Asegure Apache con Lets Encrypt en Ubuntu 18.04

Let's Encrypt es una autoridad de certificación creada por Internet Security Research Group (ISRG). Proporciona certificados SSL gratuitos a través de un proceso totalmente automatizado diseñado para eliminar la creación, validación, instalación y renovación manuales de certificados.

Los principales navegadores confían en los certificados emitidos por Let's Encrypt en la actualidad.

En este tutorial, proporcionaremos instrucciones paso a paso sobre cómo asegurar su Apache con Let's Encrypt usando la herramienta certbot en Ubuntu 18.04.

Requisitos previos #

Asegúrese de cumplir con los siguientes requisitos previos antes de continuar con este tutorial:

• Nombre de dominio que apunta a la IP de su servidor público. Usaremos example.com .
• Tiene Apache instalado con un servidor virtual apache para su dominio.

Instalar Certbot #

Certbot es una herramienta completa y fácil de usar que puede automatizar las tareas para obtener y renovar los certificados SSL de Let's Encrypt y configurar servidores web. El paquete certbot está incluido en los repositorios predeterminados de Ubuntu.

Actualice la lista de paquetes e instale el paquete certbot:

sudo apt updatesudo apt install certbot

Generar Dh Fuerte (Diffie-Hellman) Grupo #

El intercambio de claves Diffie-Hellman (DH) es un método de intercambio seguro de claves criptográficas a través de un canal de comunicación no seguro. Vamos a generar un nuevo conjunto de parámetros DH de 2048 bits para fortalecer la seguridad:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Si lo desea, puede cambiar el tamaño hasta 4096 bits, pero en ese caso, la generación puede tardar más de 30 minutos dependiendo de la entropía del sistema.

Obtención de un certificado SSL de Let's Encrypt #

Para obtener un certificado SSL para el dominio, vamos a utilizar el complemento Webroot que funciona creando un archivo temporal para validar el dominio solicitado en el ${webroot-path}/.well-known/acme-challenge directorio. El servidor Let's Encrypt realiza solicitudes HTTP al archivo temporal para validar que el dominio solicitado se resuelva en el servidor donde se ejecuta certbot.

Para hacerlo más simple, vamos a mapear todas las solicitudes HTTP para .well-known/acme-challenge a un solo directorio, /var/lib/letsencrypt .

Los siguientes comandos crearán el directorio y lo harán escribible para el servidor Apache.

sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp www-data /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt

Para evitar la duplicación de código, cree los siguientes dos fragmentos de configuración:

/etc/apache2/conf-disponible/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
    AllowOverride None
    Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
    Require method GET POST OPTIONS
</Directory>

/etc/apache2/conf-disponible/ssl-params.conf

SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder     off
SSLSessionTickets       off

SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options SAMEORIGIN
Header always set X-Content-Type-Options nosniff

SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

El fragmento de código anterior utiliza los chips recomendados por Mozilla, habilita el grapado OCSP, HTTP Strict Transport Security (HSTS) y aplica algunos encabezados HTTP centrados en la seguridad.

Antes de habilitar los archivos de configuración, asegúrese de que tanto mod_ssl y mod_headers se habilitan emitiendo:

sudo a2enmod sslsudo a2enmod headers

A continuación, habilite los archivos de configuración de SSL ejecutando los siguientes comandos:

sudo a2enconf letsencryptsudo a2enconf ssl-params

Habilite el módulo HTTP/2, que hará que sus sitios sean más rápidos y robustos:

sudo a2enmod http2

Vuelva a cargar la configuración de Apache para que los cambios surtan efecto:

sudo systemctl reload apache2

Ahora, podemos ejecutar la herramienta Certbot con el complemento webroot y obtener los archivos del certificado SSL escribiendo:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Si el certificado SSL se obtiene con éxito, certbot imprimirá el siguiente mensaje:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2018-10-28. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Ahora que tiene los archivos de certificado, edite la configuración de host virtual de su dominio de la siguiente manera:

/etc/apache2/sites-available/example.com.conf

<VirtualHost *:80> 
  ServerName example.com
  ServerAlias www.example.com

  Redirect permanent / https://example.com/
</VirtualHost>

<VirtualHost *:443>
  ServerName example.com
  ServerAlias www.example.com

  Protocols h2 http/1.1

  <If "%{HTTP_HOST} == 'www.example.com'">
    Redirect permanent / https://example.com/
  </If>

  DocumentRoot /var/www/example.com/public_html
  ErrorLog ${APACHE_LOG_DIR}/example.com-error.log
  CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined

  SSLEngine On
  SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
  SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem

  # Other Apache Configuration

</VirtualHost>

Con la configuración anterior, estamos forzando HTTPS y redirigiendo de la versión www a la que no es www. No dude en ajustar la configuración según sus necesidades.

Vuelva a cargar el servicio de Apache para que los cambios surtan efecto:

sudo systemctl reload apache2

Ahora puede abrir su sitio web usando https:// y verás un icono de candado verde.

Si prueba su dominio con la prueba de servidor de SSL Labs, obtendrá una calificación A+, como se muestra a continuación:

Renovación automática del certificado Let's Encrypt SSL n.°

Los certificados de Let's Encrypt tienen una validez de 90 días. Para renovar automáticamente los certificados antes de que caduquen, el paquete certbot crea un cronjob que se ejecuta dos veces al día y renueva automáticamente cualquier certificado 30 días antes de su vencimiento.

Una vez renovado el certificado también tenemos que recargar el servicio de Apache. Agregue --renew-hook "systemctl reload apache2" al /etc/cron.d/certbot archivo para que se vea como lo siguiente:

/etc/cron.d/certbot

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload apache2"

Para probar el proceso de renovación, puede usar el certbot --dry-run cambiar:

sudo certbot renew --dry-run

Si no hay errores, significa que el proceso de renovación fue exitoso.