Gestione delle impostazioni Let’s Encrypt
Il comportamento dell’estensione Plesk Let’s Encrypt è regolato da varie impostazioni, ad esempio:
- Con quale anticipo rispetto alla data di scadenza vengono rinnovati i Certificati di Let’s Encrypt.
- Se le richieste al server ACME devono essere registrate o meno sul registro Plesk.
- Le dimensioni della chiave RSA privata, e così via.
Puoi modificare queste impostazioni specificando valori personalizzati nella sezione [ext-letsencrypt] del file di configurazione panel.ini. Ad esempio, per fare in modo che i certificati di Let’s Encrypt vengano rinnovati 45 giorni prima della scadenza e modificare le dimensioni della chiave privata RSA a 4096 bit, aggiungi la sezione seguente al file panel.ini:
[ext-letsencrypt]
renew-before-expiration = 45
rsa-key-size = 4096
Protezione dei siti web con certificati SSL/TLS gratuiti di Let’s Encrypt
L’estensione Let’s Encrypt è in grado di mantenere sicuri automaticamente i siti web ospitati utilizzando i certificati SSL/TLS affidabili e gratuiti di Let’s Encrypt. Questa funzione può essere attivata o disattivata per ciascun piano di hosting. Quando viene attivata per un piano di hosting, per ciascun dominio, sottodominio, alias di dominio o webmail appartenente a un abbonamento basato su tale piano di hosting e che sia:
- Protetto/a con un certificato SSL/TLS autofirmato.
- Protetto/a con un certificato SSL/TLS scaduto.
- Non protetto/a con un certificato SSL/TLS.
Il certificato SSL/TLS autofirmato o scaduto viene sostituito con un certificato di Let’s Encrypt.
Se lo desideri, puoi anche fare in modo che l’estensione Let’s Encrypt sostituisca i certificati SSL/TLS non emessi da una delle autorità di certificazione affidabili, oltre ai certificati SSL/TLS autofirmati e scaduti. A tale scopo, imposta check-domain-cert-authority su «true». Puoi trovare maggiori informazioni sull’impostazione check-domain-cert-authority in «Elenco delle impostazioni di Let’s Encrypt».
Per proteggere siti web con certificati SSL/TLS gratuiti di Let’s Encrypt:
- Vai su Piani di servizio.
- Nella scheda «Piani di hosting», fai clic su Aggiungi un piano per creare un nuovo piano oppure seleziona il nome di un piano esistente per modificarlo.
- Vai alla scheda «Servizi addizionali».
- In «SSL It!», seleziona «Mantieni i siti web sicuri con un certificato SSL gratuito».
- Fai clic su OK.
Ora tutti i domini, sottodomini, alias di dominio e webmail che appartengono ad abbonamenti basati su questo piano di hosting vengono protetti automaticamente con certificati di Let’s Encrypt. La modifica ha effetto sugli abbonamenti nuovi e su quelli esistenti.
In alternativa, puoi abilitare l’opzione «Mantieni siti web sicuri con un certificato SSL gratuito» mediante l’API XML, inviando la richiesta seguente:
<?xml version="1.0" encoding="UTF-8"?>
<packet>
<service-plan>
<add-plan-item>
<filter>
<name>Default Domain</name>
</filter>
<plan-item>
<name>urn:ext:letsencrypt:plan-item-sdk:keep-secured</name>
</plan-item>
</add-plan-item>
</service-plan>
</packet>
Elenco delle impostazioni di Let’s Encrypt
Tutte le impostazioni dell’estensione Let’s Encrypt che possono essere specificate nel file panel.ini sono descritte di seguito:
| Impostazione | Tipo | Descrizione | Valore predefinito |
|---|---|---|---|
rsa-key-size |
intero | Le dimensioni della chiave privata RSA in bit. | 2048 |
user-agent |
stringa | L’intestazione HTTP User-Agent. | Plesk/$PRODUCT_VERSION |
letsencrypt-url |
stringa | L’URL del sito Web di Let’s Encrypt. | https://letsencrypt.org/ |
terms-url |
stringa | L’URL dell’archivio legale e della politica di Let’s Encrypt. | https://letsencrypt.org/repository/ |
|
(deprecato) |
intero |
Il numero di giorni di anticipo per il rinnovo automatico del certificato rispetto alla scadenza. La stessa impostazione può essere utilizzata anche per l’estensione SSL It!. In tal caso, l’impostazione relativa a SSL It! avrà una priorità più alta rispetto a quella di Let’s Encrypt. Attualmente, l’impostazione è ancora supportata, ma diventerà obsoleta per Let’s Encrypt in futuro. |
