Hoy he probado los nuevos certificados gratuitos para HTTPS de Let’s Encrypt y puedo decir que son cómodos de crear y fáciles de instalar. Os explicaré paso a paso como crear uno e instalarlo en vuestro servidor.
Antes de nada, avisaros que por ahora (y no se si de forma permanente) estos certificados, tienen una caducidad de 3 meses, por lo que cada 3 meses deberemos renovarlos.
Para este ejemplo vamos a generar un certificado para este blog:
Lo primero que tenemos que hacer es instalar el programa alojado en GitHub vía GIT:
git clone https://github.com/letsencrypt/letsencrypt cd letsencrypt |
Empezamos lanzando el comando:
#por problemas de privilegios hay que ejecutarlo como root sudo ./letsencrypt-auto certonly --manual -d dondeguardomisideas.com -d www.dondeguardomisideas.com |
Esto nos generará el certificado para esta web con www y sin ellas. Pero antes, hay que pasar la autentificación de Let’s Encrypt:
Necesita saber que el dominio es válido y que tenemos acceso a este (para evitar suplantaciones). Para ello, se sirve de un proceso similar a las reclamaciones de dominio de Google Webmaster Tool; genera unos archivos que tienes que subir a la web para que este los valide. Por defecto los busca en: {nombre_del_dominio}/.well-known/acme-challenge.
Una vez comprobados estos archivos nos generará en /etc/letsencrypt/archive/{nombre_del_dominio} los archivos del certificado: cert1.pem chain1.pem fullchain1.pem privkey1.pem
Ahora tenemos que copiarlos al servidor, por ejemplo mediante FTP. Para este ejemplo, los he subido a /etc/apache2/ssl/{nombre_del_dominio}/
Después, hay que modificar la configuración de apache. Accedemos a la ruta de apache donde tengamos configurado nuestro dominio, en mi caso:
/etc/apache2/sites-enabled/dondeguardomisideas.com.conf
y añadimos una entrada para configurar la escucha por HTTPS, quedaría parecido a esto:
VirtualHost *:443 ServerName dondeguardomisideas.com ServerAlias www.dondeguardomisideas.com ServerAdmin no-reply@dondeguardomisideas.com DocumentRoot /var/www/dondeguardomisideas.com SSLEngine On SSLCertificateFile /etc/apache2/ssl/dondeguardomisideas.com/cert1.pem SSLCertificateKeyFile /etc/apache2/ssl/dondeguardomisideas.com/privkey1.pem /VirtualHost |
Reiniciamos apache con:
service apache2 reload |
y listo, ya tenemos el certificado funcionando!!
Os dejo una captura para que veáis como queda.
Como decía al principio, este certificado tiene una caducidad de 3 meses.
Para renovar el certificado debemos lanzar el mismo comando de antes, como si lo fuésemos a crear de nuevo, y el sistema detectará que ya existe y nos preguntará si queremos renovarlo.
Una vez renovados, lo único que queda es volver a subir los archivos al servidor reemplazando los viejos.
La guía oficial completa de instalación y configuración la tenéis aquí.
Espero que os sirva!
Desarrollador de aplicaciones.
Consultor tecnológico.
