Управление настройками Let’s Encrypt
Поведение расширения Let’s Encrypt в Plesk зависит от ряда настроек, например:
- За какое время до окончания срока действия обновляются сертификаты Let’s Encrypt;
- Записываются ли в журнал Plesk запросы к серверу ACME;
- Размер секретного ключа RSA и так далее.
Вы можете изменить эти настройки, указав свои собственные значения в разделе [ext-letsencrypt] конфигурационного файла panel.ini. Например, чтобы настроить обновление сертификатов Let’s Encrypt за 45 дней до окончания срока действия и изменить размер секретного ключа RSA на 4096 бит, добавьте следующий раздел в файл panel.ini:
[ext-letsencrypt]
renew-before-expiration = 45
rsa-key-size = 4096
Как обеспечить защиту сайтов с помощью бесплатных SSL/TLS-сертификатов от Let’s Encrypt
Расширение Let’s Encrypt позволяет автоматически обеспечить защиту сайтов с помощью бесплатных доверенных SSL/TLS-сертификатов от Let’s Encrypt. Эту функцию можно включить или выключить для каждого конкретного хостинг-плана. Когда вы включаете эту функцию для хостинг-плана, то для каждого объекта (домена, субдомена, псевдонима домена или службы веб-почты), принадлежащего подписке на основе этого хостинг-плана, который:
- защищен самозаверенным SSL/TLS-сертификатом,
- защищен просроченным SSL/TLS-сертификатом,
- вообще не защищен SSL/TLS-сертификатом,
Самозаверенный или просроченный SSL/TLS-сертификат заменяется на сертификат Let’s Encrypt.
Вы также можете настроить расширение Let’s Encrypt так, чтобы в дополнение к самозаверенным или просроченным SSL/TLS-сертификатам оно заменяло также и SSL/TLS-сертификаты, не выпущенные каким-либо доверенным центром сертификации. Для этого необходимо выставить значение true для настройки check-domain-cert-authority. Читайте больше о настройке check-domain-cert-authority в разделе “Список настроек Let’s Encrypt”.
Чтобы обеспечить защиту сайтов с помощью бесплатного SSL/TLS-сертификата от Let’s Encrypt:
- Перейдите на страницу Тарифные планы.
- На вкладке “Хостинг-планы” нажмите Добавить план для создания нового плана или нажмите имя существующего плана для его редактирования.
- Перейдите на вкладку “Дополнительные услуги”.
- В разделе «SSL It!» выберите «Обеспечить защиту сайтов с помощью бесплатного SSL-сертификата».
- Нажмите OK.
Теперь все домены, субдомены, псевдонимы доменов и службы веб-почты, принадлежащие подпискам на основе этого хостинг-плана, будут автоматически защищены с помощью сертификатов Let’s Encrypt. Это изменение затрагивает как существующие, так и вновь созданные подписки.
Кроме того, вы можете включить опцию “Обеспечить защиту сайтов с помощью бесплатного SSL-сертификата” с помощью XML API, отправив следующий запрос:
<?xml version="1.0" encoding="UTF-8"?>
<packet>
<service-plan>
<add-plan-item>
<filter>
<name>Default Domain</name>
</filter>
<plan-item>
<name>urn:ext:letsencrypt:plan-item-sdk:keep-secured</name>
</plan-item>
</add-plan-item>
</service-plan>
</packet>
Список настроек Let’s Encrypt
Все настройки расширения Let’s Encrypt, которые можно задать в файле panel.ini, описаны ниже:
| Параметр | Тип | Описание | Значение по умолчанию |
|---|---|---|---|
rsa-key-size |
целое число | Размер секретного ключа RSA в битах. | 2048 |
user-agent |
строка | HTTP-заголовок User-Agent. | Plesk/$PRODUCT_VERSION |
letsencrypt-url |
строка | URL сайта Let’s Encrypt. | https://letsencrypt.org/ |
terms-url |
строка | URL хранилища правовых политик Let’s Encrypt. | https://letsencrypt.org/repository/ |
|
(устаревший) |
целое число |
Количество дней до окончания срока действия сертификата, за которое он должен автоматически обновиться. Эту же настройку можно использовать и в расширении SSL It!. В таком случае настройка в SSL It! будет иметь более высокий приоритет, чем в Let’s Encrypt. Сейчас эта настройка по-прежнему поддерживается, но в будущем будет исключена из Let’s Encrypt. |
