Certificate SSL/TLS (Let’s Encrypt)

Описание подключения сертификатов

Для того что бы подключить сертификаты ssl/tls необходимо указать SSL: 1 , а так же необходимо указать домен DOMAIN: а также, указать регистратора DNS_PROVIDER: и токен от него DNS_TOKEN:

include:
    - project: 'framework/genesis'
      file: '/genesis.gitlab-ci.yml'

variables:
    VERSION: *.*.*   # Genesis version, вместо *.*.* необходимо подставить последнюю доступную версию/tag,
                     # список тэгов - https://gl.sbdagroup.com/framework/genesis/-/tags
                     # ex: VERSION: 0.0.1
    HOSTING_PROVIDER: DO
    HOSTING_TOKEN: do_token_str
    CONTAINER_MANAGER: docker
    DOMAIN: example.com
    DNS_PROVIDER: CF
    DNS_TOKEN: cloudflare_token
    SSL: 1

В случае использования докер композа заказом и обновлением сертификатов занимается контейнер jonasal/nginx-certbot , в кубернетисе используется манифест cert-manager. Оба менеджера настроенны на заказ сертификатов от Let’s Encrypt, с использование мультидомена (SAN) то-есть на н-ое кол-во сервисов будет заказан один сертификат включающий в себя все необходимые поддомены. При такой настройке мы имеем ограничение в 100 поддоменов соответствеено в 100 сервисов для одной ветки.

Лимиты и ограничения Let’s Encrypt

Актуальные лимиты можно найти на страннице rate-limits.

На что стоит обратить внимание (данные на 2024.02.10):

  • 50 сертификатов в неделю на корневой домен. Ошибка too many certificates already issued
  • 300 новых заказов сертификатов за три часа. Ошибка too many new orders recently
  • не более 100 доменов на сертификат. Мы используем сертификаты с несколькими доменами SAN.
  • не более 5 дупликатов сертификатов в неделю. Создаются при ошибке настройки cert-manager. Ошибка too many certificates already issued for exact set of domains
  • Отзыв сертификатов не приводит к сбросу ограничений скорости
  • Конечные точки "new-nonce", "new-account", "new-order" и "revoke-cert" в API имеют ограничение на общее количество запросов, равное 20 в секунду.
  • не более 10 учетных записей на один IP-адрес в течение 3 часов. Ошибка too many registrations for this IP range too many registrations for this IP
  • не более 300 ожидающих авторизаций. Ошибка too many currently pending authorizations

Полезные ссылки:

https://cert-manager.io/docs/troubleshooting/

https://crt.sh

https://search.censys.io