El primer paso para usar Let’s Encrypt para obtener un certificado SSL es instalar el software Certbot en su servidor.<\/p>\n\n\n\n
Nota<\/strong> : actualmente, Certbot no est\u00e1 disponible en los repositorios de software de Debian de forma predeterminada, pero es posible configurar el Los backports<\/em> , sin embargo, son paquetes recompilados de los repositorios inestables y de prueba de Debian que han sido recompilados para ejecutarse en una distribuci\u00f3n estable de Debian. Estos paquetes no se prueban regularmente y es posible que no siempre est\u00e9n actualizados. En consecuencia, el backport de Certbot instalar\u00e1 la versi\u00f3n0.31<\/mark>mientras que la versi\u00f3n actual a partir de este escrito es1.09<\/mark>. Una diferencia notable entre estas versiones de Certbot es que la configuraci\u00f3n predeterminada para la versi\u00f3n0.31<\/mark>habilitar\u00e1 TLS v1.0 y TLS v1.1, dos protocolos de seguridad que han quedado obsoletos en la mayor\u00eda de los principales navegadores web, y habilitar estos protocolos puede presentar una vulnerabilidad de seguridad. Si bien es posible cambiar este valor predeterminado, hacerlo puede interrumpir las actualizaciones autom\u00e1ticas que hacen que Certbot sea tan \u00fatil.<\/p>\n\n\n\n Hasta que una versi\u00f3n m\u00e1s reciente de Certbot est\u00e9 disponible en los repositorios de Debian APT, este tutorial seguir\u00e1 la recomendaci\u00f3n de instalaci\u00f3n de la versi\u00f3n de la documentaci\u00f3n de Certbot.<\/a>1.09<\/mark>con snappy<\/a> , un administrador de paquetes desarrollado para sistemas Linux que instala paquetes en un formato denominado snaps<\/em> .<\/p>\n\n\n\n Para instalar Certbot como un complemento en Debian, primero debe haberlo Para instalar Luego instale el Despu\u00e9s de ejecutar este comando, se le pedir\u00e1 que confirme que desea instalar Luego, use el Luego actualice el Despu\u00e9s de eso, puede instalar el Tenga en cuenta que las instant\u00e1neas se pueden instalar en uno de los tres niveles de confinamiento que brindan diversos grados de aislamiento de su sistema. Por ejemplo, la mayor\u00eda de las instant\u00e1neas se instalan en el Instalaci\u00f3n de Instalaci\u00f3n de classic certbot<\/p>\n\n\n\n Este proceso de instalaci\u00f3n instalar\u00e1 el Certbot ahora est\u00e1 listo para usar, pero para que configure SSL para Apache, debemos verificar que Apache se haya configurado correctamente.<\/p>\n\n\n\n Certbot necesita poder encontrar el host virtual correcto en su configuraci\u00f3n de Apache para configurar autom\u00e1ticamente SSL. Espec\u00edficamente, lo hace buscando una Si sigui\u00f3 el paso de configuraci\u00f3n del host virtual<\/a> en el tutorial de instalaci\u00f3n de Apache , deber\u00eda tener un Para verificar, abra el archivo de host virtual para su dominio usando Encuentra la Si a\u00fan no lo hace, actualice la A continuaci\u00f3n, verifique la sintaxis de sus cambios de configuraci\u00f3n:<\/p>\n\n\n\n Si no hay ning\u00fan error de sintaxis, ver\u00e1 esto en su salida:<\/p>\n\n\n\n Si obtiene un error, vuelva a abrir el archivo de host virtual y verifique que no haya errores tipogr\u00e1ficos o que falten caracteres. Una vez que la sintaxis de su archivo de configuraci\u00f3n sea correcta, vuelva a cargar Apache para cargar la nueva configuraci\u00f3n:<\/p>\n\n\n\n Certbot ahora puede encontrar el A continuaci\u00f3n, actualicemos el firewall para permitir el tr\u00e1fico HTTPS.