Перейти к содержанию

Сертификаты

Обзор

Cloudron тесно интегрируется с Let's Encrypt для установки сертификатов, а также берёт на себя их автоматический перевыпуск.

Способы получения сертификатов

Cloudron поддерживает следующие способы получения сертификатов:

  • Let's Encrypt Prod - получает индивидуальные сертификаты для каждого домена. Использует HTTP автоматизацию и требует открытый входящий 80 порт. При данном способе получения сертификатов все доменные имена попадают в проект Certificate Transparency (CT).
  • Let's Encrypt Prod - Wildcard - получает wildcard-сертификаты для каждого домена. Использует DNS автоматизацию и может быть задействован только с поддерживаемыми DNS поставщиками.
  • Let's Encrypt Staging - получает индивидуальные сертификаты для каждого домена из staging-окружения Let's Encrypt. Данные сертификаты пригодны только для тестирования, и не имеют доверия браузера. Использует HTTP автоматизацию и требует открытый входящий 80 порт.
  • Let's Encrypt Staging - Wildcard - получает wildcard-сертификат для каждого домена из staging-окружения Let's Encrypt. Данные сертификаты пригодны только для тестирования, и не имеют доверия браузера. Использует DNS автоматизацию и может быть задействован только с поддерживаемыми DNS поставщиками.
  • Custom Wildcard Certificate - отключает интеграцию с Let's Encrypt для использования стороннего Wildcard-сертификата.

Способ получания сертификата может быть установлен для каждого доменного имени отдельно из расширенных настроек меню Домены.

certificates-provider.png

Сторонние сертификаты

Wildcard сертификат

Сторонний Wildcard сертификат может быть загружен для каждого домена в расширенных настройках меню Домены. Настраивая такой сертификат, необходимо убедиться, что в него входит как сам домен, так и Wildcard домен.

Следуйте следующему гайду для генерации подходящего сертификата.

certificates-wildcard.png

Промежуточные сертификаты

Вы можете загрузить цепочку сертификатов, добавив промежуточные сертификаты в один cert файл.

Сертификат приложения

Сторонние сертификаты также могут быть установлены для каждого приложения отдельно, с использованием REST API. Данный метод пригодится в случае использования SSL-сертификата с расширенной проверкой (EV). Например, при наличии PEM файлов cert.pem и key.pem:

# first encode the newlines to send as JSON
key=$(perl -pe 's/\n/\\\n/' key.pem)
cert=$(perl -pe 's/\n/\\n/' cert.pem)

curl -X POST -H "Content-Type: application/json" -d "{ \"cert\": \"${cert}\", \"key\": \"${key}\" }" https://my.cloudron.xyz/api/v1/apps/5555f553-96ad-46c9-ba42-13d08ecb86a0/configure?access_token=3f1e6d8e5ece3f3dbdefd88679fdd270b00223b58ce6781990cf95e444b7c7f3

В примере выше my.example.com выступает в качестве домена Cloudron. 5555f553-96ad-46c9-ba42-13d08ecb86a0 - это ID приложения, полученное из меню "Обновления" в настройках этого приложения. API Токен, в свою очередь, может быть создан из настроек профиля.

Certificate Transparency

Let's Encrypt является участником проекта Certificate Transparency (CT) от Google. По этой причине Ваши домены и поддомены можно публично отыскать на таких ресурсах, как crt.sh или Google Transparence Report. Потенциально это может послужить угрозой атак хакеров на Ваши веб-приложения.

Чтобы избежать этого, рекомендуется использовать Wildcard сертификаты, так как с ними информация о поддоменах не "просачивается" в сеть. Но имейте в виду, что получить Wildcard сертификат возможно лишь с использованием DNS автоматизации. В Cloudron, например, есть готовый перечень поддерживаемых DNS сервисов на такой случай.

Перевыпуск сертификатов

Автоматический перевыпуск

Cloudron автоматически перевыпускает сертификаты за 1 месяц до окончания их срока. Если перевыпуск по какой-то причине не состоялся, система высылает письмо на почтовые ящики администраторов Cloudron.

В случае, когда срок сертификата истёк, Cloudron автоматически переключается на использование резервных сертификатов (если они были предварительно установлены).

Ручной перевыпуск

Чтобы вручную инициировать процедуру перевыпуска сертификатов, пройдите в меню "Домены" и воспользуйтесь разделом "Перевыпуск сертификатов".

certificates-renew.png

Отзыв сертификатов

Cloudron не отзывает сертификаты, если приложение было удалено. Вместо этого, платформа сохраняет сертификат, чтобы он мог быть использован для другого приложения, установленного на тот же поддомен. Это позволяет устанавливать приложения в тестовых целях и не бояться выхода за рамок ограничений Let's Encrypt.

CAA записи

Начиная с сентября 2017 года Let's Encrypt проверяет записи CAA, чтобы проверить, разрешил ли владелец домена выдавать для него сертификаты. ПО этой причине заранее убедитесь либо в отсутствии CAA записи для домена, либо в наличии разрешающей записи для letsencrypt.org.