Polska Strona Freesco
Letsencrypt i Certbot

Letsencrypt i Certbot

Dziś już strony www, które nie używają szyfrowanego połączenia HTTPS, są uznawane przez prawie wszystkie przeglądarki za niebezpieczne. Zwykle na samym początku już wyświetli się nam ostrzeżenie, że ta strona nie jest przesyłana i wyświetlana w bezpiecznym połączeniu i postronne osoby mogą podejrzeć np. nasze hasła, jeśli tą drogą będziemy je przesyłać. To prawda. Ale jeśli to jest jakieś hobbystyczne forum lub prywatny blog, to te ostrzeżenia nie mają większego sensu. Z drugiej strony, w żadnym wypadku nie można ufać takiej stronie, jeśli coś sprzedaje i chce od nas danych osobowych (lub czegoś więcej).

Jeśli ktoś jest właścicielem niewielkiej strony prywatnej, na przykład blogu, to kupowanie certyfikatu może być zbyt dużym obciążeniem finansowym. Co roku trzeba wydać kwotę paruset złotych. Co roku, bo tak długo ważny jest certyfikat. Można jednak skorzystać z darmowej usługi Letsencrypt. Jeśli mamy własny serwer, sprawa jest prosta. Instalujemy aplikację certbot i zgodnie z instrukcją generujemy certyfikat, odpowiednie polecenie samo dopisuje się już do crona i certyfikat odnawia się bez naszego udziału co kwartał. Jeśli mamy tylko hosting i stronę na WordPressie, to też jest proste. Wystarczy zainstalować jedną z wtyczek SSL. Jeśli kupimy wersję płatną, twórcy obiecują nam, że certyfikat będzie się również odnawiał automatycznie. Przy wersji darmowej sami musimy to zrobić to co trzy miesiące. Jednak wtyczki oferują łatwą drogę krok po kroku. Nawet laik sobie poradzi.

Trochę gorzej jest, jeśli nasza strona znajduje się na nietypowym hostingu albo nie korzysta z tak popularnego silnika jak WordPress. Czasem możemy potrzebować certyfikatu dla usługi na nietypowym porcie i wtedy zaczynają się schody. Ja potrzebowałem certyfikatu dla usługi Cockpit dla komputera znajdującego się za firewallem, który miał wyłącznie jeden port forwardowany. Automatyczne odnowienie nie może tu zadziałać.

Musimy to zrobić ręcznie. Jeśli korzystamy z komputera z systemem Mac Os lub Windows, też znajdziemy i zainstalujemy odpowiednie oprogramowanie. Jest wersja windowsowa Certbota, a na macbookach zainstalujemy go przez homebrew. Całą procedurę niezależnie od systemu musimy przeprowadzić jednym poleceniem: certbot certonly -a manual -d twoja.domena.pl –preferred-challenges http. To polecenie połączy nas z Letsencrypt. Musimy podać swój email, nacisnąć „y”, potwierdzając zgodę na regulamin, a następnie program wyświetli nam ciąg znaków. Ten ciąg znaków musimy wpisać do pliku, który utworzymy w głównym katalogu naszej domeny we wcześniej utworzonym katalogu .well-known/acme-challenge. Certbot poda nam skomplikowaną nazwę tego pliku oraz zawartość. Przyda się podstawowa znajomość angielskiego. Gdy to się uda, to na naszym komputerze, na którym przeprowadzamy tę operację zapiszą się pliki fullchain, cert oraz privkey, ktore ręcznie musimy skopiować na nasz serwer hostingowy. I tak co trzy miesiące.


Dodaj komentarz