30 |
config-dir |
stringa | Il percorso di archiviazione dei certificati per l’integrazione di terze parti. | $PRODUCT_ROOT/var/modules/letsencrypt/etc |
verificare |
stringa | Il percorso del bundle dei certificati root CA affidabili. | $PRODUCT_ROOT/admin/plib/modules/letsencrypt/resources/ca/cacert.pem |
disable-cleanup |
Booleano | Disattiva la pulizia dei file di token una volta risolta una disputa di dominio. | falso |
log-requests |
Booleano | Richieste di registro per il server ACME sul registro Plesk. | falso |
secure-new-domain |
Booleano | Imposta lo stato predefinito della casella di controllo «Proteggi il dominio con Let’s Encrypt» visualizzata durante la creazione di un nuovo abbonamento, dominio o sottodominio. | falso |
letsencrypt-docs-rate-limits-url |
stringa | L’URL della documentazione di Let’s Encrypt sui «Limiti numerici». Il link viene visualizzato nei messaggi di errore della GUI dell’estensione quando i limiti numerici di Let’s Encrypt sono stati superati. | https://letsencrypt.org/docs/rate-limits/ |
check-availability-delay |
intero | *Il tempo di attesa, in secondi, fra i tentativi di controllare se un dominio è accessibile tramite HTTP. | 5 |
check-availability-max-attempts |
intero | *Il numero massimo di tentativi di controllare se un dominio è accessibile tramite HTTP. | 10 |
check-availability-timeout |
intero | *Il timeout, in secondi, per controllare se un dominio è accessibile tramite HTTP. Se, entro l’intervallo definito da check-availability-timeout, non si riceve alcun codice di risposta, il dominio viene considerato non disponibile. | 5 |
check-domain-cert-authority |
Booleano | Quando l’opzione «Mantieni siti web sicuri con un certificato SSL gratuito» è abilitata, se per questa impostazione si seleziona «false», l’estensione Let’s Encrypt sostituisce solo i certificati SSL/TLS autofirmati e scaduti. Se si seleziona «true», l’estensione sostituisce anche i certificati SSL/TLS non considerati affidabili da qualsiasi certificato root nel bundle dei certificati root CA affidabili (vedi l’impostazione verify). |
falso |
send-notifications-interval |
intervallo di date | Stabilisce la frequenza con cui l’estensione Let’s Encrypt può inviarti notifiche (ad esempio, sull’attivazione della protezione di un dominio tramite un certificato di Let’s Encrypt o sul rinnovo di un certificato di Let’s Encrypt). Per impostazione predefinita, l’estensione invia un’e-mail di notifica al giorno. Questa e-mail contiene le informazioni su tutti gli eventi correlati a Let’s Encrypt che si sono verificati dall’invio dell’e-mail precedente. Per ricevere via e-mail una notifica separata immediatamente dopo che si verifica ogni evento, seleziona il valore «subito» per questa impostazione. | 1 giorno |
use-common-challenge-dir |
Imposta l’utilizzo della challenge directory comune: /var/www/vhosts/default/.well-known/acme-challenge.
|
vero | |
|
(deprecato) |
Utilizzato come indirizzo e-mail di registrazione al momento di rinnovare i certificati SSL/TLS. Utilizzato esclusivamente quando in ModulesSettings non è stato salvato alcun indirizzo e-mail per la registrazione di un dominio e non è stato registrato l’indirizzo e-mail del proprietario del dominio. Attualmente, Let’s Encrypt necessita di un indirizzo e-mail per emettere un certificato. L’impostazione è ancora supportata, ma diventerà obsoleta in futuro. |
L’indirizzo e-mail dell’amministratore | |
acme-directory-url |
URI di una risorsa directory. | https://acme-v02.api.letsencrypt.org/directory |
|
acme-protocol-version |
Versione del protocollo ACME. | acme-v02 |
Nota: *l’estensione Let’s Encrypt controlla se un dominio è accessibile via HTTP ogni volta che viene protetto un nuovo dominio, poiché i domini possono rimanere non disponibili per un certo intervallo di tempo dopo la loro creazione in Plesk. Durante questo controllo vengono applicate tutte le impostazioni che iniziano con check-availability.