Проверка прав на домен

Для получения и обновления сертификата от Let's Encrypt^® пройдите процедуру проверки прав на каждый домен, указанный в сертификате. В Certificate Manager доступно два типа проверок: HTTP и DNS. При создании сертификата вы можете выбрать любой тип проверки. Проверка прав на домены может занять продолжительное время.

Certificate Manager ожидает успешного завершения процедуры проверки по каждому домену из сертификата (статус всех проверок — Valid). После этого будет выписан сертификат в Let's Encrypt. Статус сертификата изменится на Issued, и вы сможете использовать его в сервисах, интегрированных с Certificate Manager.

Если процедура проверки не будет выполнена в течение одной недели, сертификат перейдет в статус Invalid при получении сертификата или Renewal_failed при обновлении сертификата. Чтобы после этого получить сертификат, создайте новый запрос на получение сертификата от Let's Encrypt.

Статусы процедуры проверки сертификата

Процедура проверки может находиться в следующих статусах:

• Pending — процедура проверки ожидает завершения. Факт завершения процедуры проверки определяет Certificate Manager.
• Processing — процедура проверки ожидает подтверждения от Let's Encrypt.
• Valid — процедура проверки успешно пройдена.
• Invalid — процедура проверки прав на конкретный домен завершилась с ошибкой или истек срок в одну неделю, отведенный на прохождение процедуры.

HTTP

Для прохождения процедуры проверки прав на домен example.com:

1. Создайте файл с именем и содержимым, которые указаны в блоке Проверка прав на домены на странице просмотра информации по сертификату:

   1. Скопируйте ссылку из поля Ссылка для размещения файла:
      • Часть ссылки вида http://example.com/.well-known/acme-challenge/ — это путь для размещения файла.
      • Вторая часть ссылки rG1Mm1bJ... — это имя файла, которое вам необходимо использовать.

2. Разместите файл на веб-сервере так, чтобы он был доступен по пути:

   http://<имя домена>/.well-known/acme-challenge/<имя файла>
   

3. После изменения статуса сертификата на Issued удалите файл, размещенный на веб-сервере.

DNS

Если у вас нет доступа к веб-серверу или необходимо получить Wildcard-сертификат с масками на поддомены вида *.example.com, используйте тип проверки DNS.

Для прохождения проверки вам необходимо добавить специальную DNS-запись одного из двух типов: TXT или CNAME.

При использовании TXT-записи вам придется проходить проверку каждые 60 дней в рамках автоматического обновления сертификата.

При использовании CNAME-записи возможно пройти проверку только один раз. Для этого необходимо делегировать Certificate Manager право ответа в DNS-зоне домена, используемой при проверке. В этом случае проверки будут проходить автоматически.

Обратите внимание на то, что добавить необходимо только одну из указанных записей. Добавление обеих записей может привести к конфликтам в работе кеширующих серверов.

Добавление CNAME-записи

Для автоматического прохождения проверки прав на домен example.com:

1. В консоли управления выберите каталог, в котором был создан сертификат.

2. В списке сервисов выберите Certificate Manager.

3. В списке сертификатов выберите сертификат, который участвует в проверке.

4. В блоке Проверка прав на домены в поле Значение посмотрите значение для домена.

5. Разместите у своего DNS-провайдера или на собственном DNS-сервере CNAME-запись для делегирования прав управления на DNS-зону, используемую для проверки:

   _acme-challenge.example.com CNAME <Значение>
   

Строка <Значение> формируется по шаблону <Идентификатор сертификата>.cm.yandexcloud.net.

Добавление TXT-записи

Для прохождения проверки прав на домен example.com:

1. В консоли управления выберите каталог, в котором был создан сертификат.

2. В списке сервисов выберите Certificate Manager.

3. В списке сертификатов выберите сертификат, который участвует в проверке.

4. В блоке Проверка прав на домены в поле Значение посмотрите значение для домена.

5. Разместите у своего DNS-провайдера или на собственном DNS-сервере TXT-запись:

   _acme-challenge.example.com. IN TXT <Значение>
   

6. После изменения статуса сертификата на Issued удалите с DNS-сервера добавленную TXT-запись.

Автоматическая проверка прав

В некоторых случаях процедура проверки прав на домен не требует участия пользователя.

CNAME-запись на зону

Проверка проходит автоматически при соблюдении следующих условий:

• Сертификат находится в статусе Renewing — проходит процедуру обновления.

• Для каждого домена сертификата настроена DNS-запись:

  _acme-challenge.example.com CNAME <Идентификатор сертификата>.cm.yandexcloud.net.
  

Перенаправление статического сайта Object Storage

Проверка проходит автоматически при соблюдении следующих условий:

• Сертификат находится в статусе Renewing — проходит процедуру обновления.
• Сертификат используется в HTTPS-конфигурации статического веб-сайта Object Storage.
• Для каждого домена сертификата настроен:
  • алиас на бакет статического сайта, в котором используется этот сертификат;
  • или переадресация на домен с алиасом на бакет.
• Сертификат не является Wildcard-сертификатом — не содержит масок на поддомены.

Перенаправление на сервер валидации в веб-сервере

Проверка проходит автоматически при соблюдении следующих условий:

• Сертификат находится в статусе Renewing — проходит процедуру обновления.
• Сертификат не является Wildcard-сертификатом — не содержит масок на поддомены.
• Для каждого домена сертификата в веб-сервере настроено перенаправление с

  http://<Домен>/.well-known/acme-challenge/*
  

  на

  https://validation.certificate-manager.api.cloud.yandex.net/<Идентификатор сертификата>/*
  

Пример настройки перенаправления в nginx-конфигурации:

   server {
        location ~ ^/.well-known/acme-challenge/([a-zA-Z0-9-_]+)$ {
                return 301 https://validation.certificate-manager.api.cloud.yandex.net/<Идентификатор сертификата>/$1;
        }
   }

См. также

• Документация Let's Encrypt. Виды проверок