Настроите бесплатные TLS-сертификаты Let's Encrypt через certbot и nginx, включая автообновление и типичные ошибки. Примерное время выполнения: 20–45 минут при наличии домена и сервера.
Статья была полезной?
К концу гайда у вас будут рабочие сертификаты Let's Encrypt на nginx 1.26 и настроенный механизм автопродления; все команды сопровождаются ожидаемым выводом и способами исправления ошибок. Время выполнения — от 20 до 45 минут при готовом DNS и минимальной конфигурации сервера.
Команда устанавливает nginx 1.26 из официального репозитория Ubuntu или из репозитория nginx.org, если требуется точная версия 1.26.x.
# обновление индексa пакетов
sudo apt update && sudo apt install -y nginx=1.26.*Ожидаемый вывод (успех, укорочено):
Reading package lists... Done
Building dependency tree...
The following NEW packages will be installed:
nginx
0 upgraded, 1 newly installed, 0 to remove and 5 not upgraded.
Setting up nginx (1.26.1-1~ubuntu24.04) ...Типичная ошибка: "Package 'nginx' has no installation candidate".
Err:1 http://archive.ubuntu.com/ubuntu jammy/main amd64 nginx ...
404 Not Found [IP: ...]
E: Package 'nginx' has no installation candidateКак исправить: добавьте официальный репозиторий nginx и обновите индексы.
# добавить GPG и репозиторий nginx.org
sudo apt install -y curl gnupg2 ca-certificates lsb-release
curl -fsSL https://nginx.org/keys/nginx_signing.key | sudo gpg --dearmor -o /usr/share/keyrings/nginx-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/nginx-archive-keyring.gpg] http://nginx.org/packages/ubuntu $(lsb_release -cs) nginx" | sudo tee /etc/apt/sources.list.d/nginx.list
sudo apt update && sudo apt install -y nginxSnap-пакет certbot поддерживается Electronic Frontier Foundation и гарантирует актуальную версию 2.6.* (2025). Snap работает быстрее по обновлениям и включает systemd-timer.
# установить snapd (если нет), затем certbot
sudo apt update
sudo apt install -y snapd
sudo snap install core
sudo snap refresh core
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbotОжидаемый вывод (успех):
2025-03-01T12:00:00Z core 16-... installed
certbot 2.6.0 from EFF installedТипичная ошибка: snap не найден или старая версия apt.
apt: command not found
snap: command not foundФикс: убедитесь, что вы на Ubuntu/Debian; для минимальных образов установите пакеты systemd/snapd и перезагрузите демон systemd, затем повторите установку.
Создайте простой server block для example.com, чтобы certbot мог выполнить HTTP-01 challenge на порту 80.
# файл /etc/nginx/sites-available/example.com
sudo tee /etc/nginx/sites-available/example.com > /dev/null <<'NGINX'
server {
listen 80;
server_name example.com www.example.com;
root /var/www/example.com/html;
index index.html;
location / {
try_files $uri $uri/ =404;
}
}
NGINX
sudo mkdir -p /var/www/example.com/html
echo "ok" | sudo tee /var/www/example.com/html/index.html
sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/
sudo nginx -t && sudo systemctl reload nginxОжидаемый вывод:
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successfulОшибка: "bind() to 0.0.0.0:80 failed (98: Address already in use)".
nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)Фикс: найдите процесс, занимающий порт 80, и остановите/перенастройте его.
sudo ss -ltnp | grep ':80'
# затем остановка службы, например:
sudo systemctl stop apache2
sudo systemctl reload nginxКоманда запускает плагин nginx, который автоматически изменит конфигурацию и включит перенаправление на HTTPS.
sudo certbot --nginx -d example.com -d www.example.com --non-interactive --agree-tos --email admin@example.comОжидаемый вывод (успешно, укорочено):
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Obtaining a new certificate
Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/example.com/fullchain.pem
Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.comОшибка: "Failed authorization procedure" или "Connection refused".
Failed authorization procedure. example.com (http-01): urn:ietf:params:acme:error:connection
Details: Fetching http://example.com/.well-known/acme-challenge/... Connection refusedФикс: проверьте DNS A/AAAA записи, брандмауэр (ufw/iptables/cloud provider), откройте порты 80 и 443. Для проверки используйте:
curl -I http://example.com/.well-known/acme-challenge/test
sudo ufw allow 80/tcp
sudo ufw allow 443/tcpПеред автоматизацией всегда выполняйте тестовое продление, чтобы certbot подтвердил доступ к ACME серверам Let's Encrypt.
sudo certbot renew --dry-runОжидаемый вывод:
Processing /etc/letsencrypt/renewal/example.com.conf
Cert not due for renewal, but simulating renewal for dry run
** DRY RUN: simulating 'certbot renew' close to cert expiry
** All renewals succeeded. **Ошибка: "The following certs could not be renewed" или timeout при обращении к challenge URL.
TimeoutError: http-01 challenge for 'example.com' timed outФикс: проверьте снова nginx конфигурацию, проброс портов и наличие правил WAF/CDN (Cloudflare в режиме "orange cloud" блокирует HTTP-01). В случае CDN используйте DNS-01 challenge или временно отключите проксирование.
Поддерживаемые варианты установки: snap (рекомендуется), apt (distribution package) и pip (не рекомендуется для production). Snap гарантирует certbot 2.6.* в 2025–2026 годах.
sudo apt update && sudo apt install -y certbot python3-certbot-nginxТипичная ошибка при apt: "python3-certbot-nginx not found" — исправляется добавлением backports или использованием snap.
Есть два основных способа: полагаться на встроенный systemd-timer от snap-certbot или настроить собственный systemd unit + timer. Snap обычно уже включает таймер; проверьте его наличие:
systemctl list-timers | grep certbot
# или
sudo systemctl status snap.certbot.renew.serviceОжидаемый вывод (snap-managed):
NEXT LEFT LAST PASSED
Mon 2026-01-12 08:15:00 UTC 4 days left Mon 2026-01-05 08:15:02 UTC 3 days agoСоздание собственного timer (если нужно):
# /etc/systemd/system/certbot-renew.service
[Unit]
Description=Certbot renewal
[Service]
Type=oneshot
ExecStart=/usr/bin/certbot renew --quiet --deploy-hook "/bin/systemctl reload nginx"
# /etc/systemd/system/certbot-renew.timer
[Unit]
Description=Run certbot twice daily
[Timer]
OnCalendar=*-*-* 03,15:00:00
RandomizedDelaySec=3600
Persistent=true
[Install]
WantedBy=timers.target
# команды активации
sudo systemctl daemon-reload
sudo systemctl enable --now certbot-renew.timerОжидаемый вывод после enable:
Created symlink /etc/systemd/system/timers.target.wants/certbot-renew.timer → /etc/systemd/system/certbot-renew.timer.Типичная ошибка: "Failed to start certbot-renew.timer: Unit certbot-renew.timer not found." Фикс — выполнить sudo systemctl daemon-reload, проверить пути и права файлов.
Список наиболее встречающихся ситуаций с конкретными решениями.
sudo certbot --nginx --staging -d example.comdig +short example.com
Вывод команды certbot --nginx после успешного получения сертификата
Внутренние ссылки для дальнейшего чтения: DevOps и Безопасность. Также полезно прочитать руководство по Docker для размещения приложений за nginx.
Пример nginx server block для example.com, порт 80 и root каталог
Используйте staging-сервер Let's Encrypt для тестирования и не превышайте лимиты при автоматизации.
Проверьте версию командой certbot --version. Ожидаемый вывод для snap-установки: "certbot 2.6.0" (2025). Если команда не найдена, проверьте, что путь /snap/bin в $PATH или создайте символьную ссылку sudo ln -s /snap/bin/certbot /usr/bin/certbot. Для apt-версии вывод может отличаться: "certbot 1.22" — в таком случае рекомендуется перейти на snap для актуальных фиксов.
Проверьте локальные прослушиваемые сокеты: sudo ss -ltnp | grep ':80'. Если порт занят, остановите соответствующую службу (например, apache2) или измените её конфигурацию. Проверьте брандмауэр: sudo ufw status, при необходимости откройте порты: sudo ufw allow 80/tcp && sudo ufw allow 443/tcp. На облачных платформах также проверьте правила security group/ACL.
Причины: отсутствует systemd-timer, таймер отключён, certbot установлен не через snap и cron не настроен либо деплой-хук вызывает ошибку при перезагрузке nginx. Проверьте timers: systemctl list-timers | grep certbot. Если таймер отсутствует, создайте unit+timer из примера и убедитесь, что служба перезагрузки nginx работает и пользователь имеет права на перезагрузку.
DNS-01 используется, если домен проксируется CDN (Cloudflare, Sucuri) или если вы не можете открыть порт 80 (например, хостинг ограничивает доступ). DNS-01 требует управления DNS API (Cloudflare, Route53 и т.д.) — certbot поддерживает плагины для популярных провайдеров, но их необходимо установить и настроить API-ключ в конфигурации.
Типичный сценарий: подготовка nginx и получение сертификата — 1–5 минут при корректных DNS и открытых портах. Полная процедура с установкой snap, настройкой сервисов и тестовым продлением занимает 20–45 минут. Тестирование и устранение ошибок могут добавить ещё 15–60 минут в сложных сценариях.
Комментарии (0)
Войдите или зарегистрируйтесь, чтобы оставить комментарий
Загрузка комментариев…