Сертификат от Let's Encrypt
С помощью Certificate Manager вы можете создавать TLS-сертификаты от Let's Encrypt. Вы запрашиваете выпуск сертификата и проходите процедуру проверки прав на домены, после этого Certificate Manager управляет этим сертификатом, взаимодействуя с Let's Encrypt вместо вас.
Let's Encrypt предоставляет Domain Validation TLS-сертификаты со сроком действия 90 дней. Если вам нужны Organization Validation или Extended Validation сертификаты, воспользуйтесь сторонним центром сертификации для получения сертификата, и после этого загрузите его в Certificate Manager. Подробнее об этом читайте в разделе Пользовательский сертификат.
Сертификат, созданный с помощью Certificate Manager, можно использовать только в указанных сервисах Yandex Cloud.
Получение сертификата
-
Укажите список доменов, для которых вам необходимо выпустить сертификат.
-
Выберите тип проверки прав на домен:
HTTP
илиDNS
.Статус сертификата после создания запроса —
Validating
. -
Для выпуска сертификата пройдите процедуру проверки прав на домены, которые вы указали ранее.
В зависимости от выбранного типа проверки, самостоятельно разместите файл на веб-сервере либо добавьте ресурсную запись
TXT
илиCNAME
с нужным значением в DNS-сервисе. Подробнее о типах проверки и способах их прохождения читайте в разделе Проверка прав на домен.Чтобы DNS-проверка прав на домен по записи
CNAME
прошла успешно, для поддомена_acme-challenge
проверяемого доменного имени не должно быть создано никаких ресурсных записей, кроме записиCNAME
. Например, для имени_acme-challenge.example.com.
должна существовать только CNAME-запись и не должно быть TXT-записи. -
После успешного прохождения проверки прав на домены, сертификат будет выпущен, и перейдет в статус
Issued
. Вы можете использовать сертификат в сервисах, интегрированных с Certificate Manager.
Важно
Если за одну неделю не удастся успешно пройти процедуру проверки прав на домены, то сертификат не будет выпущен, и его статус изменится на Invalid
.
Обновление сертификата
Важно
Обновление сертификата требует от вас действий, описанных ниже. Внимательно следите за временем жизни созданных сертификатов, чтобы своевременно обновлять их.
-
Certificate Manager запускает процедуру обновления сертификата за 30 дней до окончания срока действия сертификата.
Статус сертификата после запуска процедуры обновления —
Renewing
. -
Пройдите процедуру проверки прав на домены.
В зависимости от выбранного типа проверки обновите файл на веб-сервере или обновите
TXT
-запись в DNS-сервисе на новое значение. Подробнее читайте в разделе Проверка прав на домен.Примечание
Если сертификат используется в статическом веб-сайте в Object Storage и не содержит доменов с маской
,
то процедура проверки прав может быть пройдена автоматически. Подробнее в разделе Автоматическая проверка прав. -
После успешного прохождения проверки прав на домены, сертификат будет обновлен, и перейдет в статус
Issued
. Все ресурсы, использующие сертификат, получат его новую версию.
Сертификат не будет обновлен, если процедура проверки прав на домены завершилась ошибкой хотя бы для одного домена. При этом статус сертификата изменится на Renewal_failed
и он будет продолжать действовать до окончания срока действия.
Спустя некоторое время после неудачного обновления будет предпринята новая попытка обновить сертификат.
Чтобы избежать проблем с доступом к ресурсам, которые используют сертификат в статусе Renewal_failed
:
- До истечения срока действия сертификата выпустите и добавьте новый сертификат от Let's Encrypt.
- Пройдите процедуру проверки прав на домены.
- Используйте новый сертификат в ваших ресурсах.