Diferència entre revisions de la pàgina «HTTPS amb Let's Encrypt»

De Cacauet Wiki
Salta a la navegació Salta a la cerca
(Hi ha 3 revisions intermèdies del mateix usuari que no es mostren)
Línia 5: Línia 5:
 
Pots començar a llegir sobre Let's Encrypt aquí:
 
Pots començar a llegir sobre Let's Encrypt aquí:
 
  https://letsencrypt.org/getting-started/
 
  https://letsencrypt.org/getting-started/
 +
 +
<br>
 +
 +
== Requeriments ==
 +
Per a fer aquesta pràctica has de tenir un domini en un servidor públic. Es recomana utilitzar els registrador de dominis gratuïts [http://www.freenom.com www.freenom.com] i com a servidors [[AWS: Amazon Web Services]]
 +
 +
A més, cal assegurar-se que tens ben configurats els registres DNS:
 +
* ''naked domain'' (per exemple: enric.tk)
 +
* el del World Wide Web (per exemple: www.enric.tk)
 +
 +
<br>
 +
 +
== Activem el protocol SSL a Apache ==
 +
La configuració per defecte ja porta uns certificats autofirmats amb els què el nostre servidor funcionarà, tot i que el navegador avisarà que no és una site de confiança.
 +
 +
Els certificats autofirmats solen estar amb el nom ''snakeoil''. Els pots comprovar a l'arxiu
 +
/etc/apache2/sites-available/default-ssl.conf
 +
 +
Els arxius solen ser (només com a referència):
 +
SSLCertificateFile      /etc/ssl/certs/ssl-cert-snakeoil.pem
 +
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
 +
 +
Per activar el protocol cal:
 +
# Obrir el port 443 si estem darrera d'un firewall (és el cas del AWS)
 +
# Instal·lar el mòdul SSL
 +
# Activar la site ''default-ssl''
 +
 +
I ja podem anar a mirar el servidor amb:
 +
https://elmeudomini
  
 
<br>
 
<br>
Línia 28: Línia 57:
 
Assegura't de tenir el HTTPS en marxa, encara que sigui sense els certificats definitius:
 
Assegura't de tenir el HTTPS en marxa, encara que sigui sense els certificats definitius:
 
  $ sudo a2enmod ssl
 
  $ sudo a2enmod ssl
  $ sudo a2ensite default-ssl
+
  $ sudo a2ensite default-ssl.conf
  
 
Segueix els passos d'instal·lació que indica la pàgina de https://gethttpsforfree.com
 
Segueix els passos d'instal·lació que indica la pàgina de https://gethttpsforfree.com

Revisió del 16:55, 16 gen 2019

Intro

Let's Encrypt és un proveïdor de seguretat web entre d'altres, que ens permet certificats gratuïts.

Pots començar a llegir sobre Let's Encrypt aquí:

https://letsencrypt.org/getting-started/


Requeriments

Per a fer aquesta pràctica has de tenir un domini en un servidor públic. Es recomana utilitzar els registrador de dominis gratuïts www.freenom.com i com a servidors AWS: Amazon Web Services

A més, cal assegurar-se que tens ben configurats els registres DNS:

  • naked domain (per exemple: enric.tk)
  • el del World Wide Web (per exemple: www.enric.tk)


Activem el protocol SSL a Apache

La configuració per defecte ja porta uns certificats autofirmats amb els què el nostre servidor funcionarà, tot i que el navegador avisarà que no és una site de confiança.

Els certificats autofirmats solen estar amb el nom snakeoil. Els pots comprovar a l'arxiu

/etc/apache2/sites-available/default-ssl.conf

Els arxius solen ser (només com a referència):

SSLCertificateFile      /etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key

Per activar el protocol cal:

  1. Obrir el port 443 si estem darrera d'un firewall (és el cas del AWS)
  2. Instal·lar el mòdul SSL
  3. Activar la site default-ssl

I ja podem anar a mirar el servidor amb:

https://elmeudomini


Sistema manual

El sistema manual és el més aplicable a qualsevol situació en què hagueu de configurar el vostre Apache amb certificats obtinguts per alguna companyia certificadora com Verisign o Comodo.

Bàsicament el que farem és:

  1. Assegurar-te que tens ben configurats el "naked domain" (elmeudomini.com) i el subdomini web (www.elmeudomini.com) apuntant al teu servidor AWS
  2. Obtenir els certificats de Let's Encrypt
  3. Obrir el port 443 del firewall del servidor AWS
  4. Instal·lar-los al nostre Apache.

Obtenció de certificats

Feu-ho aquí:

https://gethttpsforfree.com/

Pistes:

  • En el punt 4 en què cal posar en marxa un servidor


Instal·lar a Apache

Assegura't de tenir el HTTPS en marxa, encara que sigui sense els certificats definitius:

$ sudo a2enmod ssl
$ sudo a2ensite default-ssl.conf

Segueix els passos d'instal·lació que indica la pàgina de https://gethttpsforfree.com



Sistema automàtic

El sistema automàtic utilitza CERTBOT

https://certbot.eff.org/