Em 29/12/2021 | Por Digital Apps | 1950 visualizações
A Let’s Encrypt é uma autoridade certificadora (AC) gratuita, automatizada e aberta utilizada para garantir a segurança no tráfego de dados de um website. Entre outras características, a Let's Encrypt promete trazer transparência, segurança e gratuidade contribuindo para o benefício comum. Neste artigo, iremos mostrar como instalar o certificado em um Servidor VPS Ubuntu.
Passo 1 — Instalando o Certbot
A Let’s Encrypt recomenda que seja utilizado o cliente Certbot ACME. Ele pode automatizar a emissão de certificados e a instalação sem tempo de inatividade. O Certbot, é agora desenvolvido pela Electronic Frontier Foundation. Além de verificar a propriedade do domínio e obter certificados, o Certbot pode configurar automaticamente TLS / SSL em servidores web Apache e Nginx. Para instalar o certbot, basta executar o comando a seguir:
$ sudo apt install certbot python3-certbot-nginx
Passo 2 — Configuração do server name no Nginx
Vamos abrir o arquivo de configuração do Nginx e verificar se o domínio está correto no server name:
$ sudo nano /etc/nginx/sites-available/example.com
Encontre a linha que tenha server_name e adicione (caso ainda não esteja) os domínios configurados como o exemplo a seguir:
/etc/nginx/sites-available/example.com
...
server_name example.com www.example.com;
…
Após salvar o arquivo, basta executar o código a seguir para reiniciar o servidor Nginx:
$ sudo nginx -t
$ sudo systemctl reload nginx
Passo 3 — Adicionar permissão para tráfego HTTPS pelo firewall
Próximo passo agora é liberar acesso HTTPS no firewall permitindo que o cliente acesse o serviço do Nginx pelo modo seguro:
$ sudo ufw allow 'Nginx Full'
$ sudo ufw delete allow 'Nginx HTTP'
Seu status agora deve se parecer com este:
$ sudo ufw status
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
Nginx Full ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Nginx Full (v6) ALLOW Anywhere (v6)
Passo 4 — Obtendo um certificado SSL
Feito todos os passos anteriores, vamos finalmente instalar o Let's Encrypt executando o comando a seguir:
$ sudo certbot --nginx -d example.com -d www.example.com
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):
Select your choice then hit ???ENTER?????.
Para continuar é necessário digitar 1 ou 2. Como descrito a cima, a opção 1 indica que o servidor não vai precisar forçar a solicitação HTTPS. Já a opção 2 irá forçar o carregamento HTTPS.
Após dar ENTER irá aparecer a seguinte mensagem:
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2020-08-18. To obtain a new or tweaked
version of this certificate in the future, simply run certbot again
with the "certonly" option. To non-interactively renew *all* of
your certificates, run "certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Passo 5 — Verificando a renovação automática do Certbot
Por padrão, os certificados da Let’s Encrypt possuem validade de apenas 90 dias.
Caso queira consultar o status do vencimento, basta utilizar o recurso systemctl:
$ sudo systemctl status certbot.timer
? certbot.timer - Run certbot twice daily
Loaded: loaded (/lib/systemd/system/certbot.timer; enabled; vendor preset: enabled)
Active: active (waiting) since Mon 2020-05-04 20:04:36 UTC; 2 weeks 1 days ago
Trigger: Thu 2020-05-21 05:22:32 UTC; 9h left
Triggers: ? certbot.service
Para testar o processo de renovação, você pode realizar uma simulação com o certbot:
$ sudo certbot renew --dry-run
Bônus
Após ter instalado o SSL e precisar adicionar um novo domínio no NGINX com Let’s Encrypt, basta executar comando a seguir:
$ certbot --nginx -d novosite.com.br -d www.novosite.com.br --force-renewal
Finalmente temos o site seguro e de forma gratuita.
