ключ.
  4. Нажмите Скачать.

Посмотреть статус сертификата Let’s Encrypt®

  1. В панели управления перейдите в раздел Облачная платформа ⟶ Менеджер секретов.
  2. Откройте вкладку Сертификаты.
  3. Посмотрите статус в строке сертификата столбец Статус.

Значение
ACTIVE Сертификат действителен и готов к использованию
CREATING Происходит выпуск сертификата и сохранение секретов
RENEWING До окончания срока действия сертификата осталось 30 дней, происходит перевыпуск
INVALID Сертификат недействителен по одной из причин:
  • подписан неверно;
  • нарушена цепочка доверия сертификатов (не удалось проверить корневой сертификат или истек срок действия промежуточного сертификата);
  • невозможно проверить подпись сертификата;
  • не прошел DNS-01 проверку
ERROR При выпуске сертификата произошла ошибка. Проверьте, что у вашего регистратора указаны NS-записи: ns1.selectel.org, ns2.selectel.org, ns3.selectel.org, ns4.selectel.org. Если проблема осталась, создайте тикет