Skip to content

TLS сертификат с Let's Encrypt

Сервис Let's Encrypt позволяет получать сертификаты для настройки HTTPS в автоматическом режиме.

Flussonic Media Server имеет встроенную поддержку Let's Encrypt, поэтому установки дополнительных пакетов и ручной настройки веб-сервера не требуется.

Достаточно зайти в веб-интерфейс администратора и нажать на кнопку Issue by Let's Encrypt.

После этого Flussonic Media Server автоматически получит и установит сертификат, а вам нужно будет указать номер порта HTTPS.

Вам не нужно беспокоиться о сроке жизни сертификата и редактировать конфигурацию.

HTTPS нужен, чтобы:

  • никто не мог перехватить управление сервером, узнать ваш пароль или ссылки на потоки;
  • защитить видео с камер наблюдения;
  • вставить ссылку на сайт, работающий по https (иначе браузеры будут выдавать сообщения о незащищенном контенте).

Ниже вы найдете более подробное описание процесса настройки и механизма работы сервиса Let's Encrypt.

Let's Encrypt: как это работает

Подробное описание на официальном сайте: https://letsencrypt.org/how-it-works/.

Чтобы Let's Encrypt выдал вам валидный сертификат, нужно доказать, что вы владеете доменом. Когда вы нажимаете Issue by Let's Encrypt в панели администратора, Flussonic Media Server сообщает доменное имя, для которого требуется сертификат. В ответ он получает ключ, который нужно будет отдать, когда проверяющий бот обратится к серверу по HTTP (именно на 80-й порт) по адресу http://your-domain.com/.well-known.

Проверяющий бот обращается к вашему домену, поэтому домен должен быть делегирован, а DNS записи настроены на IP-адрес, где работает Flussonic Media Server. Бот подтверждает владение доменом, а Flussonic Media Server сохраняет сертификат.

Чтобы продлить сертификат, придется повторить проверку, а значит Flussonic Media Server всегда должен слушать порт http 80;. Перенести проверку на другой порт не получится — такие правила у Let's Encrypt. Продление происходит автоматически, когда срок действия сертификата подходит к концу, но можно обновить сертификат и вручную, через панель администратора Flussonic Media Server.

Настройка сертификата Let's Encrypt

  1. Зайдите в панель администратора Flussonic Media Server с помощью доменного имени, а не IP-адреса (например, http://your-domain.com/admin).
  2. Перейдите во вкладку Config.
  3. В разделе TLS-tunneled protocols нажмите Issue by LetsEncrypt. Эта кнопка запускает процесс получения сертификата.
  4. Дождитесь, когда появится срок действия сертификата (как правило, это занимает до 10 секунд).
  5. В разделе Listeners добавьте номер порта 443 в список HTTPS ports. Подробнее о настройках Listeners читайте здесь

Сохраните настройки, нажав кнопку Save. Flussonic Media Server перенаправит ваш браузер на https:// — теперь можно предоставлять услуги по HTTPS.

Получение сертификата Let's Encrypt для нескольких доменов

Описанная выше процедура позволяет выпустить SSL-сертификат только для одного домена. Но что если вы используете несколько установок Flussonic (например, для доставки нескольких телевизионных каналов), и вам нужно защитить SSL-сертификатом нескольких доменов?

В этом случае воспользуйтесь нашей CLI утилитой Let's Encrypt, которая позволяет получить сертификат для нескольких доменов. Например, если у вас есть домены domain1.example.com и domain2.example.com, на которых установлен Flussonic, запустите следующую команду:

/opt/flussonic/contrib/control.erl letsencrypt -d domain1.example.com -d domain2.example.com

Сертификат Let's Encrypt будет выпущен для обоих доменов.