Как начать работать c Certificate Manager

Статья создана

Yandex.Cloud

улучшена

amatol

Подготовка к работе
Создание запроса на получение сертификата от Let's Encrypt
Прохождение проверки прав на домен
Настройка доступа по HTTPS к статическому сайту

В этой инструкции вы создадите свой первый сертификат от Let's Encrypt^® и используете его для настройки доступа по HTTPS к статическому сайту, размещенному в Yandex Object Storage.

Подготовка к работе

Чтобы начать работать с Certificate Manager вам понадобится:

Каталог в Yandex.Cloud. Если каталога еще нет, создайте новый каталог:
1. На стартовой странице консоли управления нажмите кнопку Создать каталог.
2. Введите имя каталога.
  - Длина — от 3 до 63 символов.
  - Может содержать строчные буквы латинского алфавита, цифры и дефисы.
  - Первый символ — буква. Последний символ — не дефис.
3. Выберите опцию Создать сеть по умолчанию. Будет создана сеть с подсетями в каждой зоне доступности. Также в этой сети будет создана группа безопасности по умолчанию, внутри которой весь сетевой трафик разрешен.
4. Нажмите кнопку Создать.
Домен не ниже третьего уровня, для которого будет выпущен сертификат от Let's Encrypt^®.

Примечание

Чтобы пройти процедуру проверки прав на домен, он должен находиться под вашим управлением.
Публичный бакет в Object Storage с точно таким же именем, что и домен. Если бакета еще нет, создайте его:
Консоль управления
1. В консоли управления выберите каталог, в котором хотите создать бакет.
2. Выберите сервис Object Storage.
3. Нажмите кнопку Создать бакет.
4. Введите имя бакета в точности совпадающее с именем домена.
5. Выберите тип доступа Публичный.
6. Выберите класс хранилища по умолчанию.
7. Нажмите кнопку Создать бакет для завершения операции.
Настройте хостинг в бакете:
Консоль управления
1. В консоли управления выберите сервис Object Storage.
2. На вкладке Бакеты нажмите на бакет с именем домена.
3. В левой панели выберите пункт Веб-сайт.
4. Выберите раздел Хостинг и укажите главную страницу сайта.
5. Нажмите кнопку Сохранить для завершения операции.
Настройте алиас для бакета у своего провайдера DNS или на собственном DNS-сервере.

Например, для домена www.example.com необходимо добавить запись:
```
www.example.com CNAME www.example.com.website.yandexcloud.net
```
Установите и настройте AWS CLI по инструкции.

Создание запроса на получение сертификата от Let's Encrypt

Консоль управления

Перейдите в консоль управления.
Выберите сервис Certificate Manager.
Нажмите кнопку Добавить сертификат.
В открывшемся меню выберите Сертификат от Let's Encrypt.
В открывшемся окне задайте имя сертификата.
(опционально) Добавьте описание сертификату.
В поле Домены укажите домены, для которых нужно выпустить сертификат.
Выберите тип проверки прав на домен HTTP.
Нажмите кнопку Создать.

Прохождение проверки прав на домен

Создайте файл для прохождения проверки:
1. Перейдите в консоль управления.
2. Выберите сервис Certificate Manager.
3. Выберите в списке нужный сертификат со статусом Validating и нажмите на него.
4. В блоке Проверка прав на домены:
  1. Скопируйте ссылку из поля Ссылка для размещения файла:
    - Часть ссылки вида http://example.ru/.well-known/acme-challenge/ — это путь для размещения файла.
    - Вторая часть ссылки rG1Mm1bJ... — это имя файла, которое вам необходимо использовать.
  2. Скопируйте содержимое файла из поля Содержимое.

Загрузите созданный файл в бакет, так чтобы он располагался в папке .well-known/acme-challenge:

AWS CLI

aws --endpoint-url=https://storage.yandexcloud.net \ 
   s3 cp <имя файла> s3://<имя бакета>/.well-known/acme-challenge/<имя файла>

Дождитесь изменения статуса сертификата на Issued.

Удалите созданный файл из бакета:

AWS CLI

aws --endpoint-url=https://storage.yandexcloud.net \ 
   s3 rm s3://<имя бакета>/.well-known/acme-challenge/<имя файла>

Важно

Обновление сертификата требует от вас участия. Внимательно следите за временем жизни созданных сертификатов, чтобы своевременно обновлять их. Подробнее в разделе Обновление сертификата.

Настройка доступа по HTTPS к статическому сайту