Lets Encrypt

De Wiki Projeto Root
Ir para navegação Ir para pesquisar

Sobre

Olá! Visitante, reunimos aqui, informações sobre Certificado Digital SSL/TLS Gratuito, conhecido como Let's Encrypt, vamos instalar o certificado SSL/TLS no Servidor Apache com o CMS WordPress. O Let's Encrypt é um certificado SSL gratuito. Ele é um projeto da Linux Foundation com o intuito de popularizar e difundir a utilização de criptografia na web facilitando a aquisição e a instalação de certificados SSL.

Vídeo

Link: https://youtu.be/qjHxcwUx9x0

Instalando LetsEncrypt (Certificado SSL/TLS Free)


1 - Habilitar o modulo de ssl

  a2enmod ssl
  a2ensite default-ssl.conf

2 - Instalar o Git

  apt-get install git

3 - Entrar no local correto para instalar o Letsencrypt

  cd /usr/local

4 - Clonar o Letsencript (assim pegando a última versão)

  git clone https://github.com/letsencrypt/letsencrypt

5 - Entrar na pasta do Letsencrypt

  cd /usr/local/letsencrypt

6 - Executar o Letsencrypt com o parâmetro para o domínio escolhido

  ./letsencrypt-auto --apache -d dominio.com.br 

em caso de múltiplos nomes/domínios utilizar desta forma:

  ./letsencrypt-auto --apache -d dominio.com.br -d www.dominio.com.br -d www2.dominio.com.br

7 - Configure o e-mail caso de expiração do certificado [email protected]

8 - Agree/Aceito nos termos

9 - Selecione o arquivo onde ficara as entradas do SSL

000-default-le-ssl.conf

10 - Selecione modo fácil (aceita http e https) ou modo seguro (redireciona tudo para https)

11 - OK para finalizar


Renovar de forma Manual e de forma Automática o LetsEncrypt

1 - Executar o comando para fazer de maneira manual a cada 3 meses

  /usr/local/letsencrypt/letsencrypt-auto renew

2 - Agendar no Crontab

  crontab -e

Adicionar o agendamento para as 02:00 de todos os dias o comando com saida de log em /var/log/le-renew.log

  00 02 * * * /usr/local/letsencrypt/letsencrypt-auto renew >> /var/log/le-renew.log

3 - Criar o arquivo de log

  touch /var/log/le-renew.log


Revogar/Remover/Cancelar Certificado LetsEncrypt

1 - entrar no caminho do letsencrypt

  cd /usr/local/letsencrypt 

2 - executar o comando para revogar

  ./letsencrypt-auto revoke -d dominio.com.br --cert-path /etc/letsencrypt/live/dominio.com.br/cert.pem

3 - Restart no servidor

  /etc/init.d/apache2 restart

Aumentando a Segurança com Strict Transport Security

1 - Habilitar o modulo headers

  a2enmod headers

2 - Editar 000-default-le-ssl.conf

  nano /etc/apache2/sites-enabled/000-default-le-ssl.conf 

3 - Adicionar a linha abaixo antes de (/VirtualHost) *max-age é tempo em segundos (01 ano)

  Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

4 - /etc/init.d/apache2 restart

Extra

Documentação

Client Admin Guide

https://letsencrypt.readthedocs.org/en/latest/

Comandos

Gerar ou renovar certificado:

systemctl stop httpd
./letsencrypt-auto certonly -a standalone --server https://acme-v01.api.letsencrypt.org/directory --agree-dev-preview


Linux

Instalação em Linux.

Comandos

git clone https://github.com/certbot/certbot
cd certbot
./certbot-auto --help (apenas para testar o comando)

parar o apache ou nginx

./certbot-auto certonly --standalone -d www.meusite.com.br

verificar os confs e iniciar o apache ou nginx

Windows

Instalação em Windows.

Processo

Fazer o download do letencrypt-win-simple e descompactar:

https://github.com/Lone-Coder/letsencrypt-win-simple
https://github.com/Lone-Coder/letsencrypt-win-simple/releases/download/v1.9.1/letsencrypt-win-simple.V1.9.1.zip  (atual)

Parar o IIS.
Fazer um backup do web.config

Entrar na pasta e executar o ./letsencrypt
Vai executar um menu interativo onde deve ser escolhido o site a ser instalado

Caso dê erro, talvez seja necessário:

Ir no IIS, selecionar o servidor e ir em Handler Mappings
Clicar em View Ordered List
Passar Static File para cima dos Extensionless*.

Revisar se foram feitas alterações no web.config e startar o IIS.

CertBot

Projeto CertBot ( https://certbot.eff.org/ )

Atualização por DNS

certbot -d dominio.com.br --manual --preferred-challenges dns certonly

Please deploy a DNS TXT record under the name _acme-challenge.dominio.com with the following value:

667drNmQL3vX6bu8YZlgy0wKNBlCny8yrjF1lSaUndc

Once this is deployed, Press ENTER to continue