Эта страница — для тех, кто сам поднимает сайт на сервере (нужен доступ по SSH). Просто купил VPS под софт или VPN — SSL тут, скорее всего, не нужен.
Варианты сертификата
Universal SSL
Автоматически в Cloudflare. Шифрует «браузер ↔ CF».
CF Origin CA
Бесплатный серт на origin, 15 лет. Шифрует «CF ↔ origin».
Let's Encrypt
Публичный, 90 дней, автообновление. Для end-to-end и Full (Strict).
Установка Let’s Encrypt
Дальше всё через SSH подroot (IP и пароль — в карточке сервера в боте). По умолчанию на сервере Ubuntu 22.04.
Проверить предусловия
- A-запись домена указывает на IP сервера (тот, что в карточке сервера в боте). Как добавить — DNS-записи.
- Порты 80 и 443 открыты в фаерволе.
- Веб-сервер (nginx или apache) запущен.
Обновление
Сертификат живёт 90 дней. Certbot ставит системный таймер автообновления — настраивать ничего не нужно. Для проверки:Wildcard (*.example.com)
Только через DNS-челлендж:
_acme-challenge в DNS домена. Дождись, пока запись распространится, и только потом нажми Enter.
Частые ошибки
| Ошибка | Причина | Что делать |
|---|---|---|
| Timeout | Порт 80 закрыт | Открыть в фаерволе |
| Domain not found | A-запись не распространилась | Подождать, проверить DNS |
| Connection refused | nginx/apache не запущен | sudo systemctl start nginx |
| Rate limit | Слишком много запросов | Подождать. Лимит: 5 неудач/час, 50 сертификатов/домен/неделю |
Куда дальше
Веб-сервер (Nginx)
Настрой Nginx для работы с сертификатом.
Защита сервера
Следующий шаг — закрыть остальные дыры.