Сервер с Free Domain Certbot

Certbot: бесплатные SSL-сертификаты для вашего сервера

Что такое Certbot и зачем он нужен?

Сегодня HTTPS  это не опция, а необходимость. Браузеры помечают HTTP-сайты как небезопасные, поисковые системы понижают их в выдаче, а пользователи всё чаще отказываются от посещения незащищенных ресурсов. Чтобы сайт работал по HTTPS, ему нужен SSL/TLS-сертификат - цифровой «паспорт», который подтверждает подлинность домена и обеспечивает шифрование трафика между пользователем и сервером.

Certbot - это бесплатный инструмент с открытым исходным кодом от Electronic Frontier Foundation (EFF), разработанный специально для автоматического получения и установки SSL/TLS-сертификатов от Let's Encrypt. Написанный на Python и распространяемый по лицензии Apache License 2.0, он превратил процесс защиты сайта из многочасовой рутины в несколько простых команд.

Let's Encrypt - это открытый и бесплатный центр сертификации, запущенный при поддержке EFF, Mozilla и ряда других организаций. Его корневые сертификаты признаются всеми современными браузерами, а выпуск и продление сертификатов происходит полностью автоматически по протоколу ACME (Automatic Certificate Management Environment).

Как работает Certbot: принцип проверки домена

Прежде чем выдать сертификат, Let's Encrypt должен убедиться, что вы действительно контролируете домен. Certbot автоматически проходит эту проверку одним из двух способов.

HTTP-01 Challenge (через порт 80). Certbot создаёт на вашем сервере специальный временный файл по адресу http://ваш-домен/.well-known/acme-challenge/. Серверы Let's Encrypt обращаются к этому файлу и, если он доступен, подтверждают владение доменом. Это самый распространенный способ - он работает автоматически с Apache и Nginx.

DNS-01 Challenge (через DNS). Certbot генерирует специальное значение, которое нужно добавить как TXT-запись в DNS вашего домена. После проверки записи сертификат выдается. Этот способ используется для wildcard-сертификатов (например, *.example.com) или для серверов, закрытых файерволом. Для автоматизации доступны плагины под основные DNS-провайдеры, включая Cloudflare.

После успешной проверки Certbot получает сертификат и сохраняет файлы в директорию /etc/letsencrypt/live/ваш-домен/:

• cert.pem — сертификат
• chain.pem — промежуточный сертификат
• fullchain.pem — полная цепочка
• privkey.pem — приватный ключ

Основные возможности Certbot

Автоматическая установка SSL/TLS-сертификатов. Certbot самостоятельно получает сертификаты от Let's Encrypt и настраивает веб-сервер для работы по HTTPS — без ручного редактирования конфигов.

Автоматическое обновление. Сертификаты Let's Encrypt действуют 90 дней. Certbot устанавливает задачу в планировщик (cron или systemd-timer), которая автоматически проверяет и обновляет сертификаты до истечения срока. Вам не нужно следить за датами вручную.

Интеграция с популярными веб-серверами. Плагины для Apache и Nginx позволяют Certbot автоматически обнаруживать домены в конфигурации сервера и применять сертификаты без дополнительных настроек.

Поддержка нескольких доменов. Один сертификат можно выпустить сразу для нескольких доменов и поддоменов, передав их через запятую с флагом -d.

Поддержка wildcard-сертификатов. Через DNS-01 challenge можно получить сертификат вида *.example.com, покрывающий любые поддомены.

Удобный CLI. Интерфейс командной строки прост и понятен: основные операции выполняются одной командой.

Кросс-платформенность. Certbot поддерживается на Linux, macOS и Windows.

Установка Certbot на сервер

Рекомендуемый способ установки - через snap, универсальный пакетный менеджер, который гарантирует актуальную версию инструмента на любом дистрибутиве.

