Проверка прав на домен
Для получения и обновления сертификата от Let's Encrypt® пройдите процедуру проверки прав на каждый домен, указанный в сертификате. В Certificate Manager доступно два типа проверок: HTTP
и DNS
. При создании сертификата вы можете выбрать любой тип проверки. Проверка прав на домены может занять продолжительное время.
Примечание
Проверка прав на домены требуется только для сертификатов от Let's Encrypt. Certificate Manager не проверяет права на домены из импортированных пользовательских сертификатов.
Certificate Manager ожидает успешного завершения процедуры проверки по каждому домену из сертификата (статус всех проверок — Valid
). После этого будет выписан сертификат в Let's Encrypt. Статус сертификата изменится на Issued
, и вы сможете использовать его в сервисах, интегрированных с Certificate Manager.
Если процедура проверки не будет выполнена в течение одной недели, сертификат перейдет в статус Invalid
при получении сертификата или Renewal_failed
при обновлении сертификата. Чтобы после этого получить сертификат, создайте новый запрос на получение сертификата от Let's Encrypt.
Статусы процедуры проверки сертификата
Процедура проверки может находиться в следующих статусах:
Pending
— процедура проверки ожидает завершения. Факт завершения процедуры проверки определяет Certificate Manager.Processing
— процедура проверки ожидает подтверждения от Let's Encrypt.Valid
— процедура проверки успешно пройдена.Invalid
— процедура проверки прав на конкретный домен завершилась с ошибкой или истек срок в одну неделю, отведенный на прохождение процедуры.
HTTP
Примечание
Тип проверки HTTP
не может использоваться для Wildcard-сертификатов.
Для прохождения процедуры проверки прав на домен example.com
:
-
Создайте файл с именем и содержимым, которые указаны в блоке Проверка прав на домены на странице просмотра информации по сертификату:
- Скопируйте ссылку из поля Ссылка для размещения файла:
- Часть ссылки вида
http://example.com/.well-known/acme-challenge/
— это путь для размещения файла. - Вторая часть ссылки
rG1Mm1bJ...
— это имя файла, которое вам необходимо использовать.
- Часть ссылки вида
- Скопируйте ссылку из поля Ссылка для размещения файла:
-
Разместите файл на веб-сервере так, чтобы он был доступен по пути:
http://<имя домена>/.well-known/acme-challenge/<имя файла>
-
После изменения статуса сертификата на
Issued
удалите файл, размещенный на веб-сервере.
DNS
Если у вас нет доступа к веб-серверу или необходимо получить Wildcard-сертификат с масками на поддомены вида *.example.com
, используйте тип проверки DNS
.
Для прохождения проверки вам необходимо добавить специальную DNS-запись c типом TXT
или CNAME
:
- При добавлении TXT-записи при автоматическом обновлении сертификата через 60 дней вам придется снова пройти проверку и добавить новое значение TXT-записи.
- При добавлении CNAME-записи необходимо пройти проверку только один раз. Вы можете делегировать Certificate Manager право ответа в DNS-зоне домена, используемой при проверке. В этом случае проверки при выпуске и последующем обновлении сертификата будут пройдены автоматически.
Добавление CNAME-записи
Для автоматического прохождения проверки прав на домен example.com
:
-
В консоли управления выберите каталог, в котором был создан сертификат.
-
В списке сервисов выберите Certificate Manager.
-
В блоке Проверка прав на домены в поле Значение посмотрите значение для домена.
-
Разместите у своего DNS-провайдера или на собственном DNS-сервере
CNAME
-запись для делегирования прав управления на DNS-зону, используемую для проверки:_acme-challenge.example.com CNAME <Идентификатор сертификата>.cm.yandexcloud.net.
Добавление TXT-записи
Для прохождения проверки прав на домен example.com
:
-
В консоли управления выберите каталог, в котором был создан сертификат.
-
В списке сервисов выберите Certificate Manager.
-
В блоке Проверка прав на домены в поле Значение посмотрите значение для домена.
-
Разместите у своего DNS-провайдера или на собственном DNS-сервере
TXT
-запись:_acme-challenge.example.com. IN TXT <Значение>
-
После изменения статуса сертификата на
Issued
удалите с DNS-сервера добавленнуюTXT
-запись.
Автоматическая проверка прав
В некоторых случаях процедура проверки прав на домен не требует участия пользователя.
CNAME-запись на зону
Проверка проходит автоматически при соблюдении следующих условий:
-
Сертификат находится в статусе
Renewing
— проходит процедуру обновления. -
Для каждого домена сертификата настроена DNS-запись:
_acme-challenge.example.com CNAME <Идентификатор сертификата>.cm.yandexcloud.net.
Перенаправление статического сайта Object Storage
Проверка проходит автоматически при соблюдении следующих условий:
- Сертификат находится в статусе
Renewing
— проходит процедуру обновления. - Сертификат используется в HTTPS-конфигурации статического веб-сайта Object Storage.
- Для каждого домена сертификата настроен:
- алиас на бакет статического сайта, в котором используется этот сертификат;
- или переадресация на домен с алиасом на бакет.
- Сертификат не является Wildcard-сертификатом — не содержит масок на поддомены.
Перенаправление на сервер валидации в веб-сервере
Проверка проходит автоматически при соблюдении следующих условий:
- Сертификат находится в статусе
Renewing
— проходит процедуру обновления. - Сертификат не является Wildcard-сертификатом — не содержит масок на поддомены.
- Для каждого домена сертификата в веб-сервере настроено перенаправление с
http://<Домен>/.well-known/acme-challenge/*
https://validation.certificate-manager.api.cloud.yandex.net/<Идентификатор сертификата>/*
Пример настройки перенаправления в nginx-конфигурации:
server {
location ~ ^/.well-known/acme-challenge/([a-zA-Z0-9-_]+)$ {
return 301 https://validation.certificate-manager.api.cloud.yandex.net/<Идентификатор сертификата>/$1;
}
}