管理 Let’s Encrypt 設定
Plesk Let’s Encrypt 擴展的操作由一系列的設定管控,例如:
您可以在 [ext-letsencrypt] 部分(在 panel.ini 設定檔中)指定自訂值來更改這些設定。例如,令 Let’s Encrypt 在到期前 45 天續訂更新證書並將 RSA 私密金鑰的大小更改為 4096 比特,可將下面的部分添加到 panel.ini 文件:
[ext-letsencrypt]
renew-before-expiration = 45
rsa-key-size = 4096
使用 Let’s Encrypt 的免費 SSL/TLS 證書保護網站的安全
Let’s Encrypt 擴展能夠自動使用免費可靠的 Let’s Encrypt SSL/TLS 證書保護託管網站的安全。可在單個主機方案的基礎上打開或關閉該功能。當您為某個主機方案和屬於基於該主機方案的訂閱的每個域名、子域名、域名別名或 web 郵箱打開該功能時,則:
- 使用自簽名的 SSL/TLS 證書保護安全的。
- 使用過期的 SSL/TLS 證書保護安全的。
- 沒有使用 SSL/TLS 證書保護安全的。
使用自簽名或到期 SSL/TLS 證書的會被 Let’s Encrypt 證書替換。
除了自簽名和過期的 SSL/TLS 證書,您還可以使用 Let’s Encrypt 擴展替換不是發自可信證書機構的 SSL/TLS 證書。操作方式是設定 check-domain-cert-authority 為 true。請瞭解更多有關 “Let’s Encrypt 設定列表” 中 check-domain-cert-authority 設定的資訊。
欲使用 Let’s Encrypt 的免費 SSL/TLS 證書保護網站的安全,請如下操作:
- 轉入 服務方案 。
- 在 “主機方案” 標籤上點按 添加方案 創建一個新方案或點按現有某個方案進行編輯。
- 進入 “其它服務” 標籤。
- 在 “SSL It!” 下,選擇“使用免費的SSL證書保護網站安全”。
- 點按 確定 。
那麼現在屬於基於該主機方案的各訂閱的所有的域名、子域名、域名別名和 web 郵箱都將自動使用 Let’s Encrypt 證書保護安全。此更改會影響現有的和新創建的訂閱。
另外,您還可以通過 XML API 發送以下請求啟用 “Keep websites secured with free SSL Certificate” 選項:
<?xml version="1.0" encoding="UTF-8"?>
<packet>
<service-plan>
<add-plan-item>
<filter>
<name>Default Domain</name>
</filter>
<plan-item>
<name>urn:ext:letsencrypt:plan-item-sdk:keep-secured</name>
</plan-item>
</add-plan-item>
</service-plan>
</packet>
Let’s Encrypt 設定列表
所有 Let’s Encrypt 擴展的設定都可在 panel.ini 中指定,描述如下:
| 設定 | 類型 | 描述 | 預設值 |
|---|---|---|---|
rsa-key-size |
整數 | RSA 私密金鑰的大小,以比特為單位。 | 2048 |
user-agent |
字串 | User-Agent HTTP header。 | Plesk/$PRODUCT_VERSION |
letsencrypt-url |
字串 | Let’s Encrypt 網站 URL。 | https://letsencrypt.org/ |
terms-url |
字串 | Let’s Encrypt Policy and Legal Repository URL。 | https://letsencrypt.org/repository/ |
|
(已棄用) |
整數 |
證書到期前多少天可自動續訂更新。 同樣的設定也可以用於 SSL It! 擴展。在這種情況下,SSL It! 的設定將比Let’s Encrypt的優先順序有更高。 目前仍支援該設定,但將來會在Let’s Encrypt 中棄用。 |
30 |
config-dir |
字串 | 存儲協力廠商整合的證書的路徑。 | $PRODUCT_ROOT/var/modules/letsencrypt/etc |
核實 |
字串 | 可信的 CA Root Certificates bundle 的路徑。 | $PRODUCT_ROOT/admin/plib/modules/letsencrypt/resources/ca/cacert.pem |
disable-cleanup |
boolean | 禁止在域名糾紛解決後清除權杖檔。 | 否 |
log-requests |
boolean | 在 Plesk 日誌中記錄對 ACME 伺服器的請求。 | 否 |
secure-new-domain |
boolean | 設定當創建新的訂閱、域名或子域名時 「Secure the domain with Let’s Encrypt」 核取方塊的預設狀態。 | 否 |
letsencrypt-docs-rate-limits-url |
字串 | 進入 Let’s Encrypt 文檔有關 “速率限制” 的 URL。當超過 Let’s Encrypt 速率限制時,則會在擴展的 GUI 錯誤資訊中顯示該連結。 | https://letsencrypt.org/docs/rate-limits/ |
check-availability-delay |
整數 | *檢查是否可通過 HTTP 存取域名嘗試之間的等候時間(秒)。 | 5 |
check-availability-max-attempts |
整數 | *檢查是否可存取域名的最多嘗試次數。 | 10 |
check-availability-timeout |
整數 | *檢查是否可通過 HTTP 存取域名的超時時間(秒)。如果在 check-availability-timeout 定義的時間內,沒有收到回應代碼,域名則視為不可用。 | 5 |
check-domain-cert-authority |
boolean | 當啟用了 “Keep websites secured with free SSL Certificate” 選項時,如果您將該設定設為 「false」,Let’s Encrypt 擴展則只替換自簽名和過期的 SSL/TLS 證書。如果您將其設為 「true」,該擴展還會替換不被可信的 CA Root Certificates bundle 中任何根證書信任的 SSL/TLS 證書(請查看 verify 設定)。 |
否 |
send-notifications-interval |
日期區間 | 確定 Let’s Encrypt 擴展給您發送通知的頻率(例如,有關域名使用 Let’s Encrypt 證書保護安全,或 Let’s Encrypt 證書被更新續訂)。默認該擴展每天給您發送一個通知郵件。該郵件包含有關自上次發送郵件以來的所有 Let’s Encrypt 相關事件的資訊。若想要在每個事件發生時立即單獨發送郵件通知,請將該設定設為現在。 | 1 天 |
use-common-challenge-dir |
設定通用目錄的用法: /var/www/vhosts/default/.well-known/acme-challenge.
|
是 | |
|
(已棄用) |
在續訂更新 SSL/TLS 證書時用作註冊電郵地址。僅在用於域名註冊的電郵地址未在 ModulesSettings 中未保存以及域名所有者的電郵地址未進行註冊時使用。 目前,Let’s Encrypt需要一封電子郵件來簽發證書。目前仍支援該設定,但將來將被棄用。 |
管理員的電子郵箱 | |
acme-directory-url |
目錄資源 URI。 | https://acme-v02.api.letsencrypt.org/directory |
|
acme-protocol-version |
ACME 協議版本。 | acme-v02 |
備註: *Let’s Encrypt 擴展會在每次一個新域名使用證書保護安全時檢查域名是否可以通過 HTTP 進行存取,因為在 Plesk 中創建域名後有時域名會不可用。在該檢查的過程中會應用所有以 check-availability 開頭的設定。