Ubuntu / Debian

sudo apt-get install snapd
sudo snap install core && sudo snap refresh core
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot

CentOS / RHEL 8+

sudo dnf install epel-release
sudo dnf upgrade
sudo dnf install snapd
sudo systemctl enable --now snapd.socket
sudo ln -s /var/lib/snapd/snap /snap
sudo snap install core && sudo snap refresh core
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot

Получение сертификата

Для Nginx

sudo certbot --nginx

Certbot автоматически обнаружит домены из конфигурации Nginx, пройдёт проверку и настроит HTTPS, включая редирект с HTTP.

Для Apache

sudo certbot --apache

Аналогичный процесс для веб-сервера Apache.

Только получение сертификата (без установки)

sudo certbot certonly --nginx

Certbot получит сертификат, но не будет изменять конфигурацию сервера - вы настроите её самостоятельно.

Standalone-режим (без работающего веб-сервера)

sudo certbot certonly --standalone -d example.com

Certbot поднимает собственный временный веб-сервер для прохождения проверки. Удобно для защиты служб, отличных от HTTP, например почтового сервера или RabbitMQ.

Wildcard-сертификат через DNS

sudo certbot certonly --dns-cloudflare \
	--dns-cloudflare-credentials ~/.secrets/cloudflare.ini \
	-d "*.example.com" -d example.com

Автоматическое обновление сертификатов

После установки Certbot автоматически регистрирует задачу обновления. Проверить ее работу можно командой:

sudo certbot renew --dry-run

Если команда завершается сообщением «Congratulations, all renewals succeeded» - всё настроено правильно. На современных системах обновление управляется через certbot.timer:

systemctl status certbot.timer

Certbot на VPS и выделенных серверах с HOSTKEY

Для тех, кто хочет начать работу с Certbot без ручной настройки, HOSTKEY предлагает готовое решение - Free Domain Certbot, предустановленное на VPS и выделенных серверах.

Что представляет собой сервис

Free Domain Certbot от HOSTKEY - это бесплатный инструмент на базе официальных образов Nginx Docker, развёрнутый на серверах провайдера. Решение доступно для аренды в Нидерландах, Финляндии, Германии, Исландии, США, Турции и России.

При заказе сервера достаточно выбрать Free Domain Certbot во вкладке «Маркетплейс приложений» - система автоматически выполнит установку и настройку. Сервер будет готов к работе примерно через 15 минут после оплаты.

Преимущества

• Установка уже выполнена - не нужно тратить время на развертывание и конфигурирование.
• Оптимизированный сервер - инфраструктура настроена специально для стабильной работы Certbot.
• Техподдержка 24/7 - время ответа не превышает 15 минут, поддержка на русском и английском языках.
• Защита от DDoS - базовая защита L3-L4 включена во всех локациях.
• Надёжные ЦОД - оборудование размещено в дата-центрах уровня TIER III с доступностью 99,982%.

Как заказать

1. Перейдите на сайт HOSTKEY и выберите VPS или выделенный сервер.
2. В процессе заказа откройте вкладку «Маркетплейс приложений» и выберите Free Domain Certbot.
3. Настройте сетевые параметры и завершите оформление.
4. После готовности сервера (≈15 минут) вы получите все данные для доступа на email — Certbot уже будет установлен и готов к использованию.

Требования для работы Certbot

Перед получением сертификата убедитесь, что выполнены следующие условия:

• Домен направлен на IP-адрес вашего сервера (A-запись в DNS).
• На сервере установлена актуальная ОС Linux.
• Веб-сервер (Nginx или Apache) установлен и доступен из интернета.
• Порты 80 и 443 открыты в файерволе.

Если вы используете UFW, откройте нужные порты командой:

sudo ufw allow 'Nginx Full'
sudo ufw delete allow 'Nginx HTTP'

Certbot превратил защиту сайта по HTTPS из сложной технической задачи в рутинную операцию, доступную даже начинающим администраторам. Автоматическое получение, установка и обновление сертификатов от Let's Encrypt - бесплатно, с открытым кодом и с поддержкой всех популярных платформ.

Для тех, кто хочет начать без лишних усилий, HOSTKEY предлагает серверы с предустановленным Free Domain Certbot: VPS и выделенные серверы с уже настроенным окружением, готовые к работе за 15 минут.