Поведение расширения Let’s Encrypt в Plesk зависит от ряда настроек, например:

  • За какое время до окончания срока действия обновляются сертификаты Let’s Encrypt;
  • Записываются ли в журнал Plesk запросы к серверу ACME;
  • Размер секретного ключа RSA и так далее.

Вы можете изменить эти настройки, указав свои собственные значения в разделе [ext-letsencrypt] конфигурационного файла panel.ini. Например, чтобы настроить обновление сертификатов Let’s Encrypt за 45 дней до окончания срока действия и изменить размер секретного ключа RSA на 4096 бит, добавьте следующий раздел в файл panel.ini:

[ext-letsencrypt]
renew-before-expiration = 45
rsa-key-size = 4096

Как обеспечить защиту сайтов с помощью бесплатных SSL/TLS-сертификатов от Let’s Encrypt

Расширение Let’s Encrypt позволяет автоматически обеспечить защиту сайтов с помощью бесплатных доверенных SSL/TLS-сертификатов от Let’s Encrypt. Эту функцию можно включить или выключить для каждого конкретного хостинг-плана. Когда вы включаете эту функцию для хостинг-плана, то для каждого объекта (домена, субдомена, псевдонима домена или службы веб-почты), принадлежащего подписке на основе этого хостинг-плана, который:

  • защищен самозаверенным SSL/TLS-сертификатом,
  • защищен просроченным SSL/TLS-сертификатом,
  • вообще не защищен SSL/TLS-сертификатом,

Самозаверенный или просроченный SSL/TLS-сертификат заменяется на сертификат Let’s Encrypt.

Вы также можете настроить расширение Let’s Encrypt так, чтобы в дополнение к самозаверенным или просроченным SSL/TLS-сертификатам оно заменяло также и SSL/TLS-сертификаты, не выпущенные каким-либо доверенным центром сертификации. Для этого необходимо выставить значение true для настройки check-domain-cert-authority. Читайте больше о настройке check-domain-cert-authority в разделе “Список настроек Let’s Encrypt”.

Чтобы обеспечить защиту сайтов с помощью бесплатного SSL/TLS-сертификата от Let’s Encrypt:

  1. Перейдите на страницу Тарифные планы.
  2. На вкладке “Хостинг-планы” нажмите Добавить план для создания нового плана или нажмите имя существующего плана для его редактирования.
  3. Перейдите на вкладку “Дополнительные услуги”.
  4. В разделе «SSL It!» выберите «Обеспечить защиту сайтов с помощью бесплатного SSL-сертификата».
  5. Нажмите OK.

Теперь все домены, субдомены, псевдонимы доменов и службы веб-почты, принадлежащие подпискам на основе этого хостинг-плана, будут автоматически защищены с помощью сертификатов Let’s Encrypt. Это изменение затрагивает как существующие, так и вновь созданные подписки.

Кроме того, вы можете включить опцию “Обеспечить защиту сайтов с помощью бесплатного SSL-сертификата” с помощью XML API, отправив следующий запрос:

<?xml version="1.0" encoding="UTF-8"?>
<packet>
  <service-plan>
    <add-plan-item>
      <filter>
        <name>Default Domain</name>
      </filter>
      <plan-item>
        <name>urn:ext:letsencrypt:plan-item-sdk:keep-secured</name>
      </plan-item>
    </add-plan-item>
  </service-plan>
</packet>

Список настроек Let’s Encrypt

Все настройки расширения Let’s Encrypt, которые можно задать в файле panel.ini, описаны ниже:

Параметр Тип Описание Значение по умолчанию
rsa-key-size целое число Размер секретного ключа RSA в битах. 2048
user-agent строка HTTP-заголовок User-Agent. Plesk/$PRODUCT_VERSION
letsencrypt-url строка URL сайта Let’s Encrypt. https://letsencrypt.org/
terms-url строка URL хранилища правовых политик Let’s Encrypt. https://letsencrypt.org/repository/

renew-before-expiration

(устаревший)

целое число

Количество дней до окончания срока действия сертификата, за которое он должен автоматически обновиться.

