Бесплатный TLS для сайта: Let's Encrypt и Certbot на CentOS 7

Зачем отдельный сертификат

Поисковые системы и браузеры ожидают HTTPS для доверенного соединения. Let's Encrypt даёт автоматические краткосрочные сертификаты без оплаты, если вы докажете управление доменом через протокол ACME.

Подготовка клиента

На машине администратора или прямо на веб‑узле скачивают обёртку Certbot со страницы EFF, назначают права на запуск и при первом старте соглашаются с условиями службы.

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
./certbot-auto certonly --authenticator manual

Скрипт подтянет зависимости (объём пакета со временем меняется), предложит e‑mail для учётной записи ACME и спросит имя узла вида example.ru без схемы и без массового списка, если нужен точечный выпуск.

Проверка http-01

В ручном режиме Certbot покажет одноразовое содержимое файла и точный HTTP‑URL вида:

http://example.ru/.well-known/acme-challenge/<токен>

Создайте каталог под веб‑корнем, положите в файл только выданную строку, проверьте доступность извне, затем нажмите Enter в консоли. При успехе цепочка и ключ окажутся в дереве вида /etc/letsencrypt/live/example.ru/ — там fullchain.pem для nginx/Apache и privkey.pem держите вне репозитория и резервной копии в открытом виде.

Связка с проектом на Битрикс

После выпуска остаётся прописать пути PEM в конфиг виртуального хоста и перегрузить веб‑сервер; отдельно настройте задачу обновления certbot renew до истечения срока действия. Для тяжёлых редакций советуют использовать пакеты дистрибутива или webroot‑режим без ручного копирования токена.