Проверка прав на домен
Для получения и обновления сертификата от Let's Encrypt пройдите процедуру проверки прав на каждый домен, указанный в сертификате. В Certificate Manager доступно два типа проверок: HTTP
и DNS
. При создании сертификата вы можете выбрать любой тип проверки. Проверка прав на домены может занять продолжительное время.
Примечание
Проверка прав на домены требуется только для сертификатов от Let's Encrypt. Certificate Manager не проверяет права на домены из импортированных пользовательских сертификатов.
Certificate Manager ожидает успешного завершения процедуры проверки по каждому домену из сертификата (статус всех проверок — Valid
). После этого будет выпущен сертификат в Let's Encrypt. Статус сертификата изменится на Issued
, и вы сможете использовать его в сервисах, интегрированных с Certificate Manager.
Если процедура проверки не будет выполнена в течение одной недели, сертификат перейдет в статус Invalid
при получении сертификата или Renewal_failed
при обновлении сертификата. Чтобы после этого получить сертификат, создайте новый запрос на выпуск сертификата от Let's Encrypt.
Статусы процедуры проверки сертификата
Процедура проверки может находиться в следующих статусах:
Pending
— процедура проверки ожидает завершения. Факт завершения процедуры проверки определяет Certificate Manager.Validating
— процедура проверки ожидает подтверждения от Let's Encrypt.Valid
— процедура проверки успешно пройдена.Invalid
— процедура проверки прав на конкретный домен завершилась с ошибкой или истек срок в одну неделю, отведенный на прохождение процедуры.Renewal_failed
— процедура проверки прав при обновлении сертификата завершилась с ошибкой или истек срок в одну неделю, отведенный на прохождение процедуры.Issued
— сертификат выпущен.
HTTP
Примечание
Тип проверки HTTP
не может использоваться для Wildcard-сертификатов.
Для прохождения процедуры проверки прав на домен example.com
:
-
В консоли управления
выберите каталог, в который был добавлен сертификат. -
В списке сервисов выберите Certificate Manager и нажмите на имя нужного сертификата.
-
Подготовьте файл, который позволит удостоверяющему центру Let's Encrypt убедиться, что вы являетесь владельцем указанного в сертификате домена:
-
С помощью панели управления вашим хостингом создайте на сервере файл, имя и путь к которому соответствуют значению поля Ссылка для размещения файла в блоке HTTP-запись. Например:
/.well-known/acme-challenge/
— путь размещения файла.di2o3VRsbS6H_eUntKnW3Xcefw_1DOSpZ1B********
— имя файла.
-
Поместите в созданный файл значение поля Содержимое из блока HTTP-запись. Например:
di2o3VRsbS6H_eUntKnW3Xcefw_1DOSpZ1BLW0QUDbE._TYLpfPMbwHQZ1aEmsdpidY5bPUnVyDvqSO********
В результате на вашем веб-сервере должен появиться файл
http://example.com/.well-known/acme-challenge/di2o3VRsbS6H_eUntKnW3Xcefw_1DOSpZ1B********
, содержащий текстdi2o3VRsbS6H_eUntKnW3Xcefw_1DOSpZ1BLW0QUDbE._TYLpfPMbwHQZ1aEmsdpidY5bPUnVyDvqSO********
. -
-
Дождитесь, когда удостоверяющий центр Let's Encrypt выпустит сертификат, после чего статус сертификата изменится на
Issued
. -
Удалите с вашего веб-сервера созданный для проверки сертификата файл.
DNS
Если у вас нет доступа к веб-серверу или необходимо получить Wildcard-сертификат с масками на поддомены вида *.example.com
, используйте тип проверки DNS
.
Для прохождения проверки вам необходимо добавить специальную DNS-запись одного из двух типов: TXT
или CNAME
.
Внимание
Добавляйте только одну запись. Если добавить обе записи, возникнут конфликты в работе кеширующих серверов.
При использовании TXT-записи вам придется проходить проверку каждые 60 дней в рамках автоматического обновления сертификата.
При использовании CNAME-записи возможно пройти проверку только один раз. Для этого необходимо делегировать Certificate Manager право ответа в DNS-зоне домена, используемой при проверке. В этом случае проверки будут проходить автоматически.
Добавление CNAME-записи
Для автоматического прохождения проверки прав на домен example.com
:
-
В консоли управления
выберите каталог, в который был добавлен сертификат. -
В списке сервисов выберите Certificate Manager.
-
В списке сертификатов выберите сертификат, который участвует в проверке.
