Поведение расширения Let’s Encrypt в Plesk зависит от ряда настроек, например:

  • За какое время до окончания срока действия обновляются сертификаты Let’s Encrypt;

  • Записываются ли в журнал Plesk запросы к серверу ACME;

  • Размер секретного ключа RSA и так далее.

Вы можете изменить эти настройки, указав свои собственные значения в разделе [ext-letsencrypt] конфигурационного файла panel.ini. Например, чтобы настроить обновление сертификатов Let’s Encrypt за 45 дней до окончания срока действия и изменить размер секретного ключа RSA на 4096 бит, добавьте следующий раздел в файл panel.ini:

[ext-letsencrypt]
renew-before-expiration = 45
rsa-key-size = 4096

Как обеспечить защиту сайтов с помощью бесплатных SSL/TLS-сертификатов от Let’s Encrypt

Расширение Let’s Encrypt позволяет автоматически обеспечить защиту сайтов с помощью бесплатных доверенных SSL/TLS-сертификатов от Let’s Encrypt. Эту функцию можно включить или выключить для каждого конкретного хостинг-плана. Когда вы включаете эту функцию для хостинг-плана, то для каждого объекта (домена, субдомена, псевдонима домена или службы веб-почты), принадлежащего подписке на основе этого хостинг-плана, который:

  • защищен самозаверенным SSL/TLS-сертификатом,

  • защищен просроченным SSL/TLS-сертификатом,

  • вообще не защищен SSL/TLS-сертификатом,

Самозаверенный или просроченный SSL/TLS-сертификат заменяется на сертификат Let’s Encrypt.

Вы также можете настроить расширение Let’s Encrypt так, чтобы в дополнение к самозаверенным или просроченным SSL/TLS-сертификатам оно заменяло также и SSL/TLS-сертификаты, не выпущенные каким-либо доверенным центром сертификации. Для этого необходимо выставить значение true для настройки check-domain-cert-authority. Читайте больше о настройке check-domain-cert-authority в разделе “Список настроек Let’s Encrypt”.

Чтобы обеспечить защиту сайтов с помощью бесплатного SSL/TLS-сертификата от Let’s Encrypt:

  1. Перейдите на страницу Тарифные планы.

  2. На вкладке “Хостинг-планы” нажмите Добавить план для создания нового плана или нажмите имя существующего плана для его редактирования.

  3. Перейдите на вкладку “Дополнительные услуги”.

  4. В разделе «SSL It!» выберите «Обеспечить защиту сайтов с помощью бесплатного SSL-сертификата».

  5. Нажмите OK.

Теперь все домены, субдомены, псевдонимы доменов и службы веб-почты, принадлежащие подпискам на основе этого хостинг-плана, будут автоматически защищены с помощью сертификатов Let’s Encrypt. Это изменение затрагивает как существующие, так и вновь созданные подписки.

Кроме того, вы можете включить опцию “Обеспечить защиту сайтов с помощью бесплатного SSL-сертификата” с помощью XML API, отправив следующий запрос:

<?xml version="1.0" encoding="UTF-8"?>
<packet>
  <service-plan>
    <add-plan-item>
      <filter>
        <name>Default Domain</name>
      </filter>
      <plan-item>
        <name>urn:ext:letsencrypt:plan-item-sdk:keep-secured</name>
      </plan-item>
    </add-plan-item>
  </service-plan>
</packet>

Список настроек Let’s Encrypt

Все настройки расширения Let’s Encrypt, которые можно задать в файле panel.ini, описаны ниже:

Параметр

Тип

Описание

Значение по умолчанию

rsa-key-size

целое число

Размер секретного ключа RSA в битах.

2048

user-agent

строка

HTTP-заголовок User-Agent.

Plesk/$PRODUCT_VERSION

letsencrypt-url

строка

URL сайта Let’s Encrypt.

https://letsencrypt.org/

terms-url

строка

URL хранилища правовых политик Let’s Encrypt.

https://letsencrypt.org/repository/

renew-before-expiration

(устаревший)

целое число

Количество дней до окончания срока действия сертификата, за которое он должен автоматически обновиться.

