Let's Encrypt

Let's Encrypt este o autoritate globală de certificare (CA). Pune la îndemâna oamenilor și organizațiilor din întreaga lume să obțină, să reînnoiască și să gestioneze certificate SSL / TLS. Certificatele celor de la Let's Encrypt pot fi utilizate de site-uri web pentru a permite conexiuni HTTPS securizate.

Instalare

Din git

Pentru utilizarea serviciului este de preferat a se folosi clientul Certbot.
În Debian există pachetul certboot ce poate fi instalat, dar se poate și ultima variantă din git:
cd /opt
daca nu este instalat pachetul git îl instalăm:
apt install git
git clone https://github.com/certbot/certbot /opt/certbot

dupa clonare intrăm în directorul certboot:
cd certboot
unde lansăm comanda pentru obținerea certificatelor:
./letsencrypt-auto certonly --standalone -d yo8tff.ro -d www.yo8tff.ro -d yo8tff.hamradio.ro -d florintanasa.sytes.net

dacă răspunsul este ca cel de mai jos:

va trebui să oprim serviciul apache sau oricare altă aplicație ce ține ocupat portul 80:
systemctl stop apache2
și sa reluam comanda de obținere a certificatului:

dacă se obține un ecran ca cel de mai sus atunci comanda a fost rulată cu succes și avem cheile în directorul live/etc/letsencrypt/live/nume_domeniu:
ls /etc/letsencrypt/live/yo8tff.ro/

Putem reactualiza cheile folosind comanda:
/opt/certbot/letsencrypt-auto renew

Pentru rularea automată a comenzii, de exemplu în ziua de 01 a fiecărei luni, putem folosi serviciul crontab:
crontab -e

0 0 1 * * letsencrypt-auto renew

putem vedea comenzile ce urmează executate de crontab cu:
crontab -l

Util un "guru" pentru crontab.

Din pachetele distribuției în Ubuntu

Instalrea este mai lesne pentru începători.
Pentru început face update și upgrade.

apt update && apt upgrade

După care vom instala pachetul certbot și python3-certbot-apache, ultimul fiind necesar pentru a realiza în mod automat update cheilor la autoritate.

apt install certbot python3-certbot-apache

Pentru a obține și configura automat SSL pentru serverul web Apache, Certbot trebuie să găsească gazda virtuală corectă în fișierele de configurare Apache (/etc/apache2/sites-available/domeniu.conf). Numele de domeniu al serverului vor fi preluate de la ServerName (ServerName domeniu) și ServerAlias (ServerAlias www.domeniu) definite în cadrul gazdei virtuale de configurare (/etc/apache2/sites-available/domeniu.conf).

Verificăm dacă fisierul de configurare a hostului sau virtual hosturilor este configurat corect:

apache2ctl configtest

Rulăm solicitarea cheilor:

certbot --apache

După ce introducem un email valid și răspundem că suntem de acord cu termenii de la Let's Encrypt și dacă ne abonăm cu emailul la Electronic Frontier Foundation, aici se poate răspunde cu N (Nu) dar eu am răspuns cu da, va trebui să indicăm la care din nume ale hostului (cele scrise la ServerName și ServerAlias) dorim activarea cheilor și conexiunilor ssl.

Deoarece cheile sunt valide numai 90 de zile, din motive de siguranță, va trebui să verficăm dacă servicul de actualizare a cheilor, care verifică de două ori pe zi dacă sunt chei a călor valabilitate este mai mica de 30 de zile, este pornit:

systemctl status certbot.timer

Vom verifica (simulând o actualizare) dacă servicul automat de actualizare este funcțional:

certbot renew --dry-run

root@srv:~# certbot renew --dry-run
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/domeniu.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Account registered.
Simulating renewal of an existing certificate for domeniu

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations, all simulated renewals succeeded: 
  /etc/letsencrypt/live/domeniu/fullchain.pem (success)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Astfel de acum inainte vom avea cheile actualizate și la termen :)