Сертификат от Let's Encrypt

С помощью Certificate Manager вы можете создавать TLS-сертификаты от Let's Encrypt. Вы запрашиваете выпуск сертификата и проходите процедуру проверки прав на домены, после этого Certificate Manager управляет этим сертификатом, взаимодействуя с Let's Encrypt вместо вас.

Let's Encrypt предоставляет Domain Validation TLS-сертификаты со сроком действия 90 дней. Если вам нужны Organization Validation или Extended Validation сертификаты, воспользуйтесь сторонним центром сертификации для получения сертификата, и после этого загрузите его в Certificate Manager. Подробнее об этом читайте в разделе Пользовательский сертификат.

Сертификат, созданный с помощью Certificate Manager, можно использовать только в указанных сервисах Yandex Cloud.

Получение сертификатаПолучение сертификата

1. Укажите список доменов, для которых вам необходимо выпустить сертификат.

2. Выберите тип проверки прав на домен: HTTP или DNS.

   Статус сертификата после создания запроса — Validating.

3. Для выпуска сертификата пройдите процедуру проверки прав на домены, которые вы указали ранее.

   В зависимости от выбранного типа проверки, самостоятельно разместите файл на веб-сервере либо добавьте ресурсную запись TXT или CNAME с нужным значением в DNS-сервисе. Подробнее о типах проверки и способах их прохождения читайте в разделе Проверка прав на домен.

   Чтобы DNS-проверка прав на домен по записи CNAME прошла успешно, для поддомена _acme-challenge проверяемого доменного имени не должно быть создано никаких ресурсных записей, кроме записи CNAME. Например, для имени _acme-challenge.example.com. должна существовать только CNAME-запись и не должно быть TXT-записи.

4. После успешного прохождения проверки прав на домены, сертификат будет выпущен, и перейдет в статус Issued. Вы можете использовать сертификат в сервисах, интегрированных с Certificate Manager.

Обновление сертификатаОбновление сертификата

1. Certificate Manager запускает процедуру обновления сертификата за 30 дней до окончания срока действия сертификата.

   Статус сертификата после запуска процедуры обновления — Renewing.

2. Пройдите процедуру проверки прав на домены.

   В зависимости от выбранного типа проверки обновите файл на веб-сервере или обновите TXT-запись в DNS-сервисе на новое значение. Подробнее читайте в разделе Проверка прав на домен.

   Примечание

   Если сертификат используется в статическом веб-сайте в Object Storage и не содержит доменов с маской,
   то процедура проверки прав может быть пройдена автоматически. Подробнее в разделе Автоматическая проверка прав.

3. После успешного прохождения проверки прав на домены, сертификат будет обновлен, и перейдет в статус Issued. Все ресурсы, использующие сертификат, получат его новую версию.

Сертификат не будет обновлен, если процедура проверки прав на домены завершилась ошибкой хотя бы для одного домена. При этом статус сертификата изменится на Renewal_failed и он будет продолжать действовать до окончания срока действия.
Спустя некоторое время после неудачного обновления будет предпринята новая попытка обновить сертификат.

Чтобы избежать проблем с доступом к ресурсам, которые используют сертификат в статусе Renewal_failed:

1. До истечения срока действия сертификата выпустите и добавьте новый сертификат от Let's Encrypt.
2. Пройдите процедуру проверки прав на домены.
3. Используйте новый сертификат в ваших ресурсах.

См. такжеСм. также

• Проверка прав на домен
• Интегрированные с Certificate Manager сервисы