Categoria: S.Operativo Tema: Linux Titulo: Instalar Let`s Encrypt en Ubuntu 16.04
Fecha del Tema: 2018-03-12 09:26:37Cómo proteger Apache con Let`s Encrypt en Ubuntu 16.04 Introducción Este tutorial le mostrará cómo configurar un certificado TLS / SSL de Let`s Encrypt en un servidor Ubuntu 16.04 que ejecuta Apache como servidor web. Los certificados SSL se usan en los servidores web para encriptar el tráfico entre el servidor y el cliente, proporcionando seguridad adicional para los usuarios que acceden a su aplicación. Let`s Encrypt proporciona una manera fácil de obtener e instalar certificados de confianza de forma gratuita. Requisitos previos Para completar esta guía, necesitarás: Un servidor Ubuntu 16.04 con un usuario no root habilitado para sudo, que puede configurar siguiendo nuestra Guía de configuración inicial del servidor . El servidor web Apache instalado con uno o más nombres de dominio configurados correctamente a través de Hosts Virtuales que especifican ServerName. Cuando esté listo para continuar, inicie sesión en su servidor con su cuenta habilitada para sudo. Paso 1 - Instalar el cliente Let`s Encrypt Los certificados Let`s Encrypt se obtienen a través del software cliente que se ejecuta en su servidor. El cliente oficial se llama Certbot, y sus desarrolladores mantienen su propio repositorio de software Ubuntu con versiones actualizadas. Debido a que Certbot se encuentra en un desarrollo tan activo, vale la pena utilizar este repositorio para instalar una versión más nueva de la que proporciona Ubuntu de manera predeterminada. Primero, agrega el repositorio: sudo add-apt-repository ppa:certbot/certbot Tendrá que presionar ENTERpara aceptar. Luego, actualice la lista de paquetes para recoger la información del paquete del nuevo repositorio: sudo apt-get update Y finalmente, instale Certbot desde el nuevo repositorio con apt-get: sudo apt-get install python-certbot-apache El certbotcliente Let`s Encrypt ahora está listo para usar. Paso 2: configura el certificado SSL Generar el certificado SSL para Apache usando Certbot es bastante sencillo. El cliente obtendrá e instalará automáticamente un nuevo certificado SSL válido para los dominios proporcionados como parámetros. Para ejecutar la instalación interactiva y obtener un certificado que cubra solo un dominio, ejecute el certbotcomando como tal, donde example.com es su dominio: sudo certbot --apache -d example.com Si desea instalar un solo certificado que sea válido para múltiples dominios o subdominios, puede pasarlos como parámetros adicionales al comando. El primer nombre de dominio en la lista de parámetros será el dominio base utilizado por Let`s Encrypt para crear el certificado, y por esa razón recomendamos que pase el nombre de dominio de nivel superior como el primero en la lista, seguido de cualquier subdominio adicional o alias: sudo certbot --apache -d example.com -d www.example.com Para este ejemplo, el dominio base será example.com. Si tiene varios hosts virtuales, debe ejecutarlos certbotuna vez para generar un nuevo certificado para cada uno. Puede distribuir múltiples dominios y subdominios a través de sus servidores virtuales de cualquier manera. Después de instalar las dependencias, se le presentará una guía paso a paso para personalizar sus opciones de certificado. Se le pedirá que proporcione una dirección de correo electrónico para la recuperación de claves perdidas y avisos, y podrá elegir entre habilitar ambas httpy https acceder o forzar todas las solicitudes a las que se debe redirigir https. Por lo general, es más seguro requerirlo https, a menos que tenga una necesidad específica de httptráfico no encriptado . Cuando finalice la instalación, debería poder encontrar los archivos de certificado generados en /etc/letsencrypt/live. Puede verificar el estado de su certificado SSL con el siguiente enlace (no olvide reemplazar example.com con su dominio base ): Paso 3 - Verificar la renovación automática de Certbot Los certificados Let`s Encrypt solo duran 90 días. Sin embargo, el paquete certbot que instalamos se encarga de esto para nosotros al ejecutar certbot renewdos veces al día a través de un temporizador systemd. En las distribuciones que no están incluidas en el sistema, esta funcionalidad la proporciona una secuencia de comandos cron colocada en /etc/cron.d. La tarea se ejecuta dos veces al día y renovará cualquier certificado que esté dentro de los treinta días de la fecha de vencimiento. Para probar el proceso de renovación, puede ejecutar en seco con certbot: sudo certbot renew --dry-run Si no ve errores, ya está todo listo. Cuando sea necesario, Certbot renovará sus certificados y volverá a cargar Apache para recoger los cambios. Si el proceso de renovación automática falla, Let`s Encrypt enviará un mensaje al correo electrónico que usted especificó, advirtiéndole cuando su certificado esté a punto de caducar.