-
Порядок действий на этом шаге будет зависеть от того, управляет вашим доменом сервис Yandex Cloud DNS или сторонний DNS-провайдер.
Yandex Cloud DNSСторонний DNS-провайдерВ разделе Проверка прав на домены, в блоке с типом записи
CNAME
, в поле Cloud DNS, нажмите кнопку Создать запись. В открывшемся окне:- Если в текущем каталоге есть подходящая зона DNS, она будет автоматически подставлена в поле Зона. Если подходящей зоны DNS нет, нажмите Создать зону и задайте ее параметры, чтобы создать зону.
- Нажмите кнопку Создать.
-
В разделе Проверка прав на домены, в блоке с типом записи
CNAME
, в поле Значение, посмотрите значение записи для домена. -
Разместите у своего DNS-провайдера или на собственном DNS-сервере
CNAME
-запись для делегирования прав управления на DNS-зону, используемую для проверки:_acme-challenge.example.com CNAME <значение>
Строка
<значение>
формируется по шаблону<идентификатор_сертификата>.cm.yandexcloud.net.
Чтобы DNS-проверка прав на домен по записи
CNAME
прошла успешно, для поддомена_acme-challenge
проверяемого доменного имени не должно быть других ресурсных записей, кромеCNAME
. Например, для имени_acme-challenge.example.com.
должна существовать только CNAME-запись и не должно быть TXT-записи.
Примечание
Проверка прав на домены может занять от нескольких часов до нескольких дней.
Добавление TXT-записи
Для прохождения проверки прав на домен example.com
:
-
В консоли управления
выберите каталог, в который был добавлен сертификат. -
В списке сервисов выберите Certificate Manager.
-
В списке сертификатов выберите сертификат, который участвует в проверке.
-
Порядок действий на этом шаге будет зависеть от того, управляет вашим доменом сервис Yandex Cloud DNS или сторонний DNS-провайдер.
Yandex Cloud DNSСторонний DNS-провайдерВ разделе Проверка прав на домены, в блоке с типом записи
TXT
, в поле Cloud DNS, нажмите кнопку Создать запись. В открывшемся окне:- Если в текущем каталоге есть подходящая зона DNS, она будет автоматически подставлена в поле Зона. Если подходящей зоны DNS нет, нажмите Создать зону и задайте ее параметры, чтобы создать зону.
- Нажмите кнопку Создать.
-
В разделе Проверка прав на домены, в блоке с типом записи
TXT
, в поле Значение, посмотрите значение записи для домена. -
Разместите у своего DNS-провайдера или на собственном DNS-сервере
TXT
-запись:_acme-challenge.example.com. IN TXT <значение>
Примечание
Проверка прав на домены может занять от нескольких часов до нескольких дней.
-
После изменения статуса сертификата на
Issued
удалите с DNS-сервера добавленнуюTXT
-запись.
Автоматическая проверка прав
В некоторых случаях процедура проверки прав на домен не требует участия пользователя.
CNAME-запись на зону
Проверка проходит автоматически при соблюдении следующих условий:
-
Сертификат находится в статусе
Renewing
— проходит процедуру обновления. -
Для каждого домена сертификата настроена DNS-запись:
_acme-challenge.example.com CNAME <идентификатор_сертификата>.cm.yandexcloud.net.
Перенаправление статического сайта Object Storage
Проверка проходит автоматически при соблюдении следующих условий:
- Сертификат находится в статусе
Renewing
— проходит процедуру обновления. - Сертификат используется в HTTPS-конфигурации статического веб-сайта Object Storage.
- Для каждого домена сертификата настроен:
- алиас на бакет статического сайта, в котором используется этот сертификат;
- или переадресация на домен с алиасом на бакет.
- Сертификат не является Wildcard-сертификатом — не содержит масок на поддомены.
Перенаправление на сервер валидации в веб-сервере
Проверка проходит автоматически при соблюдении следующих условий:
- Сертификат находится в статусе
Renewing
— проходит процедуру обновления. - Сертификат не является Wildcard-сертификатом — не содержит масок на поддомены.
- Для каждого домена сертификата в веб-сервере настроено перенаправление с
http://<домен>/.well-known/acme-challenge/*
https://validation.certificate-manager.api.cloud.yandex.net/<идентификатор_сертификата>/*
Пример настройки перенаправления в nginx-конфигурации:
server {
location ~ ^/.well-known/acme-challenge/([a-zA-Z0-9-_]+)$ {
return 301 https://validation.certificate-manager.api.cloud.yandex.net/<идентификатор_сертификата>/$1;
}
}