Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Certificate Manager
  • Начало работы
    • Обзор
    • Сертификат от Let's Encrypt
    • Пользовательский сертификат
    • Проверка прав на домен
    • Интеграция с сервисами Yandex Cloud
    • Квоты и лимиты
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • История изменений
  • Вопросы и ответы
  • Обучающие курсы

В этой статье:

  • Получение сертификата
  • Статусы выпуска сертификата
  • Обновление сертификата
  • Примеры использования
  1. Концепции
  2. Сертификат от Let's Encrypt

Сертификат от Let's Encrypt

Статья создана
Yandex Cloud
Обновлена 19 февраля 2025 г.
  • Получение сертификата
  • Статусы выпуска сертификата
  • Обновление сертификата
  • Примеры использования

С помощью Certificate Manager вы можете создавать TLS-сертификаты от Let's Encrypt. Вы запрашиваете выпуск сертификата и проходите процедуру проверки прав на домены, после этого Certificate Manager управляет этим сертификатом, взаимодействуя с Let's Encrypt вместо вас.

Let's Encrypt предоставляет Domain Validation TLS-сертификаты со сроком действия 90 дней. Если вам нужны Organization Validation или Extended Validation сертификаты, воспользуйтесь сторонним центром сертификации для получения сертификата, и после этого загрузите его в Certificate Manager. Подробнее об этом читайте в разделе Пользовательский сертификат.

Сертификат, созданный с помощью Certificate Manager, можно использовать только в указанных сервисах Yandex Cloud.

Получение сертификатаПолучение сертификата

  1. Укажите список доменов, для которых вам необходимо выпустить сертификат.

  2. Выберите тип проверки прав на домен: HTTP или DNS.

    Статус сертификата после создания запроса — Validating.

  3. Для выпуска сертификата пройдите процедуру проверки прав на домены, которые вы указали ранее.

    В зависимости от выбранного типа проверки, самостоятельно разместите файл на веб-сервере либо добавьте ресурсную запись TXT или CNAME с нужным значением в DNS-сервисе. Подробнее о типах проверки и способах их прохождения читайте в разделе Проверка прав на домен.

    Чтобы DNS-проверка прав на домен по записи CNAME прошла успешно, для поддомена _acme-challenge проверяемого доменного имени не должно быть других ресурсных записей, кроме CNAME. Например, для имени _acme-challenge.example.com. должна существовать только CNAME-запись и не должно быть TXT-записи.

  4. После успешного прохождения проверки прав на домены, сертификат будет выпущен, и перейдет в статус Issued. Вы можете использовать сертификат в сервисах, интегрированных с Certificate Manager.

Важно

Если за одну неделю не удастся успешно пройти процедуру проверки прав на домены, то сертификат не будет выпущен, и его статус изменится на Invalid.

Статусы выпуска сертификатаСтатусы выпуска сертификата

Посмотреть этапы выпуска сертификата, их подробное описание и результат каждого из этапов можно в консоли управления. Эта информация содержится в логах каждого сертификата.

Выпуск сертификата Let's Encrypt включает следующие этапы:

  1. Запрос сертификата.

    На этом этапе генерируется пара асимметричных ключей, создается аккаунт в Let's Encrypt и отправляется запрос на сертификат.

  2. Генерация испытаний.

    На этом этапе формируются задания для проверки прав на домены по стандарту ACME.

  3. Проверка прохождения испытаний — проверка прав на домены.

    На этом этапе проверяется, что вы распоряжаетесь доменами, для которых запрашивали сертификат. Чтобы этап завершился успешно, выполните действия для выбранного типа проверки:

    • HTTP — разместите файл на веб-сервере.
    • DNS — добавьте запись в DNS-сервисе.

    Система каждые полчаса проверяет, выполнены ли условия испытаний. Пока условия не выполнены, этап остается в статусе Error. Если испытания не пройдены за неделю, запрос на сертификат отклоняется.

  4. Завершение выпуска сертификата. На этом этапе автоматически выполняются следующие действия:

    1. Создание запроса на подпись сертификата (Certificate Signing Request — CSR).
    2. Проверка испытаний на стороне Let's Encrypt.
    3. Отправка запроса на подпись сертификата в Let's Encrypt.
    4. Получение ответа Let's Encrypt о выпуске сертификата.
    5. Завершение выпуска и сохранение сертификата в Certificate Manager.

Переход на каждый следующий этап возможен, когда предыдущий завершается со статусом Success.

Обновление сертификатаОбновление сертификата

Важно

Обновление сертификата требует от вас действий, описанных ниже. Внимательно следите за временем жизни созданных сертификатов, чтобы своевременно обновлять их.

  1. Certificate Manager запускает процедуру обновления сертификата за 30 дней до окончания срока действия сертификата.

    Статус сертификата после запуска процедуры обновления — Renewing.

  2. Пройдите процедуру проверки прав на домены.

    В зависимости от выбранного типа проверки обновите файл на веб-сервере или обновите TXT-запись в DNS-сервисе на новое значение. Подробнее читайте в разделе Проверка прав на домен.

    Примечание

    Если сертификат используется в статическом сайте в Object Storage и не содержит доменов с маской,
    то процедура проверки прав может быть пройдена автоматически. Подробнее в разделе Автоматическая проверка прав.

  3. После успешного прохождения проверки прав на домены, сертификат будет обновлен, и перейдет в статус Issued. Все ресурсы, использующие сертификат, получат его новую версию.

Сертификат не будет обновлен, если процедура проверки прав на домены завершилась ошибкой хотя бы для одного домена. При этом статус сертификата изменится на Renewal_failed и он будет продолжать действовать до окончания срока действия.
Спустя некоторое время после неудачного обновления будет предпринята новая попытка обновить сертификат.

Чтобы избежать проблем с доступом к ресурсам, которые используют сертификат в статусе Renewal_failed:

  1. До истечения срока действия сертификата выпустите и добавьте новый сертификат от Let's Encrypt.
  2. Пройдите процедуру проверки прав на домены.
  3. Используйте новый сертификат в ваших ресурсах.

Примеры использованияПримеры использования

  • Установка Ingress-контроллера NGINX с сертификатом из Certificate Manager
  • Хостинг статического сайта на фреймворке Gatsby в Yandex Object Storage
  • Организация виртуального хостинга
  • Терминирование TLS-соединений

См. такжеСм. также

  • Проверка прав на домен
  • Интегрированные с Certificate Manager сервисы

Была ли статья полезна?

Предыдущая
Обзор
Следующая
Пользовательский сертификат
Проект Яндекса
© 2025 ООО «Яндекс.Облако»