Сертификат от Let's Encrypt

С помощью Certificate Manager вы можете создавать TLS-сертификаты от Let's Encrypt. Вы запрашиваете выпуск сертификата и проходите процедуру проверки прав на домены, после этого Certificate Manager управляет этим сертификатом, взаимодействуя с Let's Encrypt вместо вас.

Let's Encrypt предоставляет Domain Validation TLS-сертификаты со сроком действия 90 дней. Если вам нужны Organization Validation или Extended Validation сертификаты, воспользуйтесь сторонним центром сертификации для получения сертификата, и после этого загрузите его в Certificate Manager. Подробнее об этом читайте в разделе Пользовательский сертификат.

Сертификат, созданный с помощью Certificate Manager, можно использовать только в указанных сервисах Yandex Cloud.

Получение сертификатаПолучение сертификата

1. Укажите список доменов, для которых вам необходимо выпустить сертификат.

2. Выберите тип проверки прав на домен: HTTP или DNS.

   Статус сертификата после создания запроса — Validating.

3. Для выпуска сертификата пройдите процедуру проверки прав на домены, которые вы указали ранее.

   В зависимости от выбранного типа проверки, самостоятельно разместите файл на веб-сервере либо добавьте ресурсную запись TXT или CNAME с нужным значением в DNS-сервисе. Подробнее о типах проверки и способах их прохождения читайте в разделе Проверка прав на домен.

   Чтобы DNS-проверка прав на домен по записи CNAME прошла успешно, для поддомена _acme-challenge проверяемого доменного имени не должно быть других ресурсных записей, кроме CNAME. Например, для имени _acme-challenge.example.com. должна существовать только CNAME-запись и не должно быть TXT-записи.

4. После успешного прохождения проверки прав на домены, сертификат будет выпущен, и перейдет в статус Issued. Вы можете использовать сертификат в сервисах, интегрированных с Certificate Manager.

Статусы выпуска сертификатаСтатусы выпуска сертификата

Посмотреть этапы выпуска сертификата, их подробное описание и результат каждого из этапов можно в консоли управления. Эта информация содержится в логах каждого сертификата.

Выпуск сертификата Let's Encrypt включает следующие этапы:

1. Запрос сертификата.

   На этом этапе генерируется пара асимметричных ключей, создается аккаунт в Let's Encrypt и отправляется запрос на сертификат.

2. Генерация испытаний.

   На этом этапе формируются задания для проверки прав на домены по стандарту ACME.

3. Проверка прохождения испытаний — проверка прав на домены.

   На этом этапе проверяется, что вы распоряжаетесь доменами, для которых запрашивали сертификат. Чтобы этап завершился успешно, выполните действия для выбранного типа проверки:

   • HTTP — разместите файл на веб-сервере.
   • DNS — добавьте запись в DNS-сервисе.

   Система каждые полчаса проверяет, выполнены ли условия испытаний. Пока условия не выполнены, этап остается в статусе Error. Если испытания не пройдены за неделю, запрос на сертификат отклоняется.

4. Завершение выпуска сертификата. На этом этапе автоматически выполняются следующие действия:

   1. Создание запроса на подпись сертификата (Certificate Signing Request — CSR).
   2. Проверка испытаний на стороне Let's Encrypt.
   3. Отправка запроса на подпись сертификата в Let's Encrypt.
   4. Получение ответа Let's Encrypt о выпуске сертификата.
   5. Завершение выпуска и сохранение сертификата в Certificate Manager.

Переход на каждый следующий этап возможен, когда предыдущий завершается со статусом Success.

Обновление сертификатаОбновление сертификата

1. Certificate Manager запускает процедуру обновления сертификата за 30 дней до окончания срока действия сертификата.

   Статус сертификата после запуска процедуры обновления — Renewing.

2. Пройдите процедуру проверки прав на домены.

   В зависимости от выбранного типа проверки обновите файл на веб-сервере или обновите TXT-запись в DNS-сервисе на новое значение. Подробнее читайте в разделе Проверка прав на домен.

   Примечание

   Если сертификат используется в статическом сайте в Object Storage и не содержит доменов с маской,
   то процедура проверки прав может быть пройдена автоматически. Подробнее в разделе Автоматическая проверка прав.

3. После успешного прохождения проверки прав на домены, сертификат будет обновлен, и перейдет в статус Issued. Все ресурсы, использующие сертификат, получат его новую версию.

Сертификат не будет обновлен, если процедура проверки прав на домены завершилась ошибкой хотя бы для одного домена. При этом статус сертификата изменится на Renewal_failed и он будет продолжать действовать до окончания срока действия.
Спустя некоторое время после неудачного обновления будет предпринята новая попытка обновить сертификат.

Чтобы избежать проблем с доступом к ресурсам, которые используют сертификат в статусе Renewal_failed:

1. До истечения срока действия сертификата выпустите и добавьте новый сертификат от Let's Encrypt.
2. Пройдите процедуру проверки прав на домены.
3. Используйте новый сертификат в ваших ресурсах.

Примеры использованияПримеры использования

• Установка Ingress-контроллера NGINX с сертификатом из Certificate Manager
• Хостинг статического сайта на фреймворке Gatsby в Yandex Object Storage
• Организация виртуального хостинга
• Терминирование TLS-соединений

См. такжеСм. также

• Проверка прав на домен
• Интегрированные с Certificate Manager сервисы