<\/p>\n\n\n\n Si tiene Puede ver la configuraci\u00f3n actual escribiendo:<\/p>\n\n\n\n Si sigui\u00f3 el Paso 2 de nuestra gu\u00eda sobre C\u00f3mo instalar Apache en Debian 10<\/a> , el resultado de este comando se ver\u00e1 as\u00ed, mostrando que solo se permite el tr\u00e1fico HTTP al servidor web:<\/p>\n\n\n\n Para permitir adicionalmente el tr\u00e1fico HTTPS, permita el perfil \u00abWWW completo\u00bb y elimine la asignaci\u00f3n de perfil \u00abWWW\u00bb redundante:<\/p>\n\n\n\n <\/p>\n\n\n\n Su estado ahora deber\u00eda verse as\u00ed:<\/p>\n\n\n\n <\/p>\n\n\n\n A continuaci\u00f3n, ejecutemos Certbot y obtengamos nuestros certificados.<\/p>\n\n\n\n Certbot proporciona una variedad de formas de obtener certificados SSL a trav\u00e9s de complementos. El complemento de Apache se encargar\u00e1 de reconfigurar Apache y recargar la configuraci\u00f3n cuando sea necesario. Para usar este complemento, escriba lo siguiente:<\/p>\n\n\n\n Esto se ejecuta Si es la primera vez que corre Despu\u00e9s de hacerlo, Si eso tiene \u00e9xito, la configuraci\u00f3n se actualizar\u00e1 autom\u00e1ticamente y Apache se volver\u00e1 a cargar para recoger la nueva configuraci\u00f3n. buster-backports<\/code>repositorio en su \/etc\/apt\/sources.list<\/code>archivo<\/a> para permitirle instalar una versi\u00f3n posterior del software Certbot con APT<\/a> .<\/p>\n\n\n\nsnapd<\/code>instalado en su servidor. snapd<\/code>es un demonio necesario para instalar, usar y administrar instant\u00e1neas. La instalaci\u00f3n del snapd<\/code>paquete tambi\u00e9n instalar\u00e1 el snap<\/code>comando en su servidor.<\/p>\n\n\n\nsnapd<\/code>, actualice su \u00edndice de paquetes local si no lo ha hecho recientemente:<\/p>\n\n\n\nsudo apt update<\/code><\/pre>\n\n\n\nsnapd<\/code>:<\/p>\n\n\n\nsudo apt install snapd\n<\/code><\/pre>\n\n\n\nsnapd<\/code>y sus dependencias. H\u00e1galo presionando Y<\/code>y luego ENTER<\/code>.<\/p>\n\n\n\nsnap<\/code>comando para instalar el core<\/code>complemento. Esto instalar\u00e1 algunas dependencias en su servidor que son necesarias para cualquier complemento que instale, incluido el complemento Certbot:<\/p>\n\n\n\nsudo snap install core<\/code><\/pre>\n\n\n\ncore<\/code>complemento. Si lo hace, se asegurar\u00e1 de tener snapd<\/code>instaladas las \u00faltimas versiones y sus dependencias:<\/p>\n\n\n\nsudo snap refresh core<\/code><\/pre>\n\n\n\ncertbot<\/code>complemento con el siguiente comando.<\/p>\n\n\n\n--strict<\/code>nivel de confinamiento de manera predeterminada, lo que evita que estos programas accedan a los archivos o la red de su sistema. Debido a que se debe permitir que Certbot edite ciertos archivos de configuraci\u00f3n para configurar correctamente los certificados, este comando incluye la --classic<\/code>opci\u00f3n. Este nivel de confinamiento permite que cualquier instant\u00e1nea instalada debajo de \u00e9l tenga el mismo acceso a los recursos del sistema que los paquetes tradicionales:<\/p>\n\n\n\napt install certbot<\/code><\/pre>\n\n\n\npython3<\/code><\/p>\n\n\n\nsudo apt install python3-certbot-apache<\/code><\/pre>\n\n\n\nsudo snap install --classic certbot<\/code><\/pre>\n\n\n\ncertbot<\/code>ejecutable en el \/snap\/bin\/<\/code>directorio. Cree un enlace simb\u00f3lico a este archivo en el \/usr\/bin\/<\/code>directorio para asegurarse de que puede ejecutar el certbot<\/code>comando en cualquier parte de su sistema:<\/p>\n\n\n\nsudo ln -s \/snap\/bin\/certbot \/usr\/bin\/certbot<\/code><\/pre>\n\n\n\nPaso 2: Configuraci\u00f3n del certificado SSL<\/h2>\n\n\n\n
