Certificat SSL gratuït per a la teva web Linux

La cosa és prou seriosa com per a tenir-ho en compte, cada vegada més es fa imprescindible que les webs es presentin per SSL xifrades sota certificats vàlids. Sense anar més lluny Google premia a les que ho fan millorant la valoració i el posicionament. Així doncs val la pena que ens podem les piles i si en tenim la oportunitat ho fem

Per aquest site jo he utilitzat Let’s Encript , en paraules seves:

Let’s Encrypt is a free, automated, and open certificate authority brought to you by the non-profit Internet Security Research Group (ISRG).

Val la pena donar un cop d’ull a la pàgina i fer-ne una llegida; no és massa extensa i no està de més.  Aquí ens suggereix visitar la web de Certbot on hi trobarem les ajudes de com fer-ho, per sistema operatiu (Això si, sempre basat en Linux) i per els motor de navegació (Apache, Nginx, Haproxy i Plesk)

Si Certbot no ens satisfà hi ha mots altres Clients ACME amb el que podem solicitar el certificat. Els podeu veure aquí: https://letsencrypt.org/docs/client-options/

Nota Molt important:  Per a poder aplicar aquest certificat ens cal un accés a la shell del nostre servidor, si com és el meu cas us l’administreu vosaltres mateixos o el vostre ISP us en proporciona l’accés, perfecte, en cas contrari, no està tot perdut. Si ens permeten pujar els nostres propis certificats SSL, podem mitjançant el procés manual sol·licitar el certificat des d’un altre ordinador. Aquest sistema però és més lent i laboriós i té l’inconvenient de que els certificats caduquen cada 90 dies, de manera que no podrem aplicar la renovació automàtica com si podrem fer amb l’altre sistema.

Us poso un exemple de com ho he fet jo per a obtenir el meu certificat en un servidor Ubuntu Server 14.04 amb Apache2

Obtenir el certificat

Tot ho he fet amb l’usuari root

sudo -i

M’he creat una carpeta per el bot en l’arrel del sistema i he descarregat el botcert

cd/
mkdir botcert
wget https://dl.eff.org/certbot-auto

En canviem els permisos

chmod a+x certbot-auto

Executem l’escript

./certbot-auto

Responem a les preguntes que ens fa el mateix

Which names would you like to activate HTTPS for?
——————————————————————————-
1: dominio.net
2: www.dominio.net
——————————————————————————-
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter ‘c’ to cancel):1,2
Enter email address (used for urgent renewal and security notices) (Enter ‘c’ to
cancel):TuCorreo@mail.com

——————————————————————————-
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf. You must agree
in order to register with the ACME server at
https://acme-v01.api.letsencrypt.org/directory
——————————————————————————-
(A)gree/(C)ancel: A

——————————————————————————-
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let’s Encrypt project and the non-profit
organization that develops Certbot? We’d like to send you email about EFF and
our work to encrypt the web, protect its users and defend digital rights.
——————————————————————————-
(Y)es/(N)o: Y

En aquest punt podem seleccionar activar l’https però continua permetent el tràfic per http (opció 1) o forçar que tot passi per connexió encriptada (opció 2)

Please choose whether HTTPS access is required or optional.
——————————————————————————-
1: Easy – Allow both HTTP and HTTPS access to these sites
2: Secure – Make all requests redirect to secure HTTPS access
——————————————————————————-
Select the appropriate number [1-2] then [enter] (press ‘c’ to cancel): 2

——————————————————————————-
Congratulations! You have successfully enabled https://esquis.net and
https://www.test.net

You should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=test.net
https://www.ssllabs.com/ssltest/analyze.html?d=www.test.net
——————————————————————————-

Arribats a aquest punt ja està fet, a nostra web ja és capaç de funcionar per https. En cas de que tinguem un Worpress, haurem d’entrar a l’àrea d’administració i modificar l’Adreça del lloc web de la següent manera:

2017-02-11_20-19-50

Programar renovació automàtica

Executar el cron

crontab -e

Seleccionem el Nano (Per exemple), editem i afegim la tasca de autorenovació, dos cops al dia. Així ens assegurem detectar el problema amb temps en cas de que ens revoquin el certificart

crontab -e
#Renovar certificat SSL 2 cops al dia
0 3,15 * * * /certbot/certbot-auto renew --quiet --no-self-upgrade

En l’exemple s’executarà dos cops al dia, a les 3 i a les 15.

Comments

Deixa un comentari

Your email address will not be published. Required fields are marked *