管理 Let’s Encrypt 设置
Plesk Let’s Encrypt 扩展的操作由一系列的设置管控,例如:
您可以在 [ext-letsencrypt] 部分(在 panel.ini 配置文件中)指定自定义值来更改这些设置。例如,令 Let’s Encrypt 在到期前 45 天续订更新证书并将 RSA 私钥的大小更改为 4096 比特,可将下面的部分添加到 panel.ini 文件:
[ext-letsencrypt]
renew-before-expiration = 45
rsa-key-size = 4096
使用 Let’s Encrypt 的免费 SSL/TLS 证书保护网站的安全
Let’s Encrypt 扩展能够自动使用免费可靠的 Let’s Encrypt SSL/TLS 证书保护托管网站的安全。可在单个主机方案的基础上打开或关闭该功能。当您为某个主机方案和属于基于该主机方案的订阅的每个域名、子域名、域名别名或 web 邮箱打开该功能时,则:
- 使用自签名的 SSL/TLS 证书保护安全的。
- 使用过期的 SSL/TLS 证书保护安全的。
- 没有使用 SSL/TLS 证书保护安全的。
使用自签名或到期 SSL/TLS 证书的会被 Let’s Encrypt 证书替换。
除了自签名和过期的 SSL/TLS 证书,您还可以使用 Let’s Encrypt 扩展替换不是发自可信证书机构的 SSL/TLS 证书。操作方式是设置 check-domain-cert-authority 为真。请了解更多有关 “Let’s Encrypt 设置列表” 中 check-domain-cert-authority 设置的信息。
欲使用 Let’s Encrypt 的免费 SSL/TLS 证书保护网站的安全,请如下操作:
- 转入 服务方案 。
- 在 “主机方案” 标签上点击 添加方案 创建一个新方案或点击现有某个方案进行编辑。
- 进入 “其它服务” 标签。
- 在 “SSL It!” 下,选择“使用免费的SSL证书保护网站安全”。
- 点击 确定 。
那么现在属于基于该主机方案的各订阅的所有的域名、子域名、域名别名和 web 邮箱都将自动使用 Let’s Encrypt 证书保护安全。此更改会影响现有的和新创建的订阅。
另外,您还可以通过 XML API 发送以下请求启用 “用免费的SSL证书保护网站” 这个选项:
<?xml version="1.0" encoding="UTF-8"?>
<packet>
<service-plan>
<add-plan-item>
<filter>
<name>Default Domain</name>
</filter>
<plan-item>
<name>urn:ext:letsencrypt:plan-item-sdk:keep-secured</name>
</plan-item>
</add-plan-item>
</service-plan>
</packet>
Let’s Encrypt 设置列表
所有 Let’s Encrypt 扩展的设置都可在 panel.ini 中指定,描述如下:
| 设置 | 类型 | 描述 | 默认值 |
|---|---|---|---|
rsa-key-size |
整数 | RSA 私钥的大小,以比特为单位。 | 2048 |
user-agent |
字串 | User-Agent HTTP header。 | Plesk/$PRODUCT_VERSION |
letsencrypt-url |
字串 | Let’s Encrypt 网站 URL。 | https://letsencrypt.org/ |
terms-url |
字串 | Let’s Encrypt Policy and Legal Repository URL。 | https://letsencrypt.org/repository/ |
|
(已弃用) |
整数 |
证书到期前多少天可自动续订更新。 同样的设置也可以用于 SSL It! 扩展。在这种情况下,SSL It! 的设置将比Let’s Encrypt的优先级有更高。 目前仍支持该设置,但将来会在Let’s Encrypt 中弃用。 |
30 |
config-dir |
字串 | 存储第三方整合的证书的路径。 | $PRODUCT_ROOT/var/modules/letsencrypt/etc |
核实 |
字串 | 可信的 CA Root Certificates bundle 的路径。 | $PRODUCT_ROOT/admin/plib/modules/letsencrypt/resources/ca/cacert.pem |
disable-cleanup |
boolean | 禁止在域名纠纷解决后清除令牌文件。 | 否 |
log-requests |
boolean | 在 Plesk 日志中记录对 ACME 服务器的请求。 | 否 |
secure-new-domain |
boolean | 设置当创建新的订阅、域名或子域名时 “用Let’s Encrypt保护网站” 复选框的默认状态。 | 否 |
letsencrypt-docs-rate-limits-url |
字串 | 进入 Let’s Encrypt 文档有关 “速率限制” 的 URL。当超过 Let’s Encrypt 速率限制时,则会在扩展的 GUI 错误信息中显示该链接。 | https://letsencrypt.org/docs/rate-limits/ |
check-availability-delay |
整数 | *检查是否可通过 HTTP 访问域名尝试之间的等候时间(秒)。 | 5 |
check-availability-max-attempts |
整数 | *检查是否可访问域名的最多尝试次数。 | 10 |
check-availability-timeout |
整数 | *检查是否可通过 HTTP 访问域名的超时时间(秒)。如果在 check-availability-timeout 定义的时间内,没有收到响应代码,域名则视为不可用。 | 5 |
check-domain-cert-authority |
boolean | 当启用了 “用免费的SSL证书保护网站”这个选项时,如果您将该设置设为 “否”,那么Let’s Encrypt 扩展便只会替换自签名和过期的 SSL/TLS 证书。如果您将其设为了 “是”,那么该扩展还会替换不被可信的CA根证书包所信任的所有 SSL/TLS 证书(请查看 验证 设置)。 |
否 |
send-notifications-interval |
日期区间 | 确定 Let’s Encrypt 扩展给您发送通知的频率(例如,有关域名使用 Let’s Encrypt 证书保护安全,或 Let’s Encrypt 证书被更新续订)。默认该扩展每天给您发送一封通知邮件。该邮件包含有关自上次发送邮件以来的所有 Let’s Encrypt 相关事件的信息。若想要在每个事件发生时立即单独发送邮件通知,请将该设置设为现在。 | 1 天 |
use-common-challenge-dir |
通用挑战目录的设置使用情况: /var/www/vhosts/default/.well-known/acme-challenge。
|
是 | |
|
(已弃用) |
当SSL/TLS 证书更新时,作为注册电子邮件地址使用。只有当注册域名的电子邮件地址没有保存在模块设置中,并且域名所有者的电子邮件地址并未注册的情况下才使用。 目前,Let’s Encrypt需要一封电子邮件来签发证书。目前仍支持该设置,但将来将被弃用。 |
管理员电子邮件 | |
acme-directory-url |
目录资源链接。 | https://acme-v02.api.letsencrypt.org/directory |
|
acme-protocol-version |
ACME 协议版本。 | acme-v02 |
注解: *Let’s Encrypt 扩展会在每次一个新域名使用证书保护安全时检查域名是否可以通过 HTTP 进行访问,因为在 Plesk 中创建域名后有时域名会不可用。在该检查的过程中会应用所有以 check-availability 开头的设置。