Решил задачу, рассказал об этом
Получение сертификата будем рассматривать на centos 7. Для получения бесплатного ssl сертификата Let's Encrypt необходимо подключится по ssh соединению с вашему серверу, где находится ваш сайт. И установить утилиту certbot командой yum install certbot
После успешной установки утилиты, получать сертификат будем командой
certbot certonly --manual --agree-tos --email mail@yandex.ru --preferred-challenges=dns -d site.ru,где:
certonly — запрос нового сертификата;
manual — проверка домена вручную.
preferred-challenges — указывает метод проверки домена.
agree-tos — даем согласие на лицензионное соглашение;
email — почтовый адрес администратора домена;
d — перечисление доменов, для которых запрашиваем сертификат.
Здесь самое главное указать email и домен сайта
На запрос система выдаст что-то на подобие:
Saving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator manual, Installer None Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org Cert is due for renewal, auto-renewing... Renewing an existing certificate for site.ru Performing the following challenges: dns-01 challenge for site.ru - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please deploy a DNS TXT record under the name _acme-challenge.site.ru with the following value: CnoAdjSZP84T1wxwEavf45ybrty56y54ytrbhgfb-Zfa0-A Before continuing, verify the record is deployed. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Press Enter to Continue^CCleaning up challenges
Сохранение журнала отладки в /var/log/letsencrypt/letsencrypt.log Выбранные плагины: Руководство по аутентификации, Установщик отсутствует Запуск нового HTTPS-соединения (1): acme-v02.api.letsencrypt.org Сертификат подлежит продлению, автоматическое продление... Продление существующего сертификата для site.ru Выполнение следующих задач: dns01 вызов для site.ru - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Пожалуйста, разверните запись DNS TXT под именем _acme-challenge.site.ru со следующим значением: CnoAdjSZP84T1wxwEavf45ybrty56y54ytrbhgfb-Zfa0-A Прежде чем продолжить, убедитесь, что запись развернута. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Нажмите Enter, чтобы продолжить^CCleaning up challenges
Данное сообщение говорит о том, что нужно подтвердить право использования домена и для этого необходимо добавить txt запись к вашему домену в панели управления DNS следующего вида
ИМЯ _acme-challenge.site.ru.
ТИП TXT (текстовая запись)
ЗНАЧЕНИЕ CnoAdjSZP84T1wxwEavf45ybrty56y54ytrbhgfb-Zfa0-A
После этого необходимо нажать enter для верификации
И получаем такой ответ, что сертификат создан и сохранен по пути /etc/letsencrypt/live/site.ru
Waiting for verification... Resetting dropped connection: acme-v02.api.letsencrypt.org Cleaning up challenges Subscribe to the EFF mailing list (email: mail@yandex.ru). Starting new HTTPS connection (1): supporters.eff.org IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/site.ru/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/site.ru/privkey.pem Your certificate will expire on 2022-11-16. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
Ожидание подтверждения... Сброс оборванного соединения: acme-v02.api.letsencrypt.org Устранение проблем Подпишитесь на рассылку EFF (электронная почта: mail@yandex.ru ). Запуск нового HTTPS-соединения (1): supporters.eff.org ВАЖНЫЕ ПРИМЕЧАНИЯ: - поздравляю! Ваш сертификат и цепочка были сохранены на: /etc/letsencrypt/live/site.ru/fullchain.pem Ваш ключевой файл был сохранен по адресу: /etc/letsencrypt/live/site.ru/privkey.pem Срок действия вашего сертификата истекает в 2022-11-16 годах. Чтобы в будущем получить новую или измененную версию этого сертификата, просто запустите снова сертификат бота. Чтобы неинтерактивно обновить *все* ваши сертификаты, запустите "certbot renew". - Если вам нравится Certbot, пожалуйста, рассмотрите возможность поддержки нашей работы путем: Пожертвование ISRG / Let's Encrypt: https://letsencrypt.org/donate Пожертвования в EFF: https://eff.org/donate-le
Время действия сертификата 3 месяца. Далее нужно создавать все заново.
У меня установлено веб окружение битрикс на сервере CENTOS 7.0, поэтому ssl сертификат буду располагать по пути /etc/nginx/ssl
В файле site_ru.key заменить данные на privkey.pem, там лежит приватный ключ PRIVATE KEY
site_ru.crt заменить данные на fullchain.pem, там лежит вся цепочка сертификатов
site_ru.ca заменить данные на chain.pem, там лежит не полная цепочка, та которая идет до главного сертификата выданного letsencrypt. Если вам уже выдавался сертификат от letsencrypt и был настроен, то этот файл можно не трогать
cert.pem вначале вставить PRIVATE KEY и далее сам CERTIFICATE из файла cert.pem
Проверяем, что конфигурационные файлы nginx без ошибок командой nginx -t
И перезапускаем nginx командой service nginx restart
