管理 Let's Encrypt 設定

Plesk Let's Encrypt 擴展的操作由一系列的設定管控,例如:

  • Let's Encrypt 證書 在到期前多少天自動續訂更新。
  • ACME 伺服器進行的請求是否被記錄在 Plesk 日誌中。
  • RSA 私密金鑰的大小,等等。

您可以在 [ext-letsencrypt] 部分(在 panel.ini 設定檔中)指定自訂值來更改這些設定。例如,令 Let's Encrypt 在到期前 45 天續訂更新證書並將 RSA 私密金鑰的大小更改為 4096 比特,可將下面的部分添加到 panel.ini 文件:

[ext-letsencrypt]
renew-before-expiration = 45
rsa-key-size = 4096
使用 Let’s Encrypt 的免費 SSL/TLS 證書保護網站的安全

Let’s Encrypt 擴展能夠自動使用免費可靠的 Let’s Encrypt SSL/TLS 證書保護託管網站的安全。可在單個主機方案的基礎上打開或關閉該功能。當您為某個主機方案和屬於基於該主機方案的訂閱的每個域名、子域名、域名別名或 web 郵箱打開該功能時,則:

  • 使用自簽名的 SSL/TLS 證書保護安全的。
  • 使用過期的 SSL/TLS 證書保護安全的。
  • 沒有使用 SSL/TLS 證書保護安全的。

使用自簽名或到期 SSL/TLS 證書的會被 Let’s Encrypt 證書替換。

除了自簽名和過期的 SSL/TLS 證書,您還可以使用 Let’s Encrypt 擴展替換不是發自可信證書機構的 SSL/TLS 證書。操作方式是設定 check-domain-cert-authority 為 true。請瞭解更多有關 “Let's Encrypt 設定列表” 中 check-domain-cert-authority 設定的資訊。

欲使用 Let’s Encrypt 的免費 SSL/TLS 證書保護網站的安全,請如下操作:

  1. 進入  服務方案
  2. 在 “主機方案” 標籤上點按  添加方案  創建一個新方案或點按現有某個方案進行編輯。
  3. 進入 “其它服務” 標籤。
  4. 在 “Let's Encrypt” 下,勾選 “Keep websites secured with free SSL Certificate”。
  5. 點按  確定 (如果編輯現有方案則點按  更新並同步 )。

那麼現在屬於基於該主機方案的各訂閱的所有的域名、子域名、域名別名和 web 郵箱都將自動使用 Let’s Encrypt 證書保護安全。此更改會影響現有的和新創建的訂閱。

另外,您還可以通過 XML API 發送以下請求啟用 “Keep websites secured with free SSL Certificate” 選項:

<?xml version="1.0" encoding="UTF-8"?>
<packet>
 <service-plan>
 <add-plan-item>
 <filter>
 <name>Default Domain</name>
 </filter>
 <plan-item>
 <name>urn:ext:letsencrypt:plan-item-sdk:keep-secured</name>
 </plan-item>
 </add-plan-item>
 </service-plan>
</packet>
Let's Encrypt 設定列表

所有 Let's Encrypt 擴展的設定都可在 panel.ini 中指定,描述如下:

設定 類型 描述 預設值

伺服器

字串

ACME 伺服器目錄 URL。

https://acme-v01.api.letsencrypt.org/directory

rsa-key-size

整數

RSA 私密金鑰的大小,以比特為單位。

2048

user-agent

字串

User-Agent HTTP header。

Plesk/$PRODUCT_VERSION

letsencrypt-url

字串

Let's Encrypt 網站 URL。

https://letsencrypt.org/

terms-url

字串

Let's Encrypt Policy and Legal Repository URL。

https://letsencrypt.org/repository/

renew-before-expiration

整數

證書到期前多少天可自動續訂更新。

30

config-dir

字串

存儲協力廠商整合的證書的路徑。

$PRODUCT_ROOT/var/modules/letsencrypt/etc

核實

字串

可信的 CA Root Certificates bundle 的路徑。

$PRODUCT_ROOT/admin/plib/modules/letsencrypt/resources/ca/cacert.pem

disable-cleanup

boolean

禁止在域名糾紛解決後清除權杖檔。 

false

log-requests

boolean

在 Plesk 日誌中記錄對 ACME 伺服器的請求。

false

secure-new-domain

 

boolean

設定當創建新的訂閱、域名或子域名時 "Secure the domain with Let's Encrypt" 核取方塊的預設狀態。

false

letsencrypt-docs-rate-limits-url

字串

進入 Let's Encrypt 文檔有關 “速率限制” 的 URL。當超過 Let's Encrypt 速率限制時,則會在擴展的 GUI 錯誤資訊中顯示該連結。

https://letsencrypt.org/docs/rate-limits/

check-availability-delay

整數

*檢查是否可通過 HTTP 存取域名嘗試之間的等候時間(秒)。

5

check-availability-max-attempts

整數

*檢查是否可存取域名的最多嘗試次數。

10

check-availability-timeout

整數

*檢查是否可通過 HTTP 存取域名的超時時間(秒)。如果在 check-availability-timeout 定義的時間內,沒有收到回應代碼,域名則視為不可用。

5

 

check-domain-cert-authority

boolean

當啟用了 “Keep websites secured with free SSL Certificate” 選項時,如果您將該設定設為 "false",Let’s Encrypt 擴展則只替換自簽名和過期的 SSL/TLS 證書。如果您將其設為 "true",該擴展還會替換不被可信的 CA Root Certificates bundle 中任何根證書信任的 SSL/TLS 證書(請查看 verify 設定)。

false

send-notifications-interval

 

date interval

確定 Let’s Encrypt 擴展給您發送通知的頻率(例如,有關域名使用 Let’s Encrypt 證書保護安全,或 Let’s Encrypt 證書被更新續訂)。默認該擴展每天給您發送一個通知郵件。該郵件包含有關自上次發送郵件以來的所有 Let’s Encrypt 相關事件的資訊。若想要在每個事件發生時立即單獨發送郵件通知,請將該設定設為 0。

1 天

注意: *Let’s Encrypt 擴展會在每次一個新域名使用證書保護安全時檢查域名是否可以通過 HTTP 進行存取,因為在 Plesk 中創建域名後有時域名會不可用。在該檢查的過程中會應用所有以 check-availability 開頭的設定。

注意: 如果您安裝了 Let's Encrypt 擴展 2.0.3 或更早版本,請使用 panel.ini 設定檔將擴展更新到 2.1 或更新版本以更改 Let's Encrypt 的設定。