Установка ssl сертификата битрикс виртуальная машина



Установка LetsEncrypt SSL-сертификатов прямо из панели виртуальной машины bitrix VM!

С версии 7.2.2 битрикс-машины появилась возможность подключать бесплатные валидные SSl-сертификаты от Lets Encrypt прямо из меню виртуальной машины.

Let’s Encrypt — центр сертификации, начавший работу в бета-режиме с 3 декабря 2015 года, предоставляющий бесплатные криптографические сертификаты для HTTPS. Процесс выдачи сертификатов полностью автоматизирован. Сертификаты выдаются только на 3 месяца для предотвращения инцидентов безопасности.

1/ https://community.letsencrypt.org/t/which-browsers-and-operating-systems-support-lets-encrypt/4394
2/ Firefox. Как мимимум с 4.0 (возможно с 1.0) работает. (StartSSL в древних лисах работать не будет). Все современные лисы работают всеми CA.
3/ Thunderbird. Точно все современные версии на всех ОС (включая wosign. StartSSL в древних версиях не поддерживается)
4/ IE и Edge. Минимум 8 версия для всех. IE6 точно не поддерживается, по IE7 в зависимости от условий.
5/ Chrome и Cromium. Поддержка ОС аналогично встроенной ОС криптоапи (древние макоси, линуксы и winXP не будут работать ни с каким CA).
6/ Safari на всех современных Apple-устройствах точно работает.
7/ Android точно работает с версии 4.2 со всеми . Версия 2.0.6 (Android browser 2.0.6 Webkit 530.17) точно НЕ работает.
8/ Java не работает с letsencrypt.
9/ wget и curl могут не работать на старых системах

Как установить бесплатный ssl сертификат от Lets Encrypt в битрикс-машине?

В меню машины пройти по пунктам 8. Manage web nodes in the pool -> 3. Certificates configuration -> 1. Configure Let’s encrypt certificate. Указать сайт (или сайты), dns имена сайта(-ов), email для нотификаций сервиса Lets Encrypt, подтвердить ввод.

Мастер самостоятельно запросит и установит сертификат из сети.
Поддерживается ввод нескольких сайтов, через запятую (test1.bx, test2.bx).

Перевыпуск сертификатов будет автоматический. Это отлично, с учетом того что сертификат дается только на 3 месяца.

Что делать, если сертификат не устанавливается и битрикс машина выдает ошибку?

Мое знакомство с данным новшеством прошло именно так: после настройки сертификата фоновая задача в машине завершалась с ошибкой:

Смотрим логи и выясняем подробности. Директория /opt/webdir/temp содержит логи задач, смотрим по нашей задаче site_certificate_1113161018.

Первый лог /opt/webdir/temp/site_certificate_1113161018/status, в нем есть строчка с прерыванием, а также видим и второй лог:

С этого места становиться понятно, что машина установила библиотеку dehydrated в папку /home/bitrix/dehydrated, а лог ее выполнения расположен в dehydrated_update.log

Смотрим второй лог /home/bitrix/dehydrated_update.log, в нем тоже есть ошибка:

Выходит, что для проверки требуется доступность сайта по http и https с самоподписанным сертификатом, дабы проверить права владения на оба сайта.

Поэтому настроим редирект и еще раз запустим получение ключа:

1/ Отключаем редирект с http и https

2/ Создаем вручную папку на сайте /.well-known/acme-challenge/ с текстовым файлом внутри:

echo «thisisthecontentoffile» > /home/bitrix/www/site/.well-known/acme-challenge/dummychallengefile

3/ Запускаем заново, и опять ошибка. Опять смотрим логи задачи. На этот раз сертификат получен, а ошибка в конфигурации сайта в nginx: /etc/nginx/bx/site_avaliable/bx_ext_ssl_www.goooodsite.ru.conf

4/ ошибку устраняем (лишняя директива из-за авто-вставки настроек в файл) и видим что сертификат добавился в конфиг, а сами сертификаты хранятся тут /home/bitrix/dehydrated/certs/:

Читайте также:  Установка забора гиттер стоимость работ

5/ nginx перезапускаем, редирект из http в https возвращаем. Сертификат добавлен.

Вот собственно путь отладки и исправления ошибки авто-установки сертификата, если сертификат был установлен на сайте, как написано в статье «Установка ssl-сертификата для битрикс окружения bitrix vm».

Источник

Установка платного SSL-сертификата на сервер с Битрикс

Сайты, размещённые на серверах с окружением Битрикс, требуют преимущественно ручной настройки, в том числе для установки SSL-сертификатов. Тем не менее этот процесс несложен даже для начинающих администраторов.

Для установки SSL-сертификата потребуются:

  • Сервер с VM Битрикс и размещённым сайтом;
  • Файлы SSL-сертификата для установки (файл сертификата с расширением .crt , файл секретного ключа .key и файл цепочки сертификатов .ca-bundle ).

Если сертификат приобретён у нас, скачать файлы сертификата для установки можно в Личном кабинете. Выберите сертификат , сверху Просмотр — в конце страницы будут ссылки для скачивания.

