Obteniendo Certificado SSL con “Let’s Encrypt”

“Let’s encrypt” es un centro de certificación automatizado que proporciona certificados SSL.

Para obtener un certificado para un dominio, el solicitante debe probar que posee ese dominio. La confirmación funciona de la siguiente manera: se instala una aplicación certbot en el servidor del sitio web del dominio. Esta aplicación descarga un archivo determinado (archivo de verificación) del servidor de Let’s encrypt. La aplicación bot crea un directorio .well-known dentro del directorio del servidor web y coloca el archivo de verificación dentro de él.

En la segunda etapa del proceso de confirmación, Let’s encrypt descarga el archivo de verificación desde el dominio del servidor que está verificando. Si el archivo está disponible, Let’s encrypt compara su nombre y contenido con su propio archivo de verificación. Si todo es correcto, Let’s encrypt envía 3 certificados SSL y un archivo que incluye una clave privada.

Para finalizar la configuración del certificado, accede a la consola de administración del servidor de tu sitio e instala la aplicación certbot. Para la guía de instalación, consulta el sitio web oficial.

Selecciona tu servidor web y el sistema operativo en el que está ejecutándose el sitio. Existen plugins especiales para Apache y Nginx que permiten realizar la instalación en modo interactivo. No pudimos obtener certificados utilizando los plugins, por eso recomendamos emplear el método webroot.

Para los fines de esta guía hemos instalado un servidor Apache en la máquina virtual de Azure. Apache incluye un host virtual para que certbot coloque el archivo de verificación. Luego utilizamos el siguiente comando:

para solicitar y obtener certificados SSL para el dominio ineedcertfromletsencrypt.tk. Es un dominio gratuito registrado con el propósito de esta instrucción. /etc/httpd/www en la línea de comando es la ruta al directorio del host virtual.

Independientemente del servidor web que estés utilizando para tu dominio, hay algunas condiciones importantes para obtener los certificados.

1. El servidor web debe escuchar en los puertos 80 y 443
2. El acceso a los contenidos del host debe estar abierto. Se requiere acceso con la URL del siguiente formato: http://domainname.com/.wellknown/checkfile donde domainname es el nombre del dominio para el cual necesitas recibir un certificado, y checkfile es el nombre del archivo de prueba.
3. Certbot debe estar autorizado para escribir y leer en la carpeta /.well-known y para crear subdirectorios dentro de la carpeta (.well-known para ser exactos).

Si has cumplido con todas las condiciones y el proceso de certificación ha finalizado con éxito, encontrarás tus certificados dentro de la carpeta /etc/letsencrypt/archive/ ( es el nombre de tu dominio).

Nota importante: podrías fallar al intentar obtener un certificado para un subdominio porque Let’s encrypt solo trabaja con el dominio de nivel superior. Por lo tanto, intentamos obtener un certificado para el dominio letsencrypt.westus.cloudapp.azure.com pero Let’s encrypt respondió que habíamos excedido el límite de certificados para el dominio azure.com. Por eso registramos un dominio gratuito ineedcertfromletsencrypt.tk e hicimos una redirección a letsencrypt.westus.cloudapp.azure.com.

Como último paso, pega la clave privada y el certificado que obtuviste en el archivo appfirewall.pem ubicado en la carpeta de instalación de DataSunrise.