30 |
config-dir |
строка | Путь, по которому хранятся сертификаты для интеграции с третьими лицами. | $PRODUCT_ROOT/var/modules/letsencrypt/etc |
verify |
строка | Путь к набору доверенных сертификатов, подписанных корневым центром сертификации. | $PRODUCT_ROOT/admin/plib/modules/letsencrypt/resources/ca/cacert.pem |
disable-cleanup |
логическое значение | Отключить очистку файлов идентификации после разрешения спора о доменах. | false |
log-requests |
логическое значение | Записывать запросы к серверу ACME в журнал Plesk. | false |
secure-new-domain |
логическое значение | Состояние по умолчанию флажка «Защитить домен с помощью Let’s Encrypt», отображаемое при создании подписки, домена или субдомена. | false |
letsencrypt-docs-rate-limits-url |
строка | URL сайта с документацией Let’s Encrypt об ограничениях (“Rate Limits”). Эта ссылка отображается в сообщениях об ошибках в интерфейсе расширения, когда ограничения Let’s Encrypt превышаются. | https://letsencrypt.org/docs/rate-limits/ |
check-availability-delay |
целое число | *Временной интервал в секундах между попытками проверки доступности домена по HTTP. | 5 |
check-availability-max-attempts |
целое число | *Максимальное количество попыток проверки того, что домен доступен по HTTP. | 10 |
check-availability-timeout |
целое число | *Время ожидания ответа при проверке доступности домена по HTTP. Если в течение периода времени, установленного параметром check-availability-timeout, не получен код ответа, домен считается недоступным. | 5 |
check-domain-cert-authority |
логическое значение | Если выбрана опция “Обеспечить защиту сайтов с помощью бесплатного SSL-сертификата”, и эта настройка имеет значение «false», то расширение Let’s Encrypt заменяет только самозаверенные и просроченные SSL/TLS-сертификаты. Если же эта настройка имеет значение «true», расширение также заменяет SSL/TLS-сертификаты, не заверенные ни одним из корневых сертификатов комплекта сертификатов какого-либо доверенного корневого центра сертификации (смотрите описание настройки verify). |
false |
send-notifications-interval |
временной интервал | Эта настройка определяет, как часто расширение Let’s Encrypt сможет отправлять вам уведомления (например, о том, что домен был защищен сертификатом Let’s Encrypt, или об обновлении сертификата Let’s Encrypt). По умолчанию расширение отправляет вам по электронной почте одно уведомление в день. Это уведомление содержит информацию обо всех событиях, имеющих отношение к Let’s Encrypt, которые произошли с момента отправки предыдущего уведомления. Чтобы получать отдельное уведомление о каждом событии сразу после того, как оно произошло, присвойте этой настройке значение «now». | 1 день |
use-common-challenge-dir |
Задает общую папку для подтверждения владения доменом: /var/www/vhosts/default/.well-known/acme-challenge.
|
true | |
|
(устаревший) |
Регистрационный адрес электронной почты при возобновлении SSL/TLS-сертификатов. Используется только в случае, когда адрес для регистрации домена не сохранен в ModulesSettings, и адрес владельца домена не зарегистрирован. Сейчас Let’s Encrypt требует адрес электронной почты для выдачи сертификата. Эта настройка по-прежнему поддерживается в настоящее время, но в будущем перестанет использоваться. |
Адрес электронной почты администратора | |
acme-directory-url |
URI папки сервера ACME. | https://acme-v02.api.letsencrypt.org/directory |
|
acme-protocol-version |
Версия протокола ACME. | acme-v02 |
Примечание: *Каждый раз при защите нового домена расширение Let’s Encrypt проверяет, доступен ли он по HTTP, так как домены могут быть некоторое время недоступны после создания их в Plesk. Во время этой проверки применяются все настройки, начиная с check-availability.