Труконф возглавил рейтинг ВКС-разработчиков 2023

Блог

Вернуться

Создание сертификата «Let’s Encrypt» на Linux

23.05.2023
Антон Бааджи

Антон Бааджи

Для полноценного использования TrueConf Server или TrueConf MCU необходимо наличие TLS сертификата. Например, для:

Ранее мы показали, как сгенерировать бесплатный Let’s Encrypt сертификат на Windows. В этой статье мы расскажем, как это сделать на операционных системах семейства Linux, которые поддержаны TrueConf Server и TrueConf MCU.

Подготовка

Чтобы успешно сгенерировать и использовать сертификат Let’s Encrypt вам необходимо проделать следующие подготовительные действия:

  1. Установить требуемое решение (TrueConf Server или TrueConf MCU).
  2. Зарегистрировать доменное имя с публичным (белым) IP-адресом.
  3. Открыть порт 80 на сервере, где будет происходить получение сертификата.

Генерация сертификата

Для получения сертификата Let’s Encrypt в ОС семейства Linux используется утилита Certbot. Как правило, она доступна из официальных репозиториев ОС Linux, но также её можно скачать и в виде установочного пакета (см. официальный сайт).

Для выполнения перечисленных ниже команд в ОС должна присутствовать программа sudo и пользователь, под которым они запускаются, должен быть в соответствующей группе. В Debian по умолчанию sudo может отсутствовать, проверьте её наличие командой sudo -V и установите при необходимости с помощью команды apt install sudo (выполняется под учётной записью root). Для добавления пользователя с логином user в группу sudo выполните usermod -a -G sudo user под учётной записью root.

  1. Установите Certbot, выполнив следующую команду:
  2. Перед использованием команды, убедитесь, что на сервере не запущена служба веб-сервера или любая другая служба, которая использует 80 порт. В противном случае команда не сработает, т. к. утилита использует свой собственный веб-сервер для доступа к регистрационному адресу Let’s Encrypt.
    Для остановки службы выполните команду:

    • TrueConf Server: 
    • TrueConf MCU:
  3. Сгенерируйте сертификат Let’s Encrypt без его установки с помощью команды:

    Расшифровка команды:
    –certonly — только получает или обновляет сертификат, но не устанавливает его;
    –standalone — запускает собственный веб-сервер для аутентификации при получении сертификата;
    -d — указывает домен или список доменов, разделённых запятыми, для которых нужно получить сертификаты;
    test.domain.ru — доменное имя вашего сервера, указанное при его регистрации.
  4. Далее необходимо ответить на серию вопросов для регистрации:
    • Укажите адрес электронной почты, на который будут приходить уведомления о необходимости продления сертификата и другая информация.
    • Подтвердите, что вы прочитали правила использования сервиса (введите Y).
    • Согласитесь или откажитесь от новостной рассылки, которая будет приходить на адрес электронной почты, указанный ранее (введите Y или N).
  5. Если генерация прошла успешно, то вы увидите сообщение о создании сертификата. Файлы сертификата (cert.pem и privkey.pem) сохраняются в каталоге /etc/letsencrypt/live/test.domain.ru/.

Установка сертификата

TrueConf Server

  1. Остановите службу trueconf-web, если она запущена:
  2. Скопируйте:
    • файл сертификата с переименованием и сменой расширения с pem на crt:
    • файл ключа с переименованием и сменой расширения с pem на key:
  3. Установите службу TrueConf Server как владельца файлов с именем custom.* в каталоге /opt/trueconf/server/etc/webmanager/ssl/с помощью команды:
  4. Запустите службу веб-сервера:
  5. В панели управления TrueConf Server выберите Использовать загруженный сертификат из раскрывающегося списка Режим работы HTTPS: (раздел Веб → HTTPS → Конфигурация HTTPS), измените HTTPS порт (если необходимо) и нажмите кнопку Проверить конфигурацию. В верхней части страницы появится надпись Конфигурация успешно протестирована.
  6. Нажмите кнопку Применить. Сервер автоматически перезапустится.

TrueConf MCU

  1. Остановите службу tcmcu-webproxy, если она запущена:
  2. Скопируйте:
    • файл сертификата с переименованием:
    • файл ключа с переименованием и сменой расширения с pem на key:
  3. Запустите службу tcmcu-webproxy:

Обновление уже созданного сертификата

Выполните следующую последовательность команд для обновления и переноса файлов сертификата в каталог сервера:

  1. Остановите службу веб-сервера:
    • TrueConf Server:
    • TrueConf MCU:
  2. Обновите сертификат:
  3. Выберите Spin up a temporary webserver (standalone) (введите 1).
  4. Выберите Renew & replace the cert (limit ~5 per 7 days) (введите 2).
  5. Выполните шаги по установке сертификата.
  6. Запустите службу веб-сервера:
    • TrueConf Server:
    • TrueConf MCU:

Не нашли ответ на свой вопрос? Напишите нам в онлайн-чате, мы будем рады помочь.

Подписка на новости