ServerName<\/code>directiva que coincida con el dominio para el que solicita un certificado.<\/p>\n\n\n\nVirtualHost<\/code>bloque para su dominio con la directiva ya configurada correctamente.\/etc\/apache2\/sites-available\/your_domain<\/mark>.confServerName<\/code><\/p>\n\n\n\nnano<\/code>su editor de texto favorito:<\/p>\n\n\n\nsudo nano \/etc\/apache2\/sites-available\/your_domain<\/mark>.conf<\/code><\/pre>\n\n\n\nServerName<\/code>l\u00ednea existente. Deber\u00eda verse as\u00ed, con su propio nombre de dominio en lugar de your_domain<\/mark><\/code>:\/etc\/apache2\/sitios-disponibles\/su_dominio.conf<\/p>\n\n\n\n...\nServerName your_domain<\/mark>;\n...<\/code><\/pre>\n\n\n\nServerName<\/code>directiva para que apunte a su nombre de dominio. Luego guarde el archivo y salga de su editor. Si us\u00f3 nano<\/code>, h\u00e1galo presionando CTRL + X<\/code>, Y<\/code>y luego ENTER<\/code>.<\/p>\n\n\n\nsudo apache2ctl configtest<\/code><\/pre>\n\n\n\nOutput. . .\nSyntax OK<\/code><\/pre>\n\n\n\nsudo systemctl reload apache2<\/code><\/pre>\n\n\n\nVirtualHost<\/code>bloque correcto y actualizarlo.<\/p>\n\n\n\nPaso 3: Permitir HTTPS a trav\u00e9s del cortafuegos<\/h2>\n\n\n\n
ufw<\/code>habilitado el firewall, como se recomienda en las gu\u00edas de requisitos previos, deber\u00e1 ajustar la configuraci\u00f3n para permitir el tr\u00e1fico HTTPS. Afortunadamente, cuando se instala en Debian, ufw<\/code>viene con algunos perfiles que ayudan a simplificar el proceso de cambiar las reglas del firewall para el tr\u00e1fico HTTP y HTTPS.<\/p>\n\n\n\nsudo ufw status<\/code><\/pre>\n\n\n\nOutputStatus: active\n\nTo Action From\n-- ------ ----\nOpenSSH ALLOW Anywhere \nWWW ALLOW Anywhere \nOpenSSH (v6) ALLOW Anywhere (v6) \nWWW (v6) ALLOW Anywhere (v6)<\/code><\/pre>\n\n\n\nsudo ufw allow 'WWW Full'\nsudo ufw delete allow 'WWW'<\/code><\/pre>\n\n\n\nsudo ufw status<\/code><\/pre>\n\n\n\nOutputStatus: active\n\nTo Action From\n-- ------ ----\nOpenSSH ALLOW Anywhere \nWWW Full ALLOW Anywhere \nOpenSSH (v6) ALLOW Anywhere (v6) \nWWW Full (v6) ALLOW Anywhere (v6) <\/code><\/pre>\n\n\n\nPaso 4: Obtener un certificado SSL<\/h2>\n\n\n\n
sudo certbot --apache -d your_domain<\/mark> -d www.your_domain<\/mark><\/code><\/pre>\n\n\n\ncertbot<\/code>con el --apache<\/code>complemento y se usa -d<\/code>para especificar los nombres para los que desea que el certificado sea v\u00e1lido.<\/p>\n\n\n\ncertbot<\/code>, se le pedir\u00e1 que ingrese una direcci\u00f3n de correo electr\u00f3nico y acepte los t\u00e9rminos del servicio. Adem\u00e1s, le preguntar\u00e1 si est\u00e1 dispuesto a compartir su direcci\u00f3n de correo electr\u00f3nico con Electronic Frontier Foundation<\/a> , una organizaci\u00f3n sin fines de lucro que defiende los derechos digitales y tambi\u00e9n es el fabricante de Certbot. Si\u00e9ntase libre de ingresar Y<\/code>para compartir su direcci\u00f3n de correo electr\u00f3nico o N<\/code>para rechazar.<\/p>\n\n\n\ncertbot<\/code>se comunicar\u00e1 con el servidor Let’s Encrypt, luego ejecutar\u00e1 un desaf\u00edo para verificar que controla el dominio para el que est\u00e1 solicitando un certificado.<\/p>\n\n\n\ncertbot<\/code>terminar\u00e1 con un mensaje que le indicar\u00e1 que el proceso fue exitoso y d\u00f3nde se almacenan sus certificados:<\/p>\n\n\n\nOutput. . .\n\nIMPORTANT NOTES:\n - Congratulations! Your certificate and chain have been saved at:\n \/etc\/letsencrypt\/live\/your_domain<\/mark>\/fullchain.pem\n Your key file has been saved at:\n \/etc\/letsencrypt\/live\/your_domain<\/mark>\/privkey.pem\n Your cert will expire on 2021-01-20. To obtain a new or tweaked\n version of this certificate in the future, simply run certbot again\n with the \"certonly\" option. To non-interactively renew *all* of\n your certificates, run \"certbot renew\"\n - Your account credentials have been saved in your Certbot\n configuration directory at \/etc\/letsencrypt. You should make a\n secure backup of this folder now. This configuration directory will\n also contain certificates and private keys obtained by Certbot so\n making regular backups of this folder is ideal.\n - If you like Certbot, please consider supporting our work by:\n\n Donating to ISRG \/ Let's Encrypt: https:\/\/letsencrypt.org\/donate\n Donating to EFF: https:\/\/eff.org\/donate-le\n\n<\/code><\/pre>\n\n\n\n