Let's Encrypt es una autoridad de certificación abierta, automatizada y gratuita desarrollada por Internet Security Research Group (ISRG) que proporciona certificados SSL gratuitos.
Los principales navegadores confían en los certificados emitidos por Let's Encrypt y son válidos durante 90 días a partir de la fecha de emisión.
Este tutorial explica cómo instalar un certificado SSL gratuito de Let's Encrypt en CentOS 8 con Apache como servidor web. Usaremos la herramienta certbot para obtener y renovar los certificados.
Requisitos previos #
Asegúrese de que se cumplan los siguientes requisitos previos antes de continuar:
- Tenga un nombre de dominio que apunte a la IP de su servidor público. Usaremos
example.com. - Apache está instalado y ejecutándose en su servidor con un host virtual configurado para su dominio.
- Los puertos 80 y 443 están abiertos en su firewall.
Instale los siguientes paquetes que son necesarios para un servidor web cifrado SSL:
sudo dnf install mod_ssl openssl
Cuando se instala el paquete mod_ssl, debe crear una clave autofirmada y archivos de certificado para el host local. Si los archivos no se crean automáticamente, puede crearlos usando openssl comando:
sudo openssl req -newkey rsa:4096 -x509 -sha256 -days 3650 -nodes \-out /etc/pki/tls/certs/localhost.crt \-keyout /etc/pki/tls/private/localhost.key
Instalar Certbot #
Certbot es una herramienta de línea de comandos gratuita que simplifica el proceso para obtener y renovar los certificados SSL de Let's Encrypt y habilitar automáticamente HTTPS en su servidor.
El paquete certbot no está incluido en los repositorios estándar de CentOS 8, pero se puede descargar desde el sitio web del proveedor.
Ejecute el siguiente wget comando como usuario root o sudo para descargar el script de certbot en /usr/local/bin directorio:
sudo wget -P /usr/local/bin https://dl.eff.org/certbot-autoUna vez que se complete la descarga, haga que el archivo sea ejecutable:
sudo chmod +x /usr/local/bin/certbot-autoGenerar Dh Fuerte (Diffie-Hellman) Grupo #
El intercambio de claves Diffie-Hellman (DH) es un método de intercambio seguro de claves criptográficas a través de un canal de comunicación no seguro. Genere un nuevo conjunto de parámetros DH de 2048 bits para fortalecer la seguridad:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Puede cambiar el tamaño hasta 4096 bits, pero la generación puede tardar más de 30 minutos dependiendo de la entropía del sistema.
Obtención de un certificado SSL de Let's Encrypt #
Para obtener un certificado SSL para el dominio vamos a utilizar el complemento Webroot que funciona creando un archivo temporal para validar el dominio solicitado en el ${webroot-path}/.well-known/acme-challenge directorio. El servidor Let's Encrypt realiza solicitudes HTTP al archivo temporal para validar que el dominio solicitado se resuelva en el servidor donde se ejecuta certbot.
Para simplificar la configuración, vamos a asignar todas las solicitudes HTTP para .well-known/acme-challenge a un solo directorio, /var/lib/letsencrypt .
Ejecute los siguientes comandos para crear el directorio y hacerlo escribible para el servidor Apache.
sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp apache /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt
Para evitar la duplicación de código y hacer que la configuración sea más fácil de mantener, cree los siguientes dos fragmentos de configuración:
/etc/httpd/conf.d/letsencrypt.confAlias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
AllowOverride None
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
Require method GET POST OPTIONS
</Directory>
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder off
SSLSessionTickets off
SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options SAMEORIGIN
Header always set X-Content-Type-Options nosniff
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"
El fragmento de código anterior utiliza las astilladoras recomendadas por Mozilla. Habilita el grapado OCSP, HTTP Strict Transport Security (HSTS), la clave Dh y aplica algunos encabezados HTTP centrados en la seguridad.
Vuelva a cargar la configuración de Apache para que los cambios surtan efecto:
sudo systemctl reload httpdAhora, puede ejecutar el script de certbot con el complemento webroot y obtener los archivos del certificado SSL:
sudo /usr/local/bin/certbot-auto certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.comEn caso de éxito, certbot imprimirá el siguiente mensaje:
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2020-01-26. To obtain a new or tweaked
version of this certificate in the future, simply run certbot-auto
again. To non-interactively renew *all* of your certificates, run
"certbot-auto renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Ahora que todo está configurado, edite la configuración de host virtual de su dominio de la siguiente manera:
/etc/httpd/conf.d/example.com.conf<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com
Redirect permanent / https://example.com/
</VirtualHost>
<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com
Protocols h2 http/1.1
<If "%{HTTP_HOST} == 'www.example.com'">
Redirect permanent / https://example.com/
</If>
DocumentRoot /var/www/example.com/public_html
ErrorLog /var/log/httpd/example.com-error.log
CustomLog /var/log/httpd/example.com-access.log combined
SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
# Other Apache Configuration
</VirtualHost>
La configuración anterior está forzando HTTPS y redirigiendo de www a una versión que no es www. También habilita HTTP/2, lo que hará que sus sitios sean más rápidos y robustos. No dude en ajustar la configuración según sus necesidades.
Reinicie el servicio de Apache:
sudo systemctl restart httpd
Ahora puede abrir su sitio web usando https:// y verás un icono de candado verde.
Si prueba su dominio con la prueba de servidor de SSL Labs, obtendrá una calificación A+, como se muestra a continuación:
Renovación automática del certificado Let's Encrypt SSL n.°
Los certificados de Let's Encrypt tienen una validez de 90 días. Para renovar automáticamente los certificados antes de que caduquen, crearemos un cronjob que se ejecutará dos veces al día y renovará automáticamente cualquier certificado 30 días antes de su vencimiento.
Ejecute el siguiente comando para crear un nuevo cronjob que renovará el certificado y reiniciará Apache:
echo "0 0,12 * * * root python3 -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/bin/certbot-auto -q renew --renew-hook \"systemctl reload httpd\"" | sudo tee -a /etc/crontab > /dev/null
Para probar el proceso de renovación, use el comando certbot seguido de --dry-run cambiar:
sudo /usr/local/bin/certbot-auto renew --dry-runSi no hay errores, significa que el proceso de renovación fue exitoso.