Instalación de certificado SSL gratuito en LEMP Stack con Let’s Encrypt

Let’s Encrypt es un Proyecto Colaborativo de la Fundación Linux, autoridad de certificación abierta, proporcionada por el Grupo de Investigación de Seguridad de Internet. Gratis para cualquier persona que posea un nombre de dominio para usar Let’s Encrypt para obtener un certificado de confianza. La capacidad de automatizar el proceso de renovación, además de trabajar para que sea más fácil de instalar y configurar. Ayude a mantener los sitios seguros y avance en las prácticas de seguridad de TLS. Mantenga la transparencia, con todos los certificados disponibles públicamente para su inspección. Permita que otros utilicen sus protocolos de emisión y renovación como un estándar abierto.

Esencialmente, Let’s Encrypt está tratando de hacer que la seguridad no dependa de ridículos aros hechos por grandes organizaciones con fines de lucro. (Se podría decir que creo en el código abierto, y este es el mejor código abierto).

Hay dos opciones: descargar el paquete e instalarlo desde los repositorios, o instalar el envoltorio certbot-auto (anteriormente, letsencrypt-auto) directamente desde letsencrypt.

Para descargar desde los repositorios

sudo apt-get install letsencrypt -y

Una vez finalizada la instalación, ¡es hora de obtener su certificado! Estamos utilizando el método independiente certonly, generando una instancia de un servidor solo para adquirir su certificado.

sudo letencrypt certonly –independiente –d googlesyndication.com -d subdominio.googlesyndication.com -d otro subdominio.googlesyndication.com

Enter su correo electrónico y acepte los términos de servicio. Ahora debería tener un certificado válido para cada uno de los dominios y subdominios que ingresó. Cada dominio y subdominio se cuestiona, por lo que si no tiene un registro dns que apunte a su servidor, la solicitud fallará.

Si desea probar el proceso, antes de obtener su certificado real, puede agregar –test-cert como argumento después de certonly. Nota: –test-cert instala un certificado no válido. Puede hacer esto un número ilimitado de veces, sin embargo, si usa certificados en vivo, hay un límite de frecuencia.

Los dominios comodín no son compatibles, ni parece que lo serán. La razón dada es que, dado que el proceso de certificación es gratuito, puede solicitar tantos como necesite. Además, puede tener varios dominios y subdominios en el mismo certificado.

¡Pasando a la configuración de NGINX para usar nuestro certificado recién adquirido! Para la ruta al certificado, utilizo la ruta real, en lugar de una expresión regular.

Tenemos SSL, también podríamos redirigir todo nuestro tráfico a él. La primera sección del servidor hace precisamente eso. Lo tengo configurado para redirigir todo el tráfico, incluidos los subdominios, al dominio principal.

2016-05-16_122009

Si estás usando Chrome y no deshabilite los cifrados SSL enumerados anteriormente, obtendrá err_spdy_inadequate_transport_security. También debe editar el archivo conf de nginx para que se parezca a esto para evitar una falla de seguridad en gzip

2016-05-16_122647

ssl3

Si encuentra que está obteniendo algo como acceso denegado, debe verificar que el nombre del servidor (y la raíz) sea correcto. Terminé de golpearme la cabeza contra la pared hasta que me desmayé. Afortunadamente, en mis pesadillas con el servidor, llegó la respuesta: ¡se olvidó de configurar su directorio raíz! Ensangrentado y aporreado, meto la raíz y ahí está, mi precioso índice.

Si desea configurar subdominios separados, puede usar

2016-05-16_122342

Se le pedirá que cree una contraseña para el nombre de usuario (dos veces).

sudo reiniciar el servicio nginx

Ahora podrá acceder a su sitio desde cualquier lugar con un nombre de usuario y contraseña, o localmente sin ellos. Si desea tener siempre un desafío de contraseña, elimine el permiso 10.0.0.0/24; # Cambie a su línea de red local.

Tenga en cuenta el espacio para auth_basic, si no es correcto, obtendrá un error.

Si tienes la contraseña incorrecta te golpean con un 403

ssl4

Un último elemento que debemos hacer, configurar la renovación automática de los certificados SSL.

Para esto, un trabajo cron simple es la herramienta adecuada para el trabajo, lo pondremos como usuario raíz para evitar errores de permisos.

(sudo crontab -l 2>/dev/null; echo ‘0 0 1 * * letsencrypt renovar’) | sudo crontab-

La razón para usar /dev/null es asegurarse de que pueda escribir en el crontab, incluso si no existía uno anteriormente.

Leer siguiente

  • PARTE 1: Instalación de una pila LEMP de Ubuntu Server 16.04 (Xenial Xerus)
  • Pokémon: ¡Vamos, Pikachu! y Pokémon: ¡Vamos, Eevee! : Nuevas características en E3
  • El ataque de phishing en Azure Blog Storage esquiva a los usuarios al mostrar un SSL firmado…
  • El juego gratuito de supervivencia Let It Die llega a PC este otoño

Related Posts