Let's Encrypt es una autoridad de certificación creada por Internet Security Research Group (ISRG). Proporciona certificados SSL gratuitos a través de un proceso completamente automatizado diseñado para eliminar la creación, validación, instalación y renovación manuales de certificados.
Los certificados emitidos por Let's Encrypt son válidos durante 90 días a partir de la fecha de emisión y cuentan con la confianza de todos los navegadores principales en la actualidad.
Este tutorial muestra cómo instalar un certificado SSL Let's Encrypt gratuito en Debian 10, Buster ejecutando Apache como servidor web. También mostraremos cómo configurar Apache para usar el certificado SSL y habilitar HTTP/2.
requisitos previos
Asegúrese de que se cumplan los siguientes requisitos previos antes de continuar con la guía:
- Inicie sesión como root o usuario con privilegios sudo .
- El dominio para el que desea obtener el certificado SSL debe apuntar a la IP de su servidor público. Usaremos
example.com_ - Apache instalado.
Instalación de Certbot
Usaremos la herramienta certbot para obtener y renovar los certificados.
Certbot es una herramienta completa y fácil de usar que automatiza las tareas para obtener y renovar los certificados SSL de Let's Encrypt y configurar los servidores web para usar los certificados.
El paquete certbot está incluido en los repositorios predeterminados de Debian. Ejecute los siguientes comandos para instalar certbot:
sudo apt updatesudo apt install certbot
Generación de un fuerte grupo Dh (Diffie-Hellman)
El intercambio de claves Diffie-Hellman (DH) es un método de intercambio seguro de claves criptográficas a través de un canal de comunicación no seguro.
Ejecute el siguiente comando para generar una nueva clave DH de 2048 bits:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Si lo desea, puede cambiar el tamaño hasta 4096 bits, pero la generación puede demorar más de 30 minutos, según la entropía del sistema.
Obtener un certificado SSL de Let's Encrypt
Para obtener un certificado SSL para el dominio, vamos a utilizar el complemento Webroot que funciona creando un archivo temporal para validar el dominio solicitado en el ${webroot-path}/.well-known/acme-challengedirectorio. El servidor Let's Encrypt realiza solicitudes HTTP al archivo temporal para validar que el dominio solicitado se resuelva en el servidor donde se ejecuta certbot.
Para hacerlo más simple, vamos a asignar todas las solicitudes HTTP .well-known/acme-challengea un solo directorio, /var/lib/letsencrypt.
Ejecute los siguientes comandos para crear el directorio y hacerlo escribible para el servidor Apache.
sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp www-data /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt
Para evitar la duplicación de código, cree los siguientes dos fragmentos de configuración:
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
AllowOverride None
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
Require method GET POST OPTIONS
</Directory>
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder off
SSLSessionTickets off
SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options SAMEORIGIN
Header always set X-Content-Type-Options nosniff
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"
El código en el fragmento anterior utiliza los chippers recomendados por Mozilla, habilita el grapado OCSP, HTTP Strict Transport Security (HSTS) y aplica algunos encabezados HTTP centrados en la seguridad.
Asegúrese de que ambos mod_ssly mod_headersestén cargados:
sudo a2enmod sslsudo a2enmod headers
Habilite el módulo HTTP/2, que hará que sus sitios sean más rápidos y robustos:
sudo a2enmod http2Habilite los archivos de configuración SSL:
sudo a2enconf letsencryptsudo a2enconf ssl-params
Vuelva a cargar la configuración de Apache para que los cambios surtan efecto:
sudo systemctl reload apache2Utilice la herramienta Certbot con el complemento webroot para obtener los archivos del certificado SSL:
sudo certbot certonly --agree-tos --email admin@example.com --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.comSi el certificado SSL se obtiene con éxito, certbot imprimirá el siguiente mensaje:
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2020-04-02. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Ahora que tiene los archivos de certificado, edite la configuración de host virtual de su dominio de la siguiente manera:
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com
Redirect permanent / https://example.com/
</VirtualHost>
<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com
Protocols h2 http/1.1
<If "%{HTTP_HOST} == 'www.example.com'">
Redirect permanent / https://example.com/
</If>
DocumentRoot /var/www/example.com/public_html
ErrorLog ${APACHE_LOG_DIR}/example.com-error.log
CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined
SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
# Other Apache Configuration
</VirtualHost>
Con la configuración anterior, estamos forzando HTTPS y redirigiendo de la versión www a la que no es www. Siéntase libre de ajustar la configuración de acuerdo a sus necesidades.
Vuelva a cargar el servicio de Apache para que los cambios surtan efecto:
sudo systemctl reload apache2Abra su sitio web usando https://y verá un icono de candado verde.
Si prueba su dominio con SSL Labs Server Test, obtendrá una calificación A+, como se muestra a continuación:
Renovación automática del certificado Let's Encrypt SSL
Los certificados de Let's Encrypt tienen una validez de 90 días. Para renovar automáticamente los certificados antes de que caduquen, el paquete certbot crea un cronjob que se ejecuta dos veces al día y renovará automáticamente cualquier certificado 30 días antes de su vencimiento.
Una vez renovado el certificado también tenemos que recargar el servicio de Apache. Agregue --renew-hook "systemctl reload apache2"al /etc/cron.d/certbotarchivo para que se vea como lo siguiente:
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew --renew-hook "systemctl reload apache2"
Para probar el proceso de renovación, use el interruptor certbot --dry-run:
sudo certbot renew --dry-runSi no hay errores, significa que el proceso de renovación fue exitoso.
Conclusión
En este tutorial, hablamos sobre cómo usar el certbot cliente de Let's Encrypt en Debian para obtener certificados SSL para sus dominios. También le mostramos cómo configurar Apache para usar los certificados y configurar un cronjob para la renovación automática de certificados.
Para obtener más información sobre el script de Certbot, visite la documentación de Certbot.
Si tiene alguna pregunta o comentario, no dude en dejar un comentario.
0 Comentarios