Let's Encrypt es una autoridad de certificación abierta, automatizada y gratuita desarrollada por Internet Security Research Group (ISRG) que proporciona certificados SSL gratuitos.
Los principales navegadores confían en los certificados emitidos por Let's Encrypt y son válidos durante 90 días a partir de la fecha de emisión.
Este tutorial muestra cómo instalar un certificado SSL Let's Encrypt gratuito en Debian 10, Buster ejecutando Nginx como servidor web. También mostraremos cómo configurar Nginx para usar el certificado SSL y habilitar HTTP/2.
requisitos previos
Asegúrese de que se cumplan los siguientes requisitos previos antes de continuar con la guía:
- Inicie sesión como root o usuario con privilegios sudo .
- El dominio para el que desea obtener el certificado SSL debe apuntar a la IP de su servidor público. Usaremos
example.com
_ - Nginx instalado .
Instalación de Certbot
Usaremos la herramienta certbot para obtener y renovar los certificados.
Certbot es una herramienta completa y fácil de usar que automatiza las tareas para obtener y renovar los certificados SSL de Let's Encrypt y configurar los servidores web para usar los certificados.
El paquete certbot está incluido en los repositorios predeterminados de Debian. Ejecute los siguientes comandos para instalar certbot:
sudo apt update
sudo apt install certbot
Generación de grupo Dh (Diffie-Hellman)
El intercambio de claves Diffie-Hellman (DH) es un método de intercambio seguro de claves criptográficas a través de un canal de comunicación no seguro.
Vamos a generar un nuevo conjunto de parámetros DH de 2048 bits para fortalecer la seguridad:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
También puede cambiar el tamaño hasta 4096 bits, pero la generación puede tardar más de 30 minutos dependiendo de la entropía del sistema.
Obtener un certificado SSL de Let's Encrypt
Para obtener un certificado SSL para el dominio, vamos a utilizar el complemento Webroot. Funciona creando un archivo temporal para validar el dominio solicitado en el ${webroot-path}/.well-known/acme-challenge
directorio. El servidor Let's Encrypt realiza solicitudes HTTP al archivo temporal para validar que el dominio solicitado se resuelva en el servidor donde se ejecuta certbot.
Vamos a asignar todas las solicitudes HTTP .well-known/acme-challenge
a un solo directorio, /var/lib/letsencrypt
.
Ejecute los siguientes comandos para crear el directorio y hacerlo escribible para el servidor Nginx:
sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp www-data /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt
Para evitar la duplicación de código, crearemos dos fragmentos que se incluirán en todos los archivos de bloque del servidor Nginx.
Abra su editor de texto y cree el primer fragmento letsencrypt.conf
:
sudo nano /etc/nginx/snippets/letsencrypt.conf
location ^~ /.well-known/acme-challenge/ {
allow all;
root /var/lib/letsencrypt/;
default_type "text/plain";
try_files $uri =404;
}
El segundo fragmento ssl.conf
incluye los chippers recomendados por Mozilla , habilita el grapado OCSP, HTTP Strict Transport Security (HSTS) y aplica algunos encabezados HTTP centrados en la seguridad.
sudo nano /etc/nginx/snippets/ssl.conf
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;
add_header Strict-Transport-Security "max-age=63072000" always;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
Una vez hecho esto, abra el archivo de bloqueo del servidor de dominioletsencrypt.conf
e incluya el fragmento como se muestra a continuación:
sudo nano /etc/nginx/sites-available/example.com.conf
server {
listen 80;
server_name example.com www.example.com;
include snippets/letsencrypt.conf;
}
Cree un enlace simbólico al sites-enabled
directorio para habilitar el bloqueo del servidor de dominio:
sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/
Reinicie el servicio Nginx para que los cambios surtan efecto:
sudo systemctl restart nginx
Ahora está listo para obtener los archivos del certificado SSL ejecutando el siguiente comando:
sudo certbot certonly --agree-tos --email admin@example.com --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com
Si el certificado SSL se obtiene con éxito, se imprimirá el siguiente mensaje en su terminal:
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2020-02-22. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Edite el bloque del servidor de dominio e incluya los archivos del certificado SSL de la siguiente manera:
sudo nano /etc/nginx/sites-available/example.com.conf
server {
listen 80;
server_name www.example.com example.com;
include snippets/letsencrypt.conf;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
server_name www.example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
return 301 https://example.com$request_uri;
}
server {
listen 443 ssl http2;
server_name example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
# . . . other code
}
La configuración anterior le dice a Nginx que redirija de HTTP a HTTPS y de www a la versión que no es www.
Reinicie o vuelva a cargar el servicio Nginx para que los cambios surtan efecto:
sudo systemctl restart nginx
Abra su sitio web usando https://
y verá un icono de candado verde.
Si prueba su dominio con SSL Labs Server Test , obtendrá una A+
calificación, como se muestra en la imagen a continuación:
Los certificados de Let's Encrypt tienen una validez de 90 días. Para renovar automáticamente los certificados antes de que caduquen, el paquete certbot crea un cronjob y un temporizador systemd. El temporizador renovará automáticamente los certificados 30 días antes de su vencimiento.
Cuando se renueva el certificado también tenemos que recargar el servicio nginx. Abra el /etc/letsencrypt/cli.ini
y agregue la siguiente línea:
sudo nano /etc/letsencrypt/cli.ini
deploy-hook = systemctl reload nginx
Pruebe el proceso de renovación automática ejecutando este comando:
sudo certbot renew --dry-run
Si no hay errores, significa que el proceso de renovación fue exitoso.
Conclusión
Tener un certificado SSL es imprescindible hoy en día. Protege su sitio web, aumenta la posición en el ranking SERP y le permite habilitar HTTP/2 en su servidor web.
En este tutorial, le mostramos cómo generar y renovar certificados SSL utilizando el script certbot. También le mostramos cómo configurar Nginx para usar los certificados.
Para obtener más información sobre Certbot, visite la documentación de Certbot .
Si tiene alguna pregunta o comentario, no dude en dejar un comentario.
0 Comentarios