# FAQ по сертификатам

# Как подключить SSL для домена

Сертификат выписывается автоматически при добавление домена.

Для работы функции автоматического выписывания сертификата метод установки должен быть Approved (v2.20) и выше. (Обслуживание-Состояние-Метод установки)

В случае ошибки выпуска сертификата вам необходимо обновить конфигурацию сервера используя эту инструкцию.

# Как подключить SSL для домена из командной строки на сервере

Если вы отказались от установки сертификата при первом запуске, то можете установить позже с помощью команды:

kctl-enable-ssl -D domain1.com,domain2.com,domain3.com

Скрипт не будет работать, если сервер не был настроен скриптом автонастройки.

Важно! Если не получилось установить сертификат с первого раза - проверьте, привязан ли домен по А-записи к серверу с трекером. Если все записи на месте, запустите установку повторно через несколько часов, или обратитесь в нашу службу поддержки, мы поможем разобраться.

# Как подключить SSL для домена, настроенного через CloudFlare?

Когда домен настроен на CloudFlare, то SSL настраивается на самом CloudFlare. У домена нужно включать поддержку SSL на самом CloudFlare, настройки сертификата - Flexible или Full.

# Не выписывается SSL сертификат из трекера

  1. Проверяем к какому IP привязан домен (А и AAAA записи):
  • заходим на страницу домена у регистратора, у которого покупали домен, и проверяем - должна быть только одна DNS запись типа A. IP адрес в A записи должен быть точно таким же, что и IP адрес вашего сервера с Keitaro.
  • не должно быть DNS записей типа AAAA.

Проверить DNS записи можно в DNS чекере (например здесь), либо выполнив следующие команды в любом терминале, логиниться на сервер при это не нужно:

  • dig A yourdomain.com +short

Этой командой мы запросим все A записи для домена yourdomain.com

  • dig AAAA yourdomain.com +short

Эта команда запрашивает все AAAA записи для домена yourdomain.com.

  1. Проверяем, какая версия установки трекера в Обслуживание - Состояние. В строке Installation Method версия должна быть 2.21.0 и выше. Если версия ниже, то нужно сделать апгрейд конфигурации сервера.

  2. Если используете CloudFlare, убедитесь, что в настройках сертификата выбран Full или Flexible сертификат.

  3. Проверьте Обслуживание - Логи - SSL сертификаты, там будет информация о том, выписался ли сертификат, и если нет, то с какой ошибкой закончился. Исправьте ошибку, если можете сделать это сами, или напишите в нашу службу поддержки, мы поможем.

  4. Если все пункты выше выполнены, а сертификат не выписывается - удалите домен и добавьте его еще раз. Обратите внимание, что при удалении домена, если к нему припаркована кампания, она не будет какое-то время работать по этому домену.

  5. Если при соблюдении всех условий (А-запись только одна, нет лишних DNS записей) сертификат не выписывается, попробуйте выписать сертификат в терминале, предварительно залогинившись на сервер по ssh.

  6. Если никакое из выполненных действий не помогло, обратитесь в нашу службу поддержки.

# Удаление SSL сертификата указанного домена

Вы можете удалить сертификаты следующей командой:

kctl-disable-ssl -D domain1.com,domain2.com,domain3.com

Будет произведено удаление сертификатов и их файлов, ключей шифрования сертификата указанного домена, а также файлов конфигурации данных сайтов в nginx (расположенных по пути /etc/nginx/conf.d/).

Скрипт не будет работать, если сервер не был настроен скриптом автонастройки.

# Проверка IP или доменного имени в бане РКН

Проверить домен или IP-адрес можно в сервисе по ссылке.

# Лимиты

Let's Encrypt накладывает ряд ограничений:

# Превышен лимит запросов

В час может быть пять неудачных попыток выписать сертификат. Если вы достигли данного лимита - увидите эту ошибку. В таком случае нужно ожидать один час до повторного запроса на выдачу сертификата

# Выпуск сертификата заблокирован

После 25 неудачных попыток выписать сертификат мы блокируем данный домен на выпуск сертификата, чтобы не попасть в вечный цикл попытки выписать сертификат. Если вы видите эту ошибку - выполните апгрейд конфигурации сервера, удалите из трекера этот домен и добавьте его заново, дождитесь повторного выпуска сертификата