Как сделать плавным переход на Let's Encrypt?

У меня LAMP на Ubuntu 14.04
2016

Начало уже прекрасное.

Я теперь хочу начать пользоваться Let's Encrypt'ом.
У них есть неплохие объяснялки и я надеюсь у меня всё нормально получится.

Там целых 2 команды, помнится. Ты сможешь, я верю.

То ли мне надо обязательно сначала дождаться пока мой старый сертификат не закончится. То ли не ждать и как можно скорей перейти на новый.

Как хочешь - так и делай. Обычно сразу переходят - чего ждать-то ?

И что тогда делать со старым? Как от него избавиться?

man rm

А в каком порядке лучше всё делать? Сначала удалить старые файлы? Я в свое время положил crt и root_bundle.crt в директорию /etc/ssl/certs и .key файл в директорию /etc/ssl/private Кроме физического удаления этих файлов, что-то еще надо делать, чтобы полностью избавиться от старого сертификата? Например, может в терминале какую команду ввести? К примеру, когда я устанавливал год назад старый сертификат, я вводил тогда длинную команду, начинающуюся с «openssl req -new -newkey и т.д. и т.п» А уже потом устанавливать Let's Encrypt?

1. Получить сертификат LetsEncrypt-а
2. Поправить конфиги сервера, чтобы он использовал этот сертификат
3. Рестартануть сервер
4. rm-нуть старые сертификаты

Спасибо за ответ!

С п.2 не совсем понятно. К примеру, у меня в файле /etc/apache2/sites-available/000-default.conf стоит ссылка на те 3 файла, о которых я писал выше в строках, где «SSLCertificateFile», «SSLCertificateKeyFile» и «SSLCertificateChainFile» Как с этим всем быть?

Ну, новый ключ сгенерирует LE при запросе, новый сертификат придет от CA. Цепочку тоже выдаст, но я помню что мне пришлось как-то ее править, хотя может обойдется.

Если HPKP не использовался, никаких проблем.

Можешь не удалять старый сертификат, разрешаю

Ну lighttpd цепочку подхватил без проблем. Браузеры не жалуются, проверялки ssl тоже.

У меня только в логах какие-то подключения с неподдерживаемого SSLv2. Что бы это могло быть?

Браузеры не жалуются

насколько мне известно, только хром не жалуется на отсутствие цепочки.

Так я и не понял:

1) Физически удалять файлы старого сертификата?

2) Что делать с ссылками на них в файле конфигурации Apache: /etc/apache2/sites-available/000-default.conf

• SSLCertificateFile /etc/ssl/certs/my_domain.com.crt
• SSLCertificateKeyFile /etc/ssl/private/my_domain.com.key
• SSLCertificateChainFile /etc/ssl/certs/root_bundle.crt

3)Вы имели в виду, что аналогично с обычными сертификатами, и в случае с Let's Encrypt я в результате буду иметь на руках все те файлы сертификата, что обычно получаю от платных CA? И потом надо их будет также вместо старых файлов положить в соответствующие директории и в /etc/apache2/sites-available/000-default.conf прописать к ним путь?

1) Физически удалять файлы старого сертификата?

Как угодно. Можете сохранить на память.

И потом надо их будет также вместо старых файлов положить в соответствующие директории

Суть Let's Encrypt заключается в том, что сертификаты истекают через три месяца, поэтому надо, указав директорию, настроить автоматическое обновление, а не перекладывать их куда-то шаловливыми ручонками.

Всё получилось. Не так и сложно. Всем спасибо!