Связаться с намиПодключиться

Как начать работать с Certificate Manager

Статья создана
Улучшена
Обновлена 15 ноября 2024 г.

В этой инструкции вы добавите в Certificate Manager свой первый сертификат от Let's Encrypt и используете его для настройки доступа по HTTPS к статическому сайту, размещенному в Yandex Object Storage.

Подготовка к работе

Чтобы начать работать с Certificate Manager вам понадобится:

  1. Каталог в Yandex Cloud. Если каталога еще нет, создайте новый каталог:

    1. В консоли управления в списке слева выберите нужное облако.

    2. Справа сверху нажмите кнопку Создать каталог.

    3. Введите имя каталога. Требования к имени:

      • длина — от 3 до 63 символов;
      • может содержать строчные буквы латинского алфавита, цифры и дефисы;
      • первый символ — буква, последний — не дефис.

    4. (Опционально) Введите описание каталога.

    5. Выберите опцию Создать сеть по умолчанию. Будет создана сеть с подсетями в каждой зоне доступности. Также в этой сети будет создана группа безопасности по умолчанию, внутри которой весь сетевой трафик разрешен.

    6. Нажмите кнопку Создать.

  2. Домен не ниже третьего уровня, для которого будет выпущен сертификат от Let's Encrypt.

    Примечание

    Чтобы пройти процедуру проверки прав на домен, он должен находиться под вашим управлением.

  3. Публичный бакет в Object Storage с точно таким же именем, что и домен. Если бакета еще нет, создайте его:

    1. В консоли управления выберите каталог, в котором хотите создать бакет.
    2. Выберите сервис Object Storage.
    3. Нажмите кнопку Создать бакет.
    4. Введите имя бакета в точности совпадающее с именем домена.
    5. Выберите тип доступа Публичный.
    6. Выберите класс хранилища по умолчанию.
    7. Нажмите кнопку Создать бакет для завершения операции.

  4. Настройте хостинг в бакете:

    1. В консоли управления выберите сервис Object Storage.
    2. На вкладке Бакеты нажмите на бакет с именем домена.
    3. На панели слева выберите Настройки.
    4. Откройте вкладку Веб-сайт.
    5. Выберите Хостинг. и укажите главную страницу сайта.
    6. Нажмите кнопку Сохранить для завершения операции.

  5. Настройте алиас для бакета у своего провайдера DNS или на собственном DNS-сервере.

    Например, для домена www.example.com необходимо добавить запись:

    www.example.com CNAME www.example.com.website.yandexcloud.net

  6. Установите и настройте AWS CLI по инструкции.

Создание запроса на получение сертификата от Let's Encrypt

  1. Перейдите в консоль управления.
  2. Выберите сервис Certificate Manager.
  3. Нажмите кнопку Добавить сертификат.
  4. В открывшемся меню выберите Сертификат от Let's Encrypt.
  5. В открывшемся окне задайте имя сертификата.
  6. (Опционально) Добавьте описание сертификату.
  7. В поле Домены укажите домены, для которых нужно выпустить сертификат.
  8. Выберите тип проверки прав на домен HTTP.
  9. Нажмите кнопку Создать.

Прохождение проверки прав на домен

Создание файла для проверки

  1. В консоли управления выберите сервис Certificate Manager.
  2. Выберите в списке нужный сертификат со статусом Validating и нажмите на него.
  3. В блоке Проверка прав на домены:
    1. Скопируйте ссылку из поля Ссылка для размещения файла:
      • Часть ссылки вида http://example.com/.well-known/acme-challenge/ — это путь для размещения файла.
      • Вторая часть ссылки rG1Mm1bJ... — это имя файла, которое вам необходимо использовать.
    2. Скопируйте поле Содержимое в файл.

Загрузка файла и проверка

  1. В консоли управления выберите сервис Object Storage.
  2. На вкладке Бакеты нажмите на бакет с именем домена.
  3. Справа сверху нажмите Создать папку и создайте папку .well-known.
  4. В .well-known создайте папку acme-challenge.
  5. В acme-challenge нажмите Загрузить.
  6. В открывшемся окне выберите файл с записью и нажмите Открыть.
  7. Нажмите кнопку Загрузить.
  8. Дождитесь изменения статуса сертификата на Issued.
  9. Перейдите в папку acme-challenge.
  10. Нажмите справа от файла и выберите Удалить.
  11. Подтвердите удаление.

  1. Загрузите файл в бакет так, чтобы он располагался в папке .well-known/acme-challenge:

    aws --endpoint-url=https://storage.yandexcloud.net \
  s3 cp <имя_файла> s3://<имя_бакета>/.well-known/acme-challenge/<имя_файла>

  2. Дождитесь изменения статуса сертификата на Issued.

  3. Удалите созданный файл из бакета:

    aws --endpoint-url=https://storage.yandexcloud.net \
   s3 rm s3://<имя_бакета>/.well-known/acme-challenge/<имя_файла>

Важно

Обновление сертификата требует от вас участия. Внимательно следите за временем жизни созданных сертификатов, чтобы своевременно обновлять их. Подробнее в разделе Обновление сертификата.

Настройка доступа по HTTPS к статическому сайту

  1. Войдите в консоль управления.
  2. Выберите сервис Object Storage.
  3. На вкладке Бакеты нажмите на бакет с именем домена.
  4. На панели слева выберите Безопасность.
  5. Перейдите на вкладку HTTPS.
  6. Справа вверху нажмите Настроить.
  7. В поле Источник выберите Certificate Manager.
  8. В поле Сертификат выберите сертификат в появившемся списке.
  9. Нажмите кнопку Сохранить.

См. также

Следующая
Все инструкции