Для полноценного использования TrueConf Server или TrueConf MCU необходимо наличие TLS сертификата. Например, для:
- синхронизации TrueConf Server с LDAP;
- подключения к вебинарам TrueConf Server через браузер;
- подключения к конференциям через браузер на TrueConf MCU.
Ранее мы показали, как сгенерировать бесплатный Let’s Encrypt сертификат на Windows. В этой статье мы расскажем, как это сделать на операционных системах семейства Linux, которые поддержаны TrueConf Server и TrueConf MCU.
Содержание
Подготовка
Чтобы успешно сгенерировать и использовать сертификат Let’s Encrypt вам необходимо проделать следующие подготовительные действия:
- Установить требуемое решение (TrueConf Server или TrueConf MCU).
- Зарегистрировать доменное имя с публичным (белым) IP-адресом.
- Открыть порт 80 на сервере, где будет происходить получение сертификата.
Генерация сертификата
Для получения сертификата Let’s Encrypt в ОС семейства Linux используется утилита Certbot. Как правило, она доступна из официальных репозиториев ОС Linux, но также её можно скачать и в виде установочного пакета (см. официальный сайт).
Для выполнения перечисленных ниже команд в ОС должна присутствовать программа sudo и пользователь, под которым они запускаются, должен быть в соответствующей группе. В Debian по умолчанию sudo может отсутствовать, проверьте её наличие командой sudo -V
и установите при необходимости с помощью команды apt install sudo
(выполняется под учётной записью root). Для добавления пользователя с логином user в группу sudo выполните usermod -a -G sudo user
под учётной записью root.
- Установите Certbot, выполнив следующую команду:
1sudo apt install certbot - Перед использованием команды, убедитесь, что на сервере не запущена служба веб-сервера или любая другая служба, которая использует 80 порт. В противном случае команда не сработает, т. к. утилита использует свой собственный веб-сервер для доступа к регистрационному адресу Let’s Encrypt.
Для остановки службы выполните команду:
- TrueConf Server:
1sudo systemctl stop trueconf-web - TrueConf MCU:
1sudo systemctl stop tcmcu-web
- TrueConf Server:
- Сгенерируйте сертификат Let’s Encrypt без его установки с помощью команды:
1sudo certbot certonly --standalone -d test.domain.ru
Расшифровка команды:
–certonly — только получает или обновляет сертификат, но не устанавливает его;
–standalone — запускает собственный веб-сервер для аутентификации при получении сертификата;
-d — указывает домен или список доменов, разделённых запятыми, для которых нужно получить сертификаты;
test.domain.ru — доменное имя вашего сервера, указанное при его регистрации. - Далее необходимо ответить на серию вопросов для регистрации:
- Укажите адрес электронной почты, на который будут приходить уведомления о необходимости продления сертификата и другая информация.
- Подтвердите, что вы прочитали правила использования сервиса (введите
Y
). - Согласитесь или откажитесь от новостной рассылки, которая будет приходить на адрес электронной почты, указанный ранее (введите
Y
илиN
).
- Если генерация прошла успешно, то вы увидите сообщение о создании сертификата. Файлы сертификата (cert.pem и privkey.pem) сохраняются в каталоге
/etc/letsencrypt/live/test.domain.ru/
.
Установка сертификата
TrueConf Server
- Остановите службу trueconf-web, если она запущена:
1sudo systemctl stop trueconf-web - Скопируйте:
- файл сертификата с переименованием и сменой расширения с pem на crt:
1sudo cp /etc/letsencrypt/live/test.domain.ru/cert.pem /opt/trueconf/server/etc/webmanager/ssl/custom.crt - файл ключа с переименованием и сменой расширения с pem на key:
1sudo cp /etc/letsencrypt/live/test.domain.ru/privkey.pem /opt/trueconf/server/etc/webmanager/ssl/custom.key
- файл сертификата с переименованием и сменой расширения с pem на crt:
- Установите службу TrueConf Server как владельца файлов с именем custom.* в каталоге
/opt/trueconf/server/etc/webmanager/ssl/
с помощью команды:
1sudo chown trueconf:trueconf /opt/trueconf/server/etc/webmanager/ssl/custom.* - Запустите службу веб-сервера:
1sudo systemctl start trueconf-web - В панели управления TrueConf Server выберите Использовать загруженный сертификат из раскрывающегося списка Режим работы HTTPS: (раздел Веб → HTTPS → Конфигурация HTTPS), измените HTTPS порт (если необходимо) и нажмите кнопку Проверить конфигурацию. В верхней части страницы появится надпись Конфигурация успешно протестирована.
- Нажмите кнопку Применить. Сервер автоматически перезапустится.
TrueConf MCU
- Остановите службу tcmcu-webproxy, если она запущена:
1sudo systemctl stop tcmcu-webproxy - Скопируйте:
- файл сертификата с переименованием:
1sudo cp /etc/letsencrypt/live/test.domain.ru/cert.pem /opt/trueconf/mcu/etc/ssl/web/web.pem - файл ключа с переименованием и сменой расширения с pem на key:
1sudo cp /etc/letsencrypt/live/test.domain.ru/privkey.pem /opt/trueconf/mcu/etc/ssl/web/web.key
- файл сертификата с переименованием:
- Запустите службу tcmcu-webproxy:
1sudo systemctl start tcmcu-webproxy
Обновление уже созданного сертификата
Выполните следующую последовательность команд для обновления и переноса файлов сертификата в каталог сервера:
- Остановите службу веб-сервера:
- TrueConf Server:
1sudo systemctl stop trueconf-web - TrueConf MCU:
1sudo systemctl stop tcmcu-webproxy
- TrueConf Server:
- Обновите сертификат:
1sudo certbot certonly –d test.domain.ru - Выберите Spin up a temporary webserver (standalone) (введите
1
). - Выберите Renew & replace the cert (limit ~5 per 7 days) (введите
2
). - Выполните шаги по установке сертификата.
- Запустите службу веб-сервера:
- TrueConf Server:
1sudo systemctl start trueconf-web - TrueConf MCU:
1sudo systemctl start tcmcu-webproxy
- TrueConf Server: