Установка SSL сертификата LetsEncrypt на BitrixVM

Установка SSL сертификата LetsEncrypt на виртуальную машину битрикс BitrixVM занимает не мало времени, хотя в ней встроен необходимый для этого функционал, но у меня он не заработал.
Из коробки ставиться он так:
Запускаете консольное меню командой 
cd
./menu.sh

Выбираем пункты:
8. Manage pool web servers
3. Configure certificates
1. Configure "Let's encrypt" certificate

Указывает сайт, домен (можно несколько через запитую, надо указать обязательно домен с www и без) и email, на который могут приходить оповещения от центра сертификации. 

Готово! На этом собственно все, но это если конечно не возникло никаких ошибок, что мало вероятно. 
Если ошибки вы можете посмотреть в пункте 10 основного меню 
10. Background pool tasks
где будет записи вида

 ----------------------------------------------------------------------------------------------------

 TaskID                      | Started at            |          Status | Last Step

 ----------------------------------------------------------------------------------------------------

 site_certificate_5810768246 | 31/03/2020 15:24      |        finished | play|complete

 site_certificate_4121217367 | 31/03/2020 14:55      |        finished | play|complete

 

Где в колонке Status у вас скорее всего будет написано error
Подробности ошибки вы можете посмотреть в файле /opt/webdir/temp (название задачи) в моем случае site_certificate_5810768246.

Ошибки там могут быть разные, останавливаться на этом не будем. Ошибок также может и вообще не быть. Те что были у меня я исправил, сертификат создавался, в задачах указан статус finished, но все равно сайт на https не работал, в нужных конфигах ничего не происходило, не было никаких изменений.

Конфиги, которые нужно изменять:

/etc/nginx/bx/site_avaliable/ssl.s1.conf
/etc/nginx/bx/site_enabled/s1.conf

/etc/nginx/bx/site_avaliable/push.conf
/etc/nginx/bx/conf/ssl-push.conf  (ssl-push-custom.conf)

/etc/nginx/certs/push-server/

Также если у вас изначально указан не правильный домен, например тестовый от хостинга, то нужно его везде заменить здесь 
/etc/ansible/host_vars как название файла в этой папке так и внутри файла.
Также в 
/etc/ansible/hosts
/etc/hostname
/etc/hosts

Ставим сертификат вручную: 

Вводим команды

 
mkdir /opt/letsencrypt && cd "$_"

 
git clone https://github.com/certbot/certbot

 
cd certbot

 
./certbot-auto certonly --webroot --agree-tos --email info@site.ru -w /home/bitrix/www/ -d site.ru -d www.site.ru

где указываем e-mail, путь до сайта и нужные домены.

После чего если видим надпись вида: 
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:

редактируем наши конфиги, в которых указываем пути к нашим сертификатам, в моем случае это конфиг /etc/nginx/bx/site_avaliable/ssl.s1.conf

ssl_certificate   /etc/letsencrypt/live/site.ru/fullchain.pem;
ssl_certificate_key  /etc/letsencrypt/live/site.ru/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/site.ru/chain.pem;

Проверяем, что не ошибок nginx  -t
Перезапустим сервер service nginx restart 

После чего сайт должен работать на бесплатном сертификате.

Не забываем также добавить задание в крон, на обновление сертификата

00 3 * * * /opt/letsencrypt/certbot/certbot-auto renew --post-hook "systemctl reload nginx"

которое будет проверять и делать обновление в 3 часа ночи, это можно сделать командой crontab -e или отредактировав файл /var/spool/cron/root

Если нужно установить платный сторонний сертификат, об это написано в этой статье Битрикс настройка SSL, ошибка работы с сокетами 



Загрузка