TLS сертификат с Let's Encrypt¶
Сервис Let's Encrypt позволяет получать сертификаты для настройки HTTPS в автоматическом режиме.
Flussonic Media Server имеет встроенную поддержку Let's Encrypt, поэтому установки дополнительных пакетов и ручной настройки веб-сервера не требуется.
Достаточно зайти в веб-интерфейс администратора и нажать на кнопку Issue by Let's Encrypt.
После этого Flussonic Media Server автоматически получит и установит сертификат, а вам нужно будет указать номер порта HTTPS.
Вам не нужно беспокоиться о сроке жизни сертификата и редактировать конфигурацию.
HTTPS нужен, чтобы:
- никто не мог перехватить управление сервером, узнать ваш пароль или ссылки на потоки;
- защитить видео с камер наблюдения;
- вставить ссылку на сайт, работающий по https (иначе браузеры будут выдавать сообщения о незащищенном контенте).
Ниже вы найдете более подробное описание процесса настройки и механизма работы сервиса Let's Encrypt.
Let's Encrypt: как это работает¶
Подробное описание на официальном сайте: https://letsencrypt.org/how-it-works/.
Чтобы Let's Encrypt выдал вам валидный сертификат, нужно доказать, что вы владеете доменом.
Когда вы нажимаете Issue by Let's Encrypt в панели администратора, Flussonic Media Server сообщает доменное имя, для которого требуется сертификат. В ответ он получает ключ, который нужно будет отдать, когда проверяющий бот обратится к серверу по HTTP (именно на 80-й порт) по адресу http://your-domain.com/.well-known
.
Проверяющий бот обращается к вашему домену, поэтому домен должен быть делегирован, а DNS записи настроены на IP-адрес, где работает Flussonic Media Server. Бот подтверждает владение доменом, а Flussonic Media Server сохраняет сертификат.
Чтобы продлить сертификат, придется повторить проверку, а значит Flussonic Media Server всегда должен слушать порт http 80;
. Перенести проверку на другой порт не получится — такие правила у Let's Encrypt. Продление происходит автоматически, когда срок действия сертификата подходит к концу, но можно обновить сертификат и вручную, через панель администратора Flussonic Media Server.
Настройка сертификата Let's Encrypt¶
- Зайдите в панель администратора Flussonic Media Server с помощью доменного имени, а не IP-адреса (например,
http://your-domain.com/admin
). - Перейдите во вкладку Config.
- В разделе TLS-tunneled protocols нажмите Issue by LetsEncrypt. Эта кнопка запускает процесс получения сертификата.
- Дождитесь, когда появится срок действия сертификата (как правило, это занимает до 10 секунд).
- В разделе Listeners добавьте номер порта 443 в список HTTPS ports. Подробнее о настройках Listeners читайте здесь
Сохраните настройки, нажав кнопку Save. Flussonic Media Server перенаправит ваш браузер на https:// — теперь можно предоставлять услуги по HTTPS.
Получение сертификата Let's Encrypt для нескольких доменов¶
Описанная выше процедура позволяет выпустить SSL-сертификат только для одного домена. Но что если вы используете несколько установок Flussonic (например, для доставки нескольких телевизионных каналов), и вам нужно защитить SSL-сертификатом нескольких доменов?
В этом случае воспользуйтесь нашей CLI утилитой Let's Encrypt, которая позволяет получить сертификат для нескольких доменов. Например, если у вас есть домены domain1.example.com
и domain2.example.com
, на которых установлен Flussonic, запустите следующую команду:
/opt/flussonic/contrib/control.erl letsencrypt -d domain1.example.com -d domain2.example.com
Сертификат Let's Encrypt будет выпущен для обоих доменов.