Проблемы с Let’s Encrypt в ISPManager

Возникла задача поставить SSL сертификат на клиентский сайт, при этом требований к «крутости» SSL нет, т.к сайт будет использоваться для внутренних нужд компании. Решили взять бесплатный сертификат от Let’s Encrypt.

На хостинге стоит довольно популярная в России панель управления ISPManager, в которой уже есть модуль интеграции с Let’s Encrypt, и проблем с задачей не должно было возникнуть.

Но встроенный в ISPManager модуль Let’s Encrypt, конечно, не заработал — бесконечно висел статус «Процесс получения сертификата начат», и все. По щелчку на кнопке «Let’s Encrypt Журнал» только эта запись, в настройках  модуля информация о Let’s Encrypt и ничего больше:

Попробовал создать сертификат с пунктом «Проверка через DNS» — тот же результат. И гугл и яндекс по запросам «Зависает выдача сертификата Let’s Encrypt», «ispmanager let’s encrypt проблемы», «ispmanager не ставится let’s encrypt сертификат», «SSL Let’s Encrypt в ISP manager не получает сертификат » и т.п., дают один совет — повысить в настройках панели  для модулей rpc,  sslcert и core_module уровень логирования до «9 — отладочная информация» и смотреть, что пишется в /usr/local/mgr5/var/ispmgr.log в момент выдачи сертификата.

Долго курил лог в момент выдачи:

Далее постоянно идут запросы функции sslcert, строки вида:

Может быть Вам логи скажут больше чем мне, я же вменяемого описания ошибок в них не увидел, и решил поставить сертификат стандартной утилитой Certbot.

Какое то время ушло на понимание его работы — в сети и на хабре довольно много мануалов по установке Let’s Encrypt с помощью Certbot, и каждый чем то отличается. При этом из-за настроек домена сделанных ISPManager, сразу установить сертификат не получилось.

В итоге решил задачу следующим образом:

1. выключил ssl для домена
2. удалил все старые сертификаты домена
3. далее по инструкции из статьи https://habrahabr.ru/post/279695/
   1. создал конфиг файл в /etc/nginx/template/letsencrypt.conf
      
      location ~ ^/(.well-known/acme-challenge/.*)$ { proxy_pass http://127.0.0.1:9999/$1; proxy_set_header X-Real-IP $remote_addr; proxy_set_header Host $http_host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; }

      1 2 3 4 5 6

      location ~ ^/(.well-known/acme-challenge/.*)$ {     proxy_pass http://127.0.0.1:9999/$1;     proxy_set_header X-Real-IP $remote_addr;     proxy_set_header Host $http_host;     proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; }

   2. подключил конфиг в нужный домен
      
      include template/letsencrypt.conf;

      1	include template/letsencrypt.conf;

   3. закомментировал строки в файле /etc/nginx/vhosts-includes/letsencrypt.conf (о нем ниже)
   4. выполнил команду
      
      certbot --email *мое_мыло* --agree-tos --renew-by-default --standalone --standalone-supported-challenges http-01 --http-01-port 9999 --server https://acme-v01.api.letsencrypt.org/directory certonly -d *нужный_домен*

      1	certbot --email *мое_мыло* --agree-tos --renew-by-default --standalone --standalone-supported-challenges http-01 --http-01-port 9999 --server https://acme-v01.api.letsencrypt.org/directory certonly -d *нужный_домен*

4. включил ssl для домена, выбрав самоподписанный сертификат, указав параметр «Перенаправлять HTTP-запросы в HTTPS» (в nginx конфиг для 80го порта добавляется строчка return 301 https://$host:443$request_uri; )
5. прописал в конфиге nginx’а путь к новому сертификату, закомментировав все лишние строки для самоподписанного сертификата.
   Конфиг апача трогать не пришлось, т.к. он висит на бекэнде, а на фронте nginx
   
   ssl_certificate /etc/letsencrypt/live/*мой_домен*/cert.pem; ssl_certificate_key /etc/letsencrypt/live/*мой_домен*/privkey.pem;

   1 2	ssl_certificate /etc/letsencrypt/live/*мой_домен*/cert.pem; ssl_certificate_key /etc/letsencrypt/live/*мой_домен*/privkey.pem;

6. Перезапускаем nginx — systemctl restart nginx
7. сделал бекап рабочего конфига в той же директории, т.к. если через панель управления «Изменить» параметры домена, ему подставится самоподписанный сертификат
8. осталось записать конфиг в SQLite базу ISPManager’а, чтобы после сохранения параметров домена по кнопке «Изменить» ничего не слетало.

Таким образом было сделано то, что стандартный модуль интеграции Let’s Encrypt в ISPManager’е должен был сделать автоматически, но не сделал.

P.S.
ISPManager’ом должна была создаться папка в /usr/local/mgr5/www/letsencrypt, которая по какой то причине не создавалась, при этом в файле /etc/nginx/vhosts-includes/letsencrypt.conf был такой конфиг:

Т.е.  в /usr/local/mgr5/www/letsencrypt/ сохраняются ключи, переданные сервером Let’s Encrypt, а по url  /.well-known/acme-challenge/*ключ*  letsencrypt.org убеждается, что мы являемся владельцем домена.
Данный конфиг закомментировал, чтобы не возникло конфликта с файлом, созданным на шаге 3.1.

P.P.S
Справку по Certbot можно получить по certbot —help или certbot —help all  — они описывают параметры команды шага 3.4.
Например:
—standalone Run a standalone webserver for authentication
—nginx Use the Nginx plugin for authentication & installation
—webroot Place files in a server’s webroot folder for authentication
—manual Obtain certificates interactively, or using shell script