Cómo proteger Apache con Let`s Encrypt en Ubuntu 16.04 Introducción Este tutorial le mostrará cómo configurar un certificado TLS / SSL de Let`s Encrypt en un servidor Ubuntu 16.04 que ejecuta Apache como servidor web. Los certificados SSL se usan en los servidores web para encriptar el tráfico entre el servidor y el cliente, proporcionando seguridad adicional para los usuarios que acceden a su aplicación. Let`s Encrypt proporciona una manera fácil de obtener e instalar certificados de confianza de forma gratuita. Requisitos previos Para completar esta guía, necesitarás: Un servidor Ubuntu 16.04 con un usuario no root habilitado para sudo, que puede configurar siguiendo nuestra Guía de configuración inicial del servidor . El servidor web Apache instalado con uno o más nombres de dominio configurados correctamente a través de Hosts Virtuales que especifican ServerName. Cuando esté listo para continuar, inicie sesión en su servidor con su cuenta habilitada para sudo. Paso 1 - Instalar el cliente Let`s Encrypt Los certificados Let`s Encrypt se obtienen a través del software cliente que se ejecuta en su servidor. El cliente oficial se llama Certbot, y sus desarrolladores mantienen su propio repositorio de software Ubuntu con versiones actualizadas. Debido a que Certbot se encuentra en un desarrollo tan activo, vale la pena utilizar este repositorio para instalar una versión más nueva de la que proporciona Ubuntu de manera predeterminada. Primero, agrega el repositorio: sudo add-apt-repository ppa:certbot/certbot Tendrá que presionar ENTERpara aceptar. Luego, actualice la lista de paquetes para recoger la información del paquete del nuevo repositorio: sudo apt-get update Y finalmente, instale Certbot desde el nuevo repositorio con apt-get: sudo apt-get install python-certbot-apache El certbotcliente Let`s Encrypt ahora está listo para usar. Paso 2: configura el certificado SSL Generar el certificado SSL para Apache usando Certbot es bastante sencillo. El cliente obtendrá e instalará automáticamente un nuevo certificado SSL válido para los dominios proporcionados como parámetros. Para ejecutar la instalación interactiva y obtener un certificado que cubra solo un dominio, ejecute el certbotcomando como tal, donde example.com es su dominio: sudo certbot --apache -d example.com Si desea instalar un solo certificado que sea válido para múltiples dominios o subdominios, puede pasarlos como parámetros adicionales al comando. El primer nombre de dominio en la lista de parámetros será el dominio base utilizado por Let`s Encrypt para crear el certificado, y por esa razón recomendamos que pase el nombre de dominio de nivel superior como el primero en la lista, seguido de cualquier subdominio adicional o alias: sudo certbot --apache -d example.com -d www.example.com Para este ejemplo, el dominio base será example.com. Si tiene varios hosts virtuales, debe ejecutarlos certbotuna vez para generar un nuevo certificado para cada uno. Puede distribuir múltiples dominios y subdominios a través de sus servidores virtuales de cualquier manera. Después de instalar las dependencias, se le presentará una guía paso a paso para personalizar sus opciones de certificado. Se le pedirá que proporcione una dirección de correo electrónico para la recuperación de claves perdidas y avisos, y podrá elegir entre habilitar ambas httpy https acceder o forzar todas las solicitudes a las que se debe redirigir https. Por lo general, es más seguro requerirlo https, a menos que tenga una necesidad específica de httptráfico no encriptado . Cuando finalice la instalación, debería poder encontrar los archivos de certificado generados en /etc/letsencrypt/live. Puede verificar el estado de su certificado SSL con el siguiente enlace (no olvide reemplazar example.com con su dominio base ): Paso 3 - Verificar la renovación automática de Certbot Los certificados Let`s Encrypt solo duran 90 días. Sin embargo, el paquete certbot que instalamos se encarga de esto para nosotros al ejecutar certbot renewdos veces al día a través de un temporizador systemd. En las distribuciones que no están incluidas en el sistema, esta funcionalidad la proporciona una secuencia de comandos cron colocada en /etc/cron.d. La tarea se ejecuta dos veces al día y renovará cualquier certificado que esté dentro de los treinta días de la fecha de vencimiento. Para probar el proceso de renovación, puede ejecutar en seco con certbot: sudo certbot renew --dry-run Si no ve errores, ya está todo listo. Cuando sea necesario, Certbot renovará sus certificados y volverá a cargar Apache para recoger los cambios. Si el proceso de renovación automática falla, Let`s Encrypt enviará un mensaje al correo electrónico que usted especificó, advirtiéndole cuando su certificado esté a punto de caducar.
Fecha del mensaje: 2018-03-14 11:55:11Recordar que para instalar un certificado de seguridad debemos ser propietarios del dominio en cuestión, no sirve solo ser propietario de un subdominio: Ej: dominio.com -> propietario-> se puede instalar miweb.dominio.com -> propietario -> se puede instalar miweb.otrodominio.com -> propietario del subdominio miweb pero no de otrodominio.com -> no se puede instalar el certificado a menos que se hable con el propietario de otrodominio.com y acepte tener certificado de seguridad.
Recordar que para instalar un certificado de seguridad debemos ser propietarios del dominio en cuestión, no sirve solo ser propietario de un subdominio: Ej: dominio.com -> propietario-> se puede instalar miweb.dominio.com -> propietario -> se puede instalar miweb.otrodominio.com -> propietario del subdominio miweb pero no de otrodominio.com -> no se puede instalar el certificado a menos que se hable con el propietario de otrodominio.com y acepte tener certificado de seguridad.
Fecha del mensaje: 2019-09-27 20:09:23Si alguna vez no se renueva automáticamente nuestro certificado, por que tengamos el servidor apagado o por x motivo y nuestra web se muestra como insegura, para poder renovarlo manualmente y que el después cuando le toque lo haga automáticamente debemos ejecutar el siguiente comando: sudo certbot -q renew
Si alguna vez no se renueva automáticamente nuestro certificado, por que tengamos el servidor apagado o por x motivo y nuestra web se muestra como insegura, para poder renovarlo manualmente y que el después cuando le toque lo haga automáticamente debemos ejecutar el siguiente comando: sudo certbot -q renew
