web:security:letsencrypt

Diferències

Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.

Enllaç a la visualització de la comparació

Ambdós costats versió prèvia Revisió prèvia
Següent revisió		 Revisió prèvia
web:security:letsencrypt [01/02/2020 14:35] – [generación] mateweb:security:letsencrypt [09/06/2026 10:01] (actual) – [ejemplos] mate
Línia 1: Línia 1:
 = Let's Encrypt = Let's Encrypt
 == info == info
 +  * [[https://eff-certbot.readthedocs.io/en/stable/using.html|User Guide]]
   * [[https://letsencrypt.org/getting-started/]]   * [[https://letsencrypt.org/getting-started/]]
   * certbot   * certbot
Línia 9: Línia 10:
       * ? [[https://certbot.eff.org/docs/using.html#id19]]       * ? [[https://certbot.eff.org/docs/using.html#id19]]
     * cli : [[https://certbot.eff.org/docs/using.html#certbot-command-line-options]]     * cli : [[https://certbot.eff.org/docs/using.html#certbot-command-line-options]]
 +  * [[https://www.adictosaltrabajo.com/2016/07/21/obtencion-de-certificados-con-lets-encrypt/]]
  
  
-== instalacion robot+== install
 <code bash> <code bash>
-user@webserver:~$ wget https://dl.eff.org/certbot-auto +sudo apt install software-properties-common 
-user@webserver:~$ chmod a+x ./certbot-auto +sudo add-apt-repository universe 
-user@webserver:~$ ./certbot-auto --help+sudo apt update 
 + 
 +sudo apt install certbot 
 +</code> 
 + 
 ++ info: [[https://eff-certbot.readthedocs.io/en/stable/install.html]] 
 + 
 +== user guide 
 +  * [[https://eff-certbot.readthedocs.io/en/stable/using.html]] 
 +  * [[https://certbot.eff.org/]] 
 + 
 +== standalone (no webserver) 
 +<code bash> 
 +sudo certbot certonly --standalone --agree-tos --email sammy@your_domain -d <DOMAIN> 
 +sudo certbot renew [--dry-run] 
 +# programaticamente si hay que parar servicios: 
 +# --pre-hook "service haproxy stop" --post-hook "service haproxy start" 
 + 
 +# dejará los certificados del dominio en /etc/letsencrypt/live/<DOMAIN>/ 
 +</code> 
 + 
 +obtener los certificados de Let's Encrypt:<code bash> 
 +curl -s https://letsencrypt.org/certs/{isrgrootx1.pem.txt,letsencryptauthorityx3.pem.txt} > ~/letsencrypt-combined-certs.pem 
 +sudo cp ~/letsencrypt-combined-certs.pem /etc/letsencrypt/live/your_domain/ 
 + 
 +</code> 
 +/via[[https://certbot.eff.org/lets-encrypt/debianbuster-other]]\\ 
 +/via: [[https://certbot.eff.org/instructions]] 
 + 
 + 
 +== webroot 
 +<code bash> 
 +sudo mkdir -p /var/www/letsencrypt/.well-known/acme-challenge 
 +sudo chown -R www-data:www-data /var/www/letsencrypt 
 +</code> 
 +<code apache> 
 +<VirtualHost *:80> 
 +        ServerName xxx.org 
 +        DocumentRoot /var/xxx/html 
 +        Alias /.well-known/acme-challenge/ /var/www/letsencrypt/.well-known/acme-challenge/ 
 + 
 +        <Directory /var/www/letsencrypt/> 
 +                AllowOverride None 
 +                Require all granted 
 +        </Directory> 
 + 
 +        RewriteEngine On 
 +        RewriteCond %{REQUEST_URI} !^/\.well-known [NC] 
 +        RewriteRule ^(.*)$ https://fidmag.org/ca/xxx.html [L,R=301] 
 +</VirtualHost>
 </code> </code>
 +<code bash>sudo /usr/bin/certbot certonly --webroot -w /var/www/letsencrypt --agree-tos --email informatica@xxx.org -d xxx.org</code>
  
-== generación+== DNS challenge
 Este método te exige poner una clave TXT en tu servidor DNS para certificar que puedes acceder a ese dominio: Este método te exige poner una clave TXT en tu servidor DNS para certificar que puedes acceder a ese dominio:
-<code bash>sudo ./certbot-auto --manual --preferred-challenge dns  certonly --email miguelangel@torresegea.es -d seedbox.torresegea.es</code>+<code bash>sudo ./certbot-auto --manual --preferred-challenge dns  certonly --email sammy@your_domain -d seedbox.torresegea.es</code>
 si todo está correcto, te genera 3 ficheros (''/etc/letsencrypt/live/<dominio>''), que corresponden a las líneas de configuración de apache correspondientes: si todo está correcto, te genera 3 ficheros (''/etc/letsencrypt/live/<dominio>''), que corresponden a las líneas de configuración de apache correspondientes:
   * cert.pem -> SSLCertificateFile   * cert.pem -> SSLCertificateFile
   * chain.pem -> SSLCertificateKeyFile   * chain.pem -> SSLCertificateKeyFile
   * privkey.pem -> SSLCACertificateFile   * privkey.pem -> SSLCACertificateFile
- 
  
 Existen otros métodos (explicados en documentación) para validar un dominio Existen otros métodos (explicados en documentación) para validar un dominio
  
-== automatización +La renovación implica usar un servicio DNS que permita actualizar los registros a través de una API o delegar en uno que sí lo permita: [[web:security:letsencrypt:dns]] 
-cuando toque renovar, instalaremos los scritps correspondientes en seedbox.torresegea.es y veremos si se puede automatizar la renovación de los dominios+
  
 == comandos == comandos
Línia 39: Línia 90:
  
 == ejemplos == ejemplos
-  * [[linux:debian:seedbox:nginx-letsencrypt|]] +{{topic>lets_encrypt}} 
-  * [[web:security:letsencrypt:k0.vividumcodex.com]] +
-  * [[web:security:letsencrypt:seedbox.torresegea.es]]+
  • web/security/letsencrypt.1580596509.txt.gz
  • Darrera modificació: 01/02/2020 14:35
  • per mate