Get Social

Как настроить Let’s Encrypt на админке VestaCP (8083 порт) с учётом CA

Предполагается, что у вас есть валидный домен (так называемый FQDN), который можно использовать для входа в админку. В моем случае, OVH предоставил бесплатно домен вида ns123456.ip-x-y-z.eu, а значит его можно использовать для входа в админку: https://ns123456.ip-x-y-z.eu:8083/

Пошаговая настройка Let’s Encrypt на админке VestaCP (8083 порт).

1 шаг – создать домен и найти файлы let’s encrypt.

Сначала в админке создайте ваш домен, если он ещё не создан. Можно использовать пользователя по умолчанию – admin, или любого другого. Включите использование ssl и let’s encrypt – вы получите примерно то же, что на скриншоте:

Let’s encrypt генерирует файлы SSL сертификатов  и хранит их в /home/[USERNAME]/conf/web (/home/admin/conf/web – в моём случае)

Вот список файлов :

ssl.ns123456.ip-x-y-z.eu.crt
ssl.ns123456.ip-x-y-z.eu.ca
ssl.ns123456.ip-x-y-z.eu.key
ssl.ns123456.ip-x-y-z.eu.pem

2 шаг – найти, где VestaCP хранит свои файлы SSL.

Искать не надо, мы просто знаем, что они лежат здесь

/usr/local/vesta/ssl

и выглядят они так:

certificate.crt
certificate.key

Вы можете бережно переименовать старые файлы сертификатов от VestaCP (хотя что мешает просто их убрать?).

mv /usr/local/vesta/ssl/certificate.crt /usr/local/vesta/ssl/certificate_old.crt
mv /usr/local/vesta/ssl/certificate.key /usr/local/vesta/ssl/certificate_old.key

Эти 2 файла задаются в форме https://ns123456.ip-x-y-z.eu:8083/edit/server/ -> Vesta SSL

3 шаг – заставить службу Vesta-Nginx использовать SSL от домена

Теперь вы наверное подумали – мы просто создадим символические ссылки и всё будет хорошо… Но…

Но вы заметили проблемку? В первом случае мы имеем 4 файла, и хотя на .pem можно не обращать внимания – в форме у нас есть 3 поля: для CRT, KEY и CA, а во втором – только 2: для CRT и KEY.

Let’s Encrypt имеет файл CA, который отражается в поле: SSL Certificate Authority / Intermediate

Как это можно учесть в админке VestaCP на порту 8083?

Я для себя нашёл такое решение:

Создадим 1 символическую ссылку для KEY

ln -s /home/admin/conf/web/ssl.ns123456.ip-x-y-z.eu.key /usr/local/vesta/ssl/certificate.key

а во втором случае – нужно выполнить такую команду:

sudo cat /home/admin/conf/web/ssl.ns123456.ip-x-y-z.eu.{crt,ca} > /usr/local/vesta/ssl/certificate.crt

{crt,ca} – это регулярное выражение на bash – оно позволит не прописывать 2 раза пути к файлу. Очень важно, чтобы была именно такая последовательность – сначала crt, потом ca. Если сделать наоборот – в итоге служба vesta работать не будет.

4 шаг – вручную перезапустить Vesta CP и проверить, что всё работает в браузере

Перезапускаем службу:

service vesta restart

Откройте в браузере ваш домен с портом 8083 и теперь SSL должен быть “защищён”.

5 шаг – добавить в cron задачу обновления certificate.crt

Нам нужно добавить в планировщик cron такую задачу:

30 5 * * * sudo cat /home/admin/conf/web/ssl.ns123456.ip-x-y-z.eu.{crt,ca} > /usr/local/vesta/ssl/certificate.crt && sudo service vesta restart

(посмотрите, в какое время работает системная задача обновления let’s encrypt и увидите примерно такое:

15 5 * * * sudo /usr/local/vesta/bin/v-update-letsencrypt-ssl

логично, если наша задача будет выполняться чуть позже)

Готово!

Как настроить Nginx в Vesta CP, чтобы получить A+ рейтинг на ssllabs

image - Как настроить Nginx в Vesta CP, чтобы получить A+ рейтинг на ssllabs

Задача: настроить SSL (https) в конфиге Nginx чтобы получить grade A+ тут: https://www.ssllabs.com/ssltest/

Лучше всего отредактировать /usr/local/vesta/data/templates/web/nginx/default.stpl
(тем более, что Vesta CP перезапишет сделанные вручную в конфиге изменения, если что-то будете редактировать из панели)

Открываем в любимом редакторе (конечно же nano 🙂 )
nano /usr/local/vesta/data/templates/web/nginx/default.stpl

Добавляем следующие 4 фрагмента:

1. После %ip%:%proxy_ssl_port% в той же строке:

ssl http2

2. После server_name:

add_header Strict-Transport-Security "max-age=31536000;" always;
ssl_stapling on;
ssl_stapling_verify on;

3. После ssl_certificate_key %ssl_key%;
ssl_dhparam /home/admin/conf/web/dhparams.pem;
(сначала нужно сгенерировать dhparams.pem и положить в нужную папку:
openssl dhparam -out /home/admin/conf/web/dhparams.pem 4096
)

4. (этот фрагмент нельзя просто копипастить из браузера, проверьте на переносы строк)

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
    ssl_prefer_server_ciphers on;

получится примерно следующее:

server {
listen %ip%:%proxy_ssl_port% ssl http2;
server_name %domain_idn% %alias_idn%;
add_header Strict-Transport-Security "max-age=31536000;" always;
ssl_stapling on;
ssl_stapling_verify on;

ssl on;
ssl_certificate %ssl_pem%;
ssl_certificate_key %ssl_key%;
# ssl_dhparam /home/admin/conf/web/dhparams.pem;
error_log /var/log/%web_system%/domains/%domain%.error.log error;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
    ssl_prefer_server_ciphers on;

location / {
proxy_pass https://%ip%:%web_ssl_port%;
location ~* ^.+\.(%proxy_extentions%)$ {
root %sdocroot%;
access_log /var/log/%web_system%/domains/%domain%.log combined;
access_log /var/log/%web_system%/domains/%domain%.bytes bytes;
expires max;
try_files $uri @fallback;
}
}

location /error/ {
alias %home%/%user%/web/%domain%/document_errors/;
}

location @fallback {
proxy_pass https://%ip%:%web_ssl_port%;
}

location ~ /\.ht {return 404;}
location ~ /\.svn/ {return 404;}
location ~ /\.git/ {return 404;}
location ~ /\.hg/ {return 404;}
location ~ /\.bzr/ {return 404;}

include %home%/%user%/conf/web/snginx.%domain%.conf*;
}