Эту же настройку можно использовать и в расширении SSL It!. В таком случае настройка в SSL It! будет иметь более высокий приоритет, чем в Let’s Encrypt.

Сейчас эта настройка по-прежнему поддерживается, но в будущем будет исключена из Let’s Encrypt.

30
config-dir строка Путь, по которому хранятся сертификаты для интеграции с третьими лицами. $PRODUCT_ROOT/var/modules/letsencrypt/etc
verify строка Путь к набору доверенных сертификатов, подписанных корневым центром сертификации. $PRODUCT_ROOT/admin/plib/modules/letsencrypt/resources/ca/cacert.pem
disable-cleanup логическое значение Отключить очистку файлов идентификации после разрешения спора о доменах. false
log-requests логическое значение Записывать запросы к серверу ACME в журнал Plesk. false
secure-new-domain логическое значение Состояние по умолчанию флажка «Защитить домен с помощью Let’s Encrypt», отображаемое при создании подписки, домена или субдомена. false
letsencrypt-docs-rate-limits-url строка URL сайта с документацией Let’s Encrypt об ограничениях (“Rate Limits”). Эта ссылка отображается в сообщениях об ошибках в интерфейсе расширения, когда ограничения Let’s Encrypt превышаются. https://letsencrypt.org/docs/rate-limits/
check-availability-delay целое число *Временной интервал в секундах между попытками проверки доступности домена по HTTP. 5
check-availability-max-attempts целое число *Максимальное количество попыток проверки того, что домен доступен по HTTP. 10
check-availability-timeout целое число *Время ожидания ответа при проверке доступности домена по HTTP. Если в течение периода времени, установленного параметром check-availability-timeout, не получен код ответа, домен считается недоступным. 5
check-domain-cert-authority логическое значение Если выбрана опция “Обеспечить защиту сайтов с помощью бесплатного SSL-сертификата”, и эта настройка имеет значение «false», то расширение Let’s Encrypt заменяет только самозаверенные и просроченные SSL/TLS-сертификаты. Если же эта настройка имеет значение «true», расширение также заменяет SSL/TLS-сертификаты, не заверенные ни одним из корневых сертификатов комплекта сертификатов какого-либо доверенного корневого центра сертификации (смотрите описание настройки verify). false
send-notifications-interval временной интервал Эта настройка определяет, как часто расширение Let’s Encrypt сможет отправлять вам уведомления (например, о том, что домен был защищен сертификатом Let’s Encrypt, или об обновлении сертификата Let’s Encrypt). По умолчанию расширение отправляет вам по электронной почте одно уведомление в день. Это уведомление содержит информацию обо всех событиях, имеющих отношение к Let’s Encrypt, которые произошли с момента отправки предыдущего уведомления. Чтобы получать отдельное уведомление о каждом событии сразу после того, как оно произошло, присвойте этой настройке значение «now». 1 день
use-common-challenge-dir   Задает общую папку для подтверждения владения доменом: /var/www/vhosts/default/.well-known/acme-challenge. true

fallback-registration-email

(устаревший)

 

Регистрационный адрес электронной почты при возобновлении SSL/TLS-сертификатов. Используется только в случае, когда адрес для регистрации домена не сохранен в ModulesSettings, и адрес владельца домена не зарегистрирован.

Сейчас Let’s Encrypt требует адрес электронной почты для выдачи сертификата. Эта настройка по-прежнему поддерживается в настоящее время, но в будущем перестанет использоваться.

Адрес электронной почты администратора
acme-directory-url   URI папки сервера ACME. https://acme-v02.api.letsencrypt.org/directory
acme-protocol-version   Версия протокола ACME. acme-v02

Примечание: *Каждый раз при защите нового домена расширение Let’s Encrypt проверяет, доступен ли он по HTTP, так как домены могут быть некоторое время недоступны после создания их в Plesk. Во время этой проверки применяются все настройки, начиная с check-availability.