Эту же настройку можно использовать и в расширении SSL It!. В таком случае настройка в SSL It! будет иметь более высокий приоритет, чем в Let’s Encrypt.

Сейчас эта настройка по-прежнему поддерживается, но в будущем будет исключена из Let’s Encrypt.

30

config-dir

строка

Путь, по которому хранятся сертификаты для интеграции с третьими лицами.

$PRODUCT_ROOT/var/modules/letsencrypt/etc

verify

строка

Путь к набору доверенных сертификатов, подписанных корневым центром сертификации.

$PRODUCT_ROOT/admin/plib/modules/letsencrypt/resources/ca/cacert.pem

disable-cleanup

логическое значение

Отключить очистку файлов идентификации после разрешения спора о доменах.

false

log-requests

логическое значение

Записывать запросы к серверу ACME в журнал Plesk.

false

secure-new-domain

логическое значение

Состояние по умолчанию флажка «Защитить домен с помощью Let’s Encrypt», отображаемое при создании подписки, домена или субдомена.

false

letsencrypt-docs-rate-limits-url

строка

URL сайта с документацией Let’s Encrypt об ограничениях (“Rate Limits”). Эта ссылка отображается в сообщениях об ошибках в интерфейсе расширения, когда ограничения Let’s Encrypt превышаются.

https://letsencrypt.org/docs/rate-limits/

check-availability-delay

целое число

*Временной интервал в секундах между попытками проверки доступности домена по HTTP.

5

check-availability-max-attempts

целое число

*Максимальное количество попыток проверки того, что домен доступен по HTTP.

10

check-availability-timeout

целое число

*Время ожидания ответа при проверке доступности домена по HTTP. Если в течение периода времени, установленного параметром check-availability-timeout, не получен код ответа, домен считается недоступным.

5

check-domain-cert-authority

логическое значение

Если выбрана опция “Обеспечить защиту сайтов с помощью бесплатного SSL-сертификата”, и эта настройка имеет значение «false», то расширение Let’s Encrypt заменяет только самозаверенные и просроченные SSL/TLS-сертификаты. Если же эта настройка имеет значение «true», расширение также заменяет SSL/TLS-сертификаты, не заверенные ни одним из корневых сертификатов комплекта сертификатов какого-либо доверенного корневого центра сертификации (смотрите описание настройки verify).

false

send-notifications-interval

временной интервал

Эта настройка определяет, как часто расширение Let’s Encrypt сможет отправлять вам уведомления (например, о том, что домен был защищен сертификатом Let’s Encrypt, или об обновлении сертификата Let’s Encrypt). По умолчанию расширение отправляет вам по электронной почте одно уведомление в день. Это уведомление содержит информацию обо всех событиях, имеющих отношение к Let’s Encrypt, которые произошли с момента отправки предыдущего уведомления. Чтобы получать отдельное уведомление о каждом событии сразу после того, как оно произошло, присвойте этой настройке значение «now».

1 день

use-common-challenge-dir

Задает общую папку для подтверждения владения доменом: /var/www/vhosts/default/.well-known/acme-challenge.

true

fallback-registration-email

(устаревший)

Регистрационный адрес электронной почты при возобновлении SSL/TLS-сертификатов. Используется только в случае, когда адрес для регистрации домена не сохранен в ModulesSettings, и адрес владельца домена не зарегистрирован.

Сейчас Let’s Encrypt требует адрес электронной почты для выдачи сертификата. Эта настройка по-прежнему поддерживается в настоящее время, но в будущем перестанет использоваться.

Адрес электронной почты администратора

acme-directory-url

URI папки сервера ACME.

https://acme-v02.api.letsencrypt.org/directory

acme-protocol-version

Версия протокола ACME.

acme-v02

Примечание

*Каждый раз при защите нового домена расширение Let’s Encrypt проверяет, доступен ли он по HTTP, так как домены могут быть некоторое время недоступны после создания их в Plesk. Во время этой проверки применяются все настройки, начиная с check-availability.