Если вы приобрели у нас и платный сертификат, и VDS/VPS для сайта — сертификат установим сами бесплатно. Для этого напишите запрос в службу поддержки.

Процесс установки

Загружаем файлы сертификата ( certificate.key, certificate.crt, certificate.ca-bundle ) на сервер.

Для этого подключаемся к серверу по SFTP , например, с помощью WinSCP или Filezilla . Доступы к серверу указаны в Личном кабинете: выберите сервер , сверху Инструкция (раздел Доступ к серверу для администратора ).

При подключении укажите IP-адрес сервера, логин root, пароль и порт 22:

Система запросит подтвердить соединение — соглашаемся:

Откроется окно для работы с файлами. В нём по умолчанию домашняя папка пользователя root, переходим на уровень выше:

Последовательно переходим в папку /etc/nginx , создаём папку certs (в WinCSP можно использовать горячую клавишу F7):

Переходим в созданный каталог:

Загружаем в папку /etc/nginx/certs наши файлы сертификата, ключа и цепочки сертификатов( .crt , .key и .ca-bundle ):

Подтверждаем загрузку, по завершении выходим из SFTP-клиента .

Следующий шаг — подключаемся к серверу по SSH с данными root . Открывается контекстное меню Битрикс, переходим:

Указываем, для какого сайта устанавливаем сертификат: для основного пишем default, для дополнительных — название сайта. Указываем пути* к сертификату, подтверждаем установку:

* — мы поместили файлы в папку /etc/nginx/certs , поэтому достаточно указать только имена. Если загрузите файлы в другую папку, укажите полный путь от корневой директории либо от папки certs , если в ней несколько сертификатов по разным папкам. Например:
/home/bitrix/www/certificate.key (от корня),
/site1_ru/certificate.crt (от папки certs).

Система сообщает, что задание на установку запущено, и предлагает выйти, нажав Enter. Нажимаем Enter — нас возвращает в предыдущее окно. Возвращаемся в самое первое меню (два раза вводим 0: 0. Go to previous screen or exit).

Если установка сертификата прошла успешно, теперь сайт работает по http и https. Проверить это можно двумя способами:

1) В контекстном меню Битрикс выбираем вариант

5. Background tasks in the pool

Отобразятся выполняемые/завершенные процессы:

2) Переходим на наш сайт по ссылке https://

Если все в порядке, возвращаемся в контекстное меню Битрикс и отключаем HTTP. Выбираем пункты:

6. Manage sites in the pool -> 5. Change https settings on site

Читайте также:  Все об установке общедомового прибора учета

Выбираем сайт и подтверждаем отключение работы незащищенного HTTP-соединения.

Источник

Установить LetsEncrypt SSL-сертификат на виртуальной машине BitrixEnv

Не все знают, что установить SSL сертификат от LetsEncrypt можно непосредственно из меню Bitrix vm, но не смотря на то, что такой пункт появился начиная с версии 7.2 виртуальной машины, он естественно не работает корректно, т.е. вы не сможете установить сертификат просто проследовав за указаниями виртуальной машины битрикс. Те же, кто хочет попытать счастье, может просто пройти в меню виртуальной машины битрикс, выбрать пункт меню «Manage pool web servers», далее «Configure certificates» и «Configure «Let’s encrypt» certificate». Далее все очень просто, нужно просто следовать указаниям bitrix vm.

На момент написания статьи получение сертификата заканчивалось ошибкой.
В интернете есть статьи о том, как обойти эту и другие ошибки, но мы пойдем дальше. Я не люблю то, что не работает из коробки, поэтому в этой статье будет рассмотрено получение SSL сертификата LetsEncrypt для vm bitrix через certbot автоматически, с авто обновлением т.к. этот способ я считаю оптимальным.

Что делать, если SSL сертификата LetsEncrypt не устанавливается на vm bitrix?

Шаг 1. Установка certbot на cento7 (если у вас дпугая система, то подробную инструкцию можно получить по ссылке )
Подготовка к установке certbot.

yum -y install yum-utils
sudo yum install certbot python2-certbot-nginx

И собственно сама установка certbot

yum install certbot

Далее получаем сертификат

sudo certbot certonly —nginx

нам предложат выбрать сайт для которого мы хотим получить сертификат.

Нужно указать цифру соответствующую нужному сайту или несколько цифр через запятую, если получаем сертификат для домена и его поддоменов.
Если все прошло успешно, то вы увидите примерно следующее:

Обратите внимание на выделенные строки — это и есть ваши SSL сертификаты от LetsEncrypt, точнее пути их сохранения. Скопируйте эти пути, они нам еще понадобятся для подключения к bitrix env.

Уточнение: если не удалось получить сертификаты командой ( sudo certbot certonly —nginx ) или такой способ вам по каким-то причинам не подходит, то можно заменить эту команду на ( certbot certonly —webroot -w /var/www/example -d www.example.com -d example.com )
где — — w /var/www/example/ — — путь к корневой папке вашего домена
-d www.example.com — доменное имя для которого получаете сертификат, обратите внимание, что можно указать несколько доменных имен.

