Бесплатный SSL без certbot — Let's Encrypt в браузере

Почему certbot не всем подходит

Certbot — это официальный клиент Let's Encrypt, рекомендованный для большинства сценариев. Но он подразумевает что у вас есть:

• SSH-доступ к серверу с правами sudo
• Linux (или macOS) с возможностью установить пакеты
• Знание командной строки
• Время разобраться с плагинами для вашего веб-сервера (nginx, apache)

Когда хотя бы один пункт не выполняется — process буксует. Самые частые случаи:

• Хостинг с панелью управления (ISPmanager, cPanel) — нет SSH или панель не поддерживает certbot
• Windows-сервер — certbot есть, но интеграция сложнее
• Без сервера вообще — нужен сертификат, например, для CDN или клиента, у которого нет железа
• Не хочется ничего ставить — нужен один сертификат на один сайт, и больше эта задача не возникнет

Чем мы отличаемся от certbot

Как это работает технически

Под капотом мы используем ту же ACME-библиотеку что и certbot — официальную acme от Let's Encrypt. Только обёрнутую в веб-интерфейс:

1. Браузер генерирует приватный ключ домена (RSA-2048) и CSR
2. Запрашиваем у Let's Encrypt новый order, получаем challenge
3. Показываем вам что положить на сервер или в DNS
4. После вашего подтверждения — отправляем сигнал «проверяй» в LE
5. LE проверяет, если ОК — финализирует order и выдаёт сертификат
6. Скачиваете 4 файла: cert.pem, privkey.pem, chain.pem, fullchain.pem

Приватный ключ не отправляется к нам на сервер — он живёт только в вашем браузере 24 часа после выпуска. Через сутки его уже не получить, придётся выпускать заново. Это сделано для безопасности.

Что получите на выходе

Те же 4 файла что и certbot:

cert.pem       — сам сертификат вашего домена
privkey.pem    — приватный ключ (хранить в секрете!)
chain.pem      — промежуточные сертификаты Let's Encrypt
fullchain.pem  — cert.pem + chain.pem (обычно используется для nginx)

Подставляете их в конфиг вашего веб-сервера и перезапускаете его. Для nginx:

server {
    listen 443 ssl;
    server_name example.com;
    ssl_certificate     /path/to/fullchain.pem;
    ssl_certificate_key /path/to/privkey.pem;
    # ... остальной конфиг
}

Минусы по сравнению с certbot

• Автообновления нет. Certbot можно настроить так, чтобы он сам обновлял серты по cron. Через браузер каждые 90 дней надо повторять процесс вручную. Чтобы не пропустить — поставьте галку «Напомнить за 7 дней» при выпуске.
• Нет интеграции с веб-сервером. Certbot может сам поправить nginx-конфиг. У нас вы получаете файлы — что с ними делать, решаете сами.
• Если вы регулярно выпускаете много сертов — установить certbot всё-таки удобнее.

Что лучше выбрать

Через браузер (/ssl) — если: один или несколько сертов, нет SSH/Linux, не хочется ничего ставить, или нужно «сейчас», без подготовки среды.

Через certbot — если: десятки доменов, нужно автообновление, есть свой Linux-сервер с правами, и время разобраться.

Часто задаваемые вопросы