Let's Encrypt es una autoridad de certificación abierta, automatizada y gratuita desarrollada por Internet Security Research Group (ISRG) que proporciona certificados SSL gratuitos.
Los principales navegadores confían en los certificados emitidos por Let's Encrypt y son válidos durante 90 días a partir de la fecha de emisión.
En este tutorial, proporcionaremos instrucciones paso a paso sobre cómo instalar un certificado SSL gratuito de Let's Encrypt en CentOS 8 con Nginx como servidor web. También mostraremos cómo configurar Nginx para usar el certificado SSL y habilitar HTTP/2.
Requisitos previos #
Antes de continuar, asegúrese de cumplir con los siguientes requisitos previos:
- Tiene un nombre de dominio que apunta a su IP pública. Usaremos
example.com
. - Tiene Nginx instalado en su servidor CentOS.
- Su cortafuegos está configurado para aceptar conexiones en los puertos 80 y 443.
Instalando Certbot #
Certbot es una herramienta de línea de comandos gratuita que simplifica el proceso para obtener y renovar los certificados SSL de Let's Encrypt y habilitar automáticamente HTTPS en su servidor.
El paquete certbot no está incluido en los repositorios estándar de CentOS 8, pero se puede descargar desde el sitio web del proveedor.
Ejecute el siguiente wget
comando como usuario root o sudo para descargar el script de certbot en /usr/local/bin
directorio:
sudo wget -P /usr/local/bin https://dl.eff.org/certbot-auto
Una vez que se complete la descarga, haga que el archivo sea ejecutable:
sudo chmod +x /usr/local/bin/certbot-auto
Grupo de generación de Dh fuerte (Diffie-Hellman) #
El intercambio de claves Diffie-Hellman (DH) es un método de intercambio seguro de claves criptográficas a través de un canal de comunicación no seguro.
Genere un nuevo conjunto de parámetros DH de 2048 bits escribiendo el siguiente comando:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
Si lo desea, puede cambiar la longitud de la clave hasta 4096 bits, pero la generación puede demorar más de 30 minutos, según la entropía del sistema.
Obtención de un certificado SSL de Let's Encrypt #
Para obtener un certificado SSL para el dominio, vamos a utilizar el complemento Webroot que funciona creando un archivo temporal para validar el dominio solicitado en el ${webroot-path}/.well-known/acme-challenge
directorio. El servidor Let's Encrypt realiza solicitudes HTTP al archivo temporal para validar que el dominio solicitado se resuelva en el servidor donde se ejecuta certbot.
Para hacerlo más simple, vamos a mapear todas las solicitudes HTTP para .well-known/acme-challenge
a un solo directorio, /var/lib/letsencrypt
.
Los siguientes comandos crearán el directorio y lo harán escribible para el servidor Nginx.
sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp nginx /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt
Para evitar la duplicación de código, cree los siguientes dos fragmentos que se incluirán en todos los archivos de bloque del servidor Nginx:
sudo mkdir /etc/nginx/snippets
/etc/nginx/snippets/letsencrypt.conflocation ^~ /.well-known/acme-challenge/ {
allow all;
root /var/lib/letsencrypt/;
default_type "text/plain";
try_files $uri =404;
}
/etc/nginx/snippets/ssl.confssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;
add_header Strict-Transport-Security "max-age=63072000" always;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
El fragmento anterior incluye los chippers recomendados por Mozilla, habilita el grapado OCSP, HTTP Strict Transport Security (HSTS) y aplica algunos encabezados HTTP centrados en la seguridad.
Una vez que se crean los fragmentos, abra el bloque del servidor de dominio e incluya el letsencrypt.conf
fragmento, como se muestra a continuación:
server {
listen 80;
server_name example.com www.example.com;
include snippets/letsencrypt.conf;
}
Vuelva a cargar la configuración de Nginx para que los cambios surtan efecto:
sudo systemctl reload nginx
Ejecute la herramienta certbot con el complemento webroot para obtener los archivos de certificado SSL para su dominio:
sudo /usr/local/bin/certbot-auto certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com
Si es la primera vez que invoca certbot
, la herramienta instalará las dependencias que faltan.
Una vez obtenido con éxito el certificado SSL, certbot imprimirá el siguiente mensaje:
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2020-03-12. To obtain a new or tweaked
version of this certificate in the future, simply run certbot-auto
again. To non-interactively renew *all* of your certificates, run
"certbot-auto renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Ahora que tiene los archivos del certificado, puede editar el bloqueo de su servidor de dominio de la siguiente manera:
/etc/nginx/conf.d/example.com.confserver {
listen 80;
server_name www.example.com example.com;
include snippets/letsencrypt.conf;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
server_name www.example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
return 301 https://example.com$request_uri;
}
server {
listen 443 ssl http2;
server_name example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
# . . . other code
}
Con la configuración anterior, estamos forzando HTTPS y redirigiendo la versión www a la no www.
Finalmente, vuelva a cargar el servicio Nginx para que los cambios surtan efecto:
sudo systemctl reload nginx
Ahora, abre tu sitio web usando https://
y verás un icono de candado verde.
Si prueba su dominio con la prueba de servidor de SSL Labs, obtendrá un A+
grado, como se muestra en la imagen a continuación:
Renovación automática del certificado Let's Encrypt SSL n.°
Los certificados de Let's Encrypt tienen una validez de 90 días. Para renovar automáticamente los certificados antes de que caduquen, cree un cronjob que se ejecutará dos veces al día y renovará automáticamente cualquier certificado 30 días antes de que caduquen.
Usa el crontab
comando para crear un nuevo cronjob:
sudo crontab -e
Pegue la siguiente línea:
0 */12 * * * root test -x /usr/local/bin/certbot-auto -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && /usr/local/bin/certbot-auto -q renew --renew-hook "systemctl reload nginx"
Guarde y cierre el archivo.
Para probar el proceso de renovación, puede usar el comando certbot seguido del --dry-run
cambiar:
sudo ./certbot-auto renew --dry-run
Si no hay errores, significa que el proceso de renovación de la prueba fue exitoso.