Как начать работать c Certificate Manager

В этой инструкции вы создадите свой первый сертификат от Let's Encrypt^® и используете его для настройки доступа по HTTPS к статическому сайту, размещенному в Yandex Object Storage.

Подготовка к работе

Чтобы начать работать с Certificate Manager вам понадобится:

1. Каталог в Yandex Cloud. Если каталога еще нет, создайте новый каталог:

   1. На странице облака нажмите кнопку Создать каталог.

   2. Введите имя каталога. Требования к имени:

      • Длина — от 3 до 63 символов.
      • Может содержать строчные буквы латинского алфавита, цифры и дефисы.
      • Первый символ — буква. Последний символ — не дефис.

   3. (опционально) Введите описание каталога.

   4. Выберите опцию Создать сеть по умолчанию. Будет создана сеть с подсетями в каждой зоне доступности. Также в этой сети будет создана группа безопасности по умолчанию, внутри которой весь сетевой трафик разрешен.

   5. Нажмите кнопку Создать.

2. Домен не ниже третьего уровня, для которого будет выпущен сертификат от Let's Encrypt^®.

   Примечание

   Чтобы пройти процедуру проверки прав на домен, он должен находиться под вашим управлением.

3. Публичный бакет в Object Storage с точно таким же именем, что и домен. Если бакета еще нет, создайте его:

   Консоль управления

   1. В консоли управления выберите каталог, в котором хотите создать бакет.
   2. Выберите сервис Object Storage.
   3. Нажмите кнопку Создать бакет.
   4. Введите имя бакета в точности совпадающее с именем домена.
   5. Выберите тип доступа Публичный.
   6. Выберите класс хранилища по умолчанию.
   7. Нажмите кнопку Создать бакет для завершения операции.

4. Настройте хостинг в бакете:

   Консоль управления

   1. В консоли управления выберите сервис Object Storage.
   2. На вкладке Бакеты нажмите на бакет с именем домена.
   3. В левой панели выберите пункт Веб-сайт.
   4. Выберите раздел Хостинг и укажите главную страницу сайта.
   5. Нажмите кнопку Сохранить для завершения операции.

5. Настройте алиас для бакета у своего провайдера DNS или на собственном DNS-сервере.

   Например, для домена www.example.com необходимо добавить запись:

   www.example.com CNAME www.example.com.website.yandexcloud.net
   

6. Установите и настройте AWS CLI по инструкции.

Создание запроса на получение сертификата от Let's Encrypt

Прохождение проверки прав на домен

1. Создайте файл для прохождения проверки:

   1. Перейдите в консоль управления.
   2. Выберите сервис Certificate Manager.
   3. Выберите в списке нужный сертификат со статусом Validating и нажмите на него.
   4. В блоке Проверка прав на домены:
      1. Скопируйте ссылку из поля Ссылка для размещения файла:
         • Часть ссылки вида http://example.com/.well-known/acme-challenge/ — это путь для размещения файла.
         • Вторая часть ссылки rG1Mm1bJ... — это имя файла, которое вам необходимо использовать.
      2. Скопируйте содержимое файла из поля Содержимое.

2. Загрузите созданный файл в бакет, так чтобы он располагался в папке .well-known/acme-challenge:

   AWS CLI

   aws --endpoint-url=https://storage.yandexcloud.net \ 
      s3 cp <имя файла> s3://<имя бакета>/.well-known/acme-challenge/<имя файла>
   

3. Дождитесь изменения статуса сертификата на Issued.

4. Удалите созданный файл из бакета:

   AWS CLI

   aws --endpoint-url=https://storage.yandexcloud.net \ 
      s3 rm s3://<имя бакета>/.well-known/acme-challenge/<имя файла>
   

Настройка доступа по HTTPS к статическому сайту

См. также

• Сертификат от Let's Encrypt^®
• Проверка прав на домен
• Настройка HTTPS в бакете