Связаться с намиПодключиться

Добавить сертификат от Let's Encrypt®

Статья создана
Улучшена
Обновлена 21 апреля 2025 г.

Сертификат из Certificate Manager можно использовать только в указанных сервисах Yandex Cloud.

Добавить новый сертификат

  1. В консоли управления выберите каталог, в который будет добавлен сертификат.

  2. В списке сервисов выберите Certificate Manager.

  3. Нажмите кнопку Добавить сертификат.

  4. В открывшемся меню выберите Сертификат от Let's Encrypt.

  5. В открывшемся окне в поле Имя введите имя сертификата.

  6. (Опционально) В поле Описание введите описание сертификата.

  7. В поле Домены введите список доменов, для которых нужно выпустить сертификат.

    Имена доменов могут содержать маску, например *.example.com. В этом случае при выборе типа проверки прав на домен необходимо будет выбрать DNS. Подробнее см. в разделе Проверка прав на домен.

  8. Выберите тип проверки прав на домен: DNS или HTTP.

  9. Нажмите кнопку Создать.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды:

    yc certificate-manager certificate request --help

  2. Выполните команду:

    yc certificate-manager certificate request \
  --name mymanagedcert \
  --domains example.com

    Где:

    • --name — имя сертификата.
    • --domains — домены сертификатов.

    Результат:

    id: fpq6gvvm6piu********
folder_id: b1g7gvsi89m3********
created_at: "2020-09-15T08:49:11.533771Z"
...
- example.com
status: VALIDATING
updated_at: "2020-09-15T08:49:11.533771Z"

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Опишите в конфигурационном файле Terraform параметры ресурса, который необходимо создать:

    resource "yandex_cm_certificate" "le-certificate" {
  name    = "<имя_сертификата>"
  domains = ["<домен>"]

  managed {
  challenge_type = "<тип_проверки>"
  }
}

    Где:

    • domains — список доменов, для которых нужно создать сертификат.
    • challenge_typeтип проверки прав на домен, которую нужно пройти владельцу домена. Возможные значения:
      • DNS_CNAME — необходимо создать DNS-запись в формате CNAME с указанным значением. Рекомендуемый способ для автоматического продления сертификата.
      • DNS_TXT — необходимо создать DNS-запись в формате TXT с указанным значением.
      • HTTP — необходимо поместить указанное значение в указанный URL.

    Подробную информацию о параметрах ресурса yandex_cm_certificate см. в документации провайдера Terraform.

  2. Создайте ресурсы:

    1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

    2. Проверьте корректность конфигурационного файла с помощью команды:

      terraform validate

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.

    3. Выполните команду:

      terraform plan

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

    4. Примените изменения конфигурации:

      terraform apply

    5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

После этого в указанном каталоге будет создан сертификат. Проверить появление сертификата и его настройки можно в консоли управления или с помощью команды CLI:

yc certificate-manager certificate get <имя_сертификата>

Чтобы добавить сертификат, воспользуйтесь методом REST API requestNew для ресурса Certificate или вызовом gRPC API CertificateService/RequestNew.

В списке сертификатов появится новый сертификат со статусом Validating. Этот статус означает, что создан запрос на выпуск сертификата от Let's Encrypt®. Для обработки запроса подтвердите права на домены.

Примечание

Чтобы DNS-проверка прав на домен по записи CNAME прошла успешно, для поддомена _acme-challenge проверяемого доменного имени не должно быть других ресурсных записей, кроме CNAME. Например, для имени _acme-challenge.example.com. должна существовать только CNAME-запись и не должно быть TXT-записи.

Посмотреть статус выпуска сертификата

Проверить статус создания сертификата и возможные ошибки при его выпуске можно в консоли управления:

  1. Выберите сервис Certificate Manager.

  2. Выберите сертификат в списке.

    Напротив поля Validation будет указан текущий этап выпуска сертификата.

  3. Чтобы посмотреть описание этапа и его результаты, нажмите Показать логи.

    Подробнее об этапах выпуска сертификата см. в разделе Сертификат от Let's Encrypt.

См. также

Предыдущая
Все инструкции
Следующая
Получение содержимого сертификата