Управление настройками Let's Encrypt

Поведение расширения Let's Encrypt в Plesk зависит от ряда настроек, например:

  • За какое время до окончания срока действия обновляются сертификаты Let's Encrypt.  
  • Записываются ли в журнал Plesk запросы к серверу ACME.
  • Размер секретного ключа RSA и так далее.

Вы можете изменить эти настройки, указав свои собственные значения в разделе [ext-letsencrypt] конфигурационного файла panel.ini. Например, чтобы настроить обновление сертификатов Let's Encrypt за 45 дней до окончания срока действия и изменить размер секретного ключа RSA на 4096 бит, добавьте следующий раздел в файл panel.ini:

[ext-letsencrypt]
renew-before-expiration = 45
rsa-key-size = 4096
Как обеспечить защиту сайтов с помощью бесплатных SSL/TLS-сертификатов от Let’s Encrypt

Расширение Let’s Encrypt позволяет автоматически обеспечить защиту сайтов с помощью бесплатных доверенных SSL/TLS-сертификатов от Let’s Encrypt. Эту функцию можно включить или выключить для каждого конкретного хостинг-плана. Когда вы включаете эту функцию для хостинг-плана, то для каждого объекта (домена, субдомена, псевдонима домена или службы веб-почты), принадлежащего подписке на основе этого хостинг-плана, который:

  • защищен самоподписанным SSL/TLS-сертификатом,
  • защищен просроченным SSL/TLS-сертификатом,
  • вообще не защищен SSL/TLS-сертификатом,

самоподписанный или просроченный SSL/TLS-сертификат заменяется на сертификат Let’s Encrypt.

Вы также можете настроить расширение Let’s Encrypt так, чтобы в дополнение к самозаверенным или просроченным SSL/TLS-сертификатам оно заменяло также и SSL/TLS-сертификаты, не выпущенные каким-либо доверенным центром сертификации. Для этого необходимо выставить значение true для настройки check-domain-cert-authority. Читайте больше о настройке check-domain-cert-authority в разделе “Список настроек Let's Encrypt”.

Чтобы обеспечить защиту сайтов с помощью бесплатного SSL/TLS-сертификата от Let’s Encrypt:

  1. Перейдите в раздел Тарифные планы.
  2. На вкладке “Хостинг-планы” нажмите Добавить план для создания нового плана или нажмите имя существующего плана для его редактирования.
  3. Перейдите на вкладку “Дополнительные услуги”.
  4. В разделе “Let's Encrypt” выберите “Обеспечить защиту сайтов с помощью бесплатного SSL-сертификата”.
  5. Нажмите OK  (или Обновить и синхронизировать в случае редактирования существующего плана).

Теперь все домены, субдомены, псевдонимы доменов и службы веб-почты, принадлежащие подпискам на основе этого хостинг-плана, автоматически защищены с помощью сертификатов Let’s Encrypt. Это изменение затрагивает как существующие, так и вновь созданные подписки.

Кроме того, вы можете включить опцию “Обеспечить защиту сайтов с помощью бесплатного SSL-сертификата” с помощью XML API, отправив следующий запрос:

<?xml version="1.0" encoding="UTF-8"?>
</packet>
 <service-plan>
 <add-plan-item>
 <filter>
 <name>Default Domain</name>
 </filter>
 <plan-item>
 <name>urn:ext:letsencrypt:plan-item-sdk:keep-secured</name>
 </plan-item>
 </add-plan-item>
 </service-plan>
</packet>
Список настроек Let's Encrypt

Все настройки расширения Let's Encrypt, которые можно задать в файле panel.ini, описаны ниже:

Настройка Тип Описание Значение по умолчанию

server

string

URL папки сервера ACME.

https://acme-v01.api.letsencrypt.org/directory

rsa-key-size

integer

Размер секретного ключа RSA в битах.

2048

user-agent

string

HTTP-заголовок User-Agent.

Plesk/$PRODUCT_VERSION

letsencrypt-url

string

URL сайта Let's Encrypt.

https://letsencrypt.org/

terms-url

string

URL хранилища правовых политик Let's Encrypt.

https://letsencrypt.org/repository/

renew-before-expiration

integer

Количество дней до окончания срока действия сертификата, за которое он должен автоматически обновиться.

30

config-dir

string

Путь, по которому хранятся сертификаты для интеграции с третьими лицами.

$PRODUCT_ROOT/var/modules/letsencrypt/etc

verify

string

Путь к набору доверенных сертификатов, подписанных корневым центром сертификации.

$PRODUCT_ROOT/admin/plib/modules/letsencrypt/resources/ca/cacert.pem

disable-cleanup

boolean

Отключить очистку файлов идентификации после разрешения спора о доменах. 

false

log-requests

boolean

Записывать запросы к серверу ACME в журнал Plesk.

false

secure-new-domain

 

boolean

Установить по умолчанию включение галочки "Защитить домен с помощью Let's Encrypt", отображаемой при создании подписки, домена или субдомена.

false

letsencrypt-docs-rate-limits-url

string

URL сайта с документацией Let's Encrypt об ограничениях (“Rate Limits”). Эта ссылка отображается в сообщениях об ошибках в интерфейсе расширения, когда ограничения Let's Encrypt превышаются.

https://letsencrypt.org/docs/rate-limits/

check-availability-delay

integer

*Временной интервал в секундах между попытками проверки доступности домена по HTTP.

5

check-availability-max-attempts

integer

*Максимальное количество попыток проверки того, что домен доступен по HTTP.

10

check-availability-timeout

integer

*Время ожидания ответа при проверке доступности домена по HTTP. Если в течение периода времени, установленного параметром check-availability-timeout, не получен код ответа, домен считается недоступным.

5

 

check-domain-cert-authority

boolean

Если выбрана опция “Обеспечить защиту сайтов с помощью бесплатного SSL-сертификата”, и эта настройка имеет значение "false", то расширение Let’s Encrypt заменяет только самоподписанные и просроченные SSL/TLS-сертификаты. Если же эта настройка имеет значение "true", расширение также заменяет SSL/TLS-сертификаты, не заверенные ни одним из корневых сертификатов комплекта сертификатов какого-либо доверенного корневого центра сертификации (смотрите описание настройки verify).

false

send-notifications-interval

 

date interval

Эта настройка определяет, как часто расширение Let’s Encrypt сможет отправлять вам уведомления (например, о том, что домен был защищен сертификатом Let’s Encrypt, или об обновлении сертификата Let’s Encrypt). По умолчанию расширение отправляет вам по электронной почте одно уведомление в день. Это уведомление содержит информацию обо всех событиях, имеющих отношение к Let’s Encrypt, которые произошли с момента отправки предыдущего уведомления. Чтобы получать отдельное уведомление о каждом событии сразу после того, как оно произошло, присвойте этой настройке значение 0.

1 день

Примечание. *Каждый раз при защите нового домена расширение Let’s Encrypt проверяет, доступен ли он по HTTP, так как домены могут быть некоторое время недоступны после создания их в Plesk. Все настройки, начиная с check-availability, применяются во время этой проверки.

Примечание. Если у вас установлено расширение Let's Encrypt версии 2.0.3 или ниже, обновите расширение до версии 2.1 или выше, чтобы можно было изменять настройки Let's Encrypt с помощью конфигурационного файла panel.ini.