# FAQ по сертификатам
# Как подключить SSL для домена
Сертификат выписывается автоматически при добавление домена.
Для работы функции автоматического выписывания сертификата метод установки должен быть Approved (v2.20) и выше.
В случае ошибки выпуска сертификата вам необходимо обновить конфигурацию сервера используя эту инструкцию.
# Как подключить SSL для домена из командной строки на сервере
Если вы отказались от установки сертификата при первом запуске, то можете установить позже с помощью команды:
kctl-enable-ssl -D domain1.com,domain2.com,domain3.com
Скрипт не будет работать, если сервер не был настроен скриптом автонастройки.
Важно! Если не получилось установить сертификат с первого раза - проверьте, привязан ли домен по А-записи к серверу с трекером. Если все записи на месте, запустите установку повторно через несколько часов, или обратитесь в нашу службу поддержки, мы поможем разобраться.
# Как подключить SSL для домена, настроенного через CloudFlare?
Когда домен настроен на CloudFlare, то SSL настраивается на самом CloudFlare. У домена нужно включать поддержку SSL на самом CloudFlare, настройки сертификата - Flexible
или Full
.
# Не выписывается SSL сертификат из трекера
- Проверяем к какому IP привязан домен (А и AAAA записи):
- заходим на страницу домена у регистратора, у которого покупали домен, и проверяем - должна быть только одна DNS запись типа A. IP адрес в A записи должен быть точно таким же, что и IP адрес вашего сервера с Keitaro.
- не должно быть DNS записей типа AAAA.
Проверить DNS записи можно в DNS чекере (например здесь), либо выполнив следующие команды в любом терминале, логиниться на сервер при это не нужно:
dig A yourdomain.com +short
Этой командой мы запросим все A записи для домена yourdomain.com
dig AAAA yourdomain.com +short
Эта команда запрашивает все AAAA записи для домена yourdomain.com.
Проверяем, какая версия установки трекера в Обслуживание - Состояние. В строке Installation Method версия должна быть 2.21.0 и выше. Если версия ниже, то нужно сделать апгрейд конфигурации сервера.
Если используете CloudFlare, убедитесь, что в настройках сертификата выбран Full или Flexible сертификат.
Проверьте Обслуживание - Логи - SSL сертификаты, там будет информация о том, выписался ли сертификат, и если нет, то с какой ошибкой закончился. Исправьте ошибку, если можете сделать это сами, или напишите в нашу службу поддержки, мы поможем.
Если все пункты выше выполнены, а сертификат не выписывается - удалите домен и добавьте его еще раз. Обратите внимание, что при удалении домена, если к нему припаркована кампания, она не будет какое-то время работать по этому домену.
Если при соблюдении всех условий (А-запись только одна, нет лишних DNS записей) сертификат не выписывается, попробуйте выписать сертификат в терминале, предварительно залогинившись на сервер по ssh.
Если никакое из выполненных действий не помогло, обратитесь в нашу службу поддержки.
# Удаление SSL сертификата указанного домена
Вы можете удалить сертификаты следующей командой:
kctl-disable-ssl -D domain1.com,domain2.com,domain3.com
Будет произведено удаление сертификатов и их файлов, ключей шифрования сертификата указанного домена, а также файлов конфигурации данных сайтов в nginx (расположенных по пути /etc/nginx/conf.d/).
Скрипт не будет работать, если сервер не был настроен скриптом автонастройки.
# Проверка IP или доменного имени в бане РКН
Проверить домен или IP-адрес можно в сервисе по ссылке.
# Лимиты
Let's Encrypt накладывает ряд ограничений:
# Превышен лимит запросов
В час может быть пять неудачных попыток выписать сертификат. Если вы достигли данного лимита - увидите эту ошибку. В таком случае нужно ожидать один час до повторного запроса на выдачу сертификата
# Выпуск сертификата заблокирован
После 25 неудачных попыток выписать сертификат мы блокируем данный домен на выпуск сертификата, чтобы не попасть в вечный цикл попытки выписать сертификат. Если вы видите эту ошибку - выполните апгрейд конфигурации сервера, удалите из трекера этот домен и добавьте его заново, дождитесь повторного выпуска сертификата