Дальше действия аналогичные приведенной статье

Добавляем SSL сертификаты LetsEncrypt в BitrixEnv

Скопируем конфигурацию (Вместо .yourdomain.ru можно написать что угодно, но я советую указать домен того сайта для которого вы получили сертификаты)

cp /etc/nginx/bx/conf/ssl.conf /etc/nginx/bx/conf/ssl.yourdomain.ru.conf

Затем редактируем файл /etc/nginx/bx/conf/ssl.yourdomain.ru.conf
и указываем расположение privkey.pem (приватный ключ домена) и fullchain.pem (публичный сертификат домена) в директивах nginx ssl_certificate_key и ssl_certificate соответственно.
Далее открываем файл /etc/nginx/bx/site_avaliable/bx_ext_ssl_yourdomain.ru.bx.conf
Находим в нем строку include bx/conf/ssl.conf; и заменяем на include bx/conf/ssl.yourdomain.ru.conf;
На этом все. Осталось проверить все ли верно мы написали (верна ли конфигурация nginx)

И если все ок и нет никаких предупреждений, то перезагружаем nginx

Читайте также:  Wow classic установка связи

service nginx restart

с этого момента у вас уже будет установленный сертификат SSL от LetsEncrypt, но согласитесь не хочется раз в 3 месяца (именно столько живет ssl сертификат от LetsEncrypt) обновлять сертификат в ручном режиме.

Как настроить автоматическое обновление SSL сертификата LetsEncrypt для bitrixEnv?

Автоматическое обновление сертификата настраивается очень просто нкжно в консоли вставить команду

echo «0 0,12 * * * root python -c ‘import random; import time; time.sleep(random.random() * 3600)’ && certbot renew» | sudo tee -a /etc/crontab > /dev/null

Это добавление крон задачи на автоматическое обновление сертификатов.

Или если вы не вставили эту команду, а сертификаты истекли, то можно обновить все сертификаты, которые в этом нуждаются командой

Все ранее установленные сертификаты обновятся автоматически.
Надеюсь, что статья помогла вам.

Источник

Установка SSL-сертификата Comodo на Виртуальную машину Битрикс за 8 шагов

1. Для начала необходимо выбрать и купить SSL-сертификат. Можно взять простой вариант, который действует только на один домен. Обратите внимание, что домен — это pravo-na-dom.net ИЛИ www.pravo-na-dom.net.
Если Вам нужен 1 сертификат на все домены *.pravo-na-dom.net- выбирайте сертификат с Wildcard.
Далее в работе будем упоминать домен pravo-na-dom.net а Вы заменяйте его на свой домен.

2. После покупки сертификата на руках должны быть следующие файлы:
файл ключа, который был создан при генерации CSR-запроса для получения сертификата, обычно файл «private.key»
файл сертификата, высылается в тексте письма, скопировать текст создав файл «pravo-na-dom.crt»
файлы корневого и/или промежуточного сертификата, например, «root.crt» предоставляется компанией, которая выпустила Ваш сертификат. Этот файл необходимо скачать с сайта компании-издателя. Обратите внимание, что для разных операционных системы эти файлы отличаются.

В случае установки сертификата COMODO можно получить несколько промежуточных файлов, например «pravo-na-dom_net.ca-bundle)

3. Все эти файлы (private.key, pravo-na-dom_net.crt, pravo-na-dom_net.ca-bundle, root.csr) копируем под root по SSH на вашу ВМ Битрикс в папку /etc/nginx/ssl/1/ — папку надо предварительно создать.

4. После чего необходимо объединить сертификат домена и промежуточный сертификат в один файл «cert.pem».
выполняем 2 команды
и
Далее «Старый» и «Новый» вариант

Старый: 1. Копируем полученный файл сертификата «cert.pem» и «private.key» в папку /etc/nginx/ssl/, заменив старые файлы.

Старый: 2. Создать Forward Secrecy файл «dhparam.pem» командой Долго ждем.

Старый: 3. Прописать в конфигурационном файле nginx путь к публичному ключу — /etc/nginx/bx/conf/ssl.conf:
Старый: 4. Перезагружаем nginx
Новый: 1. Далее в Виртуальной машине Битрикс открываем главное меню
И переходим по меню

В вопросах указать:
путь для приватного ключа (Private Key path) /etc/nginx/ssl/private.key
путь для сертификата (Certificate path) /etc/nginx/ssl/cert.pem
путь для цепочки сертификатов (Certificate Chain path) ничего

Мастер самостоятельно установит сертификат. Пути SSL-сертификатов будут указаны в этом же разделе.

Новый: 2. Далее рекомендуется включить доступ только по HTTPS, переходим в главном меню
Согласиться на отключение HTTP доступа и дождаться пока задача будет закончена

Задача выполняется быстро, но если идет долго, то проверить можно в главном меню

Источник

Adblock
detector