Let's Encrypt es un proyecto colaborativo de la Fundación Linux, una autoridad de certificación abierta, proporcionada por el Grupo de investigación de seguridad de Internet. Gratis para cualquier persona que posea un nombre de dominio, use Let's Encrypt para obtener un certificado confiable. La capacidad de automatizar el proceso de renovación, además de trabajar para que sea más fácil de instalar y configurar. Ayude a mantener los sitios seguros y mejore las prácticas de seguridad TLS. Mantenga la transparencia, con todos los certificados disponibles públicamente para su inspección. Permita que otros usen sus protocolos de emisión y renovación como un estándar abierto.
Básicamente, Let's Encrypt está tratando de hacer que la seguridad no dependa de ridículos obstáculos hechos por grandes organizaciones con fines de lucro. (Se podría decir que creo en el código abierto, y este es el mejor código abierto).
Hay dos opciones: descargar el paquete e instalarlo desde repositorios, o instalar el contenedor certbot-auto (anteriormente letsencrypt-auto) desde letsencrypt directamente.
Para descargar de los repositorios
sudo apt-get install letsencrypt -y
Una vez finalizada la instalación, ¡es hora de obtener su certificado! Estamos utilizando el método certonly standalone, generando una instancia de un servidor solo para adquirir su certificado.
sudo letsencrypt certonly –standalone –d example.com -d subomain.example.com -d othersubdomain.example.com
Ingrese su correo electrónico y acepte los términos del servicio. Ahora debería tener un certificado válido para cada uno de los dominios y subdominios que ingresó. Cada dominio y subdominio es desafiado, por lo que si no tiene un registro dns que apunte a su servidor, la solicitud fallará.
Si desea probar el proceso, antes de obtener su certificado real, puede agregar –test-cert como argumento después de certonly. Nota: –test-cert instala un certificado no válido. Puede hacer esto un número ilimitado de veces, sin embargo, si usa certificados en vivo, hay un límite de tasa.
Los dominios comodín no son compatibles, ni parece que vayan a ser compatibles. La razón dada es que dado que el proceso de certificado es gratuito, puede solicitar tantos como necesite. Además, puede tener varios dominios y subdominios en el mismo certificado.
¡Pasando a la configuración de NGINX para usar nuestro certificado recién adquirido! Para la ruta al certificado, utilizo la ruta real, en lugar de una expresión regular.
Tenemos SSL, también podríamos redirigir todo nuestro tráfico a él. La primera sección del servidor hace precisamente eso. Lo tengo configurado para redirigir todo el tráfico, incluidos los subdominios, al dominio principal.
Si está utilizando Chrome y no deshabilita los cifrados ssl enumerados anteriormente, obtendrá err_spdy_inadequate_transport_security. También necesita editar el archivo nginx conf para que tenga un aspecto similar a este para solucionar una falla de seguridad en gzip
Si encuentra que está recibiendo algo como acceso denegado, debe verificar que el nombre del servidor (y la raíz) sea correcto. Acabo de terminar de golpearme la cabeza contra la pared hasta que me desmayé. Afortunadamente, en las pesadillas de mi servidor, llegó la respuesta: ¡se olvidó de configurar su directorio raíz! Ensangrentado y aporreado, puse la raíz y ahí está, mi precioso índice.
Si desea configurar subdominios separados, puede usar
Se le pedirá que cree una contraseña para el nombre de usuario (dos veces).
reinicio de nginx del servicio sudo
Ahora podrá acceder a su sitio desde cualquier lugar con un nombre de usuario y contraseña, o localmente sin. Si desea tener siempre un desafío de contraseña, elimine el permiso 10.0.0.0/24; # Cambie a su línea de red local.
Tenga en cuenta el espacio para auth_basic, si no es correcto, obtendrá un error.
Si tiene la contraseña incorrecta, recibe un 403
Un último elemento que debemos hacer, configurar la renovación automática de los certificados SSL.
Para esto, un trabajo cron simple es la herramienta adecuada para el trabajo, lo vamos a poner como usuario root para evitar errores de permisos.
(sudo crontab -l 2> / dev / null; echo '0 0 1 * * letsencrypt renew') | sudo crontab -
La razón para usar / dev / null es asegurarse de que pueda escribir en crontab, incluso si no existía uno previamente.
3 minutos de lectura
