Conseguir el certificado TLS a través del protocolo ACME en Linux

Las siguientes instrucciones le ayudarán con una emisión automática y la consiguiente instalación de los certificados en su servidor Linux mediante una herramienta automatizada para gestionar y descargar los certificados Cerbot. Las intrucciones sirven para el servidor web Apache, sin embargo, Cerbot se puede utilizar también para Nginx, Haproxy y Plesk. Se trata de un software abierto, es decir, de libre acceso.

Preparativos para obtener el certificado

Antes de la automatización de la obtención e instalación del certificado es necesario contactar con nuestra atención al cliente y realizar preparativos individuales sencillos para cada cliente.

  • El primer paso es una validación de su compañía y dominios que quisiera asegurar. Es necesario hacerlo con la ayuda de la atención al cliente de SSLmarket, que lo realizará.
  • Después de una validación exitosa crearemos su ACME Directory URL único en el sistema de la autoridad. Este URL lo utilizará su cliente ACME (en este caso Certbot) para obtener el certificado.
  • ACME Directory URL es único para cada cliente y producto. No es posible utilizar un solo URL para varios clientes.

Preparar Certbot en el servidor:

Instale Certbot en su servidor, recomendamos instalar módulos según el tipo del servidor web. Los módulos luego hacen más fácil la elección del sitio web final para la instalación del certificado y son capaces de trabajar directamente con la configuración del servidor (le hará más fácil el trabajo de instalación).

Nota: En el sitio web oficial de Certbot puede elegir su propio sistema operativo del servidor, donde está descrita la instalación paso a paso.

Obtener e instalar el certificado

Pida el certificado en el terminal a través del comando mencionado más abajo:
sudo certbot --apache --register-unsafely-without-email --server “Su ACME Directory URL” -d www.nombredesudominio.es -d sombredesudominio.es
Parámetros opcionales del comando:

  • Certbot: le iniciará Certbot
  • --apache: elige para el uso el plugin Apache Certbot, que le instalará el certificado.
  • --register-unsafely-without-email: permite omitir la creación de la cuenta ACME.
  • --server – decide cuál de los servidores ACME debería cumplir su requisito. Es decir, define ACME Directory URL.
  • - d – El nombre completo del dominio para el cual quiere que sea emitido el certificado. Si no rellena esta opción Certbot le pedirá, a partir de los alojamientos virtuales configurados en el servidor, que confirme qué dominios quiere incluir en el pedido.

Después de introducir el comando se le ofrecerá la opción de activar en el dominio en cuestión directamente un redireccionamiento exigido a https: Output
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Elija su opción y haga clic en el botón ENTER. La configuración elegida por usted será configurada y después del reinicio del servidor web se cargará. A continuación recibirá el mensaje final que le informará sobre un proceso exitoso y sobre el sitio donde están guardados los certificados: Output
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
expire on 2017-10-23. To obtain a new or tweaked version of this
certificate in the future, simply run certbot again with the
"certonly" option. To non-interactively renew *all* of your
certificates, run "certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

Al mismo tiempo, Certbot instalará también el necesario el certificado Intermediate, para el control de corrección de la instalación utilice a continuación nuestra herramienta en línea para el control de la instalación del certificado.

Notas generales

La automatización de la emisión de los certificados tiene varias reglas, por lo tanto, le invitamos a prestar atención también a los siguientes puntos:

  • Los certificados DV no se admiten por ahora.
  • Antes de la emisión del certificado es necesario realizar la validación de la empresa y luego la validación de los dominios
  • U domén se musí udělat preveting. Ten má dvě fáze: En los dominios es necesario realizar una preveting.
    • 1. DCV, es decir, validación del dominio(correo electrónico, DNS, TXT)
    • 2. El dominio validado se agrega a la empresa validada y esta puede empezar a utilizarlo.
  • ACME URL vale para un producto concreto y una compañía concreta, probablemente necesitará varios.
Las instrucciones son aproximadas, depende también de la configuración individual de su servidor.