Certifikáty Let's Encrypt

Last modified by Martin Mahr on 2024/10/21 22:15

Certifikační autorita https://letsencrypt.org/ nabízí zdarma HTTPS certifikáty, které lze dokonce automatizovaně instalovat na webové servery.

Pro zákazníky s vlastním serverem nabízíme instalaci tohoto certifikátu zdarma, náš virtuální stroj (VM - Virtual Machine) s Tritiem je pro to nachystaný. Let's Encrypt vystavuje certifikáty pouze s omezenou platností na 90 dnů. Náš systém ale umí provádět automatickou obnovu, takže se nemusíte o nic starat.

Pro instalaci je ale třeba splnit několi podmínek:

  1. Na naši VM je třeba směrovat nějakou doménu druhého nebo třetího řádu. Např. tritius.knihovna-horni-dolni.cz
  2. Na naši VM je třeba směrovat porty 80 a 443.
    1. Na portu 443 poběží katalog i Tritius pod šifrovaným protokolem HTTPS.
    2. Naše VM automaticky přesměrovává provoz z portu 80 na 443.
    3. Port 80 musí být povolen kvůli autentifikaci žádostí o vygenerování certifikátů certifikační autority Let's Encrypt.

Často kladené otázky (FAQ)

Lze omezit provoz na portu 80 pouze z vyjmenovaných IP adres / sítí (firewall)?

Bohužel toto nelze. V průběhu ověření certifikátu musí servery Let's Encrypt kontaktovat ověřovaný server, tedy VM s Tritiem. IP adresy serverů Let's Encrypt ovšem využívají komerční CDN, kde IP adresy nejsou známé a mění se i v čase.