IMPORTANT: Per accedir als fitxer de subversion: http://acacha.org/svn (sense password). Poc a poc s'aniran migrant els enllaços. Encara però funciona el subversion de la farga però no se sap fins quan... (usuari: prova i la paraula de pas 123456)

Introducció

Let’s Encrypt is a free, automated, and open Certificate Authority. Vegeu https://letsencrypt.org/

Instal·lació

Executeu:

$ sudo apt-get install letsencrypt

Bàsicament instal·la la comanda letsencrypt

$ dpkg -L letsencrypt 
/.
/usr
/usr/share
/usr/share/doc
/usr/share/doc/letsencrypt
/usr/share/doc/letsencrypt/README.rst.gz
 /usr/share/doc/letsencrypt/copyright
/usr/share/man
/usr/share/man/man1
/usr/share/man/man1/letsencrypt.1.gz
/usr/bin
/usr/bin/letsencrypt
/usr/share/doc/letsencrypt/changelog.Debian.gz

Ús

Ara només cal que identifiqueu dos coses:

  • L'arrel del vostre projecte (important carpeta publica!): per exemple /var/www/html/demo.adminlte.acacha.org/public
  • El domini de la vostra aplicació: per exemple demo.adminlte.acacha.org

I executeu:

$ sudo letsencrypt certonly --webroot -w YOUR_WEB_ROOT_PATH -d YOUR_DOMAIN/SUBDOMAIN

Segons l'exemple:

$ sudo letsencrypt certonly --webroot -w /var/www/html/demo.adminlte.acacha.org/public -d demo.adminlte.acacha.org

S'executarà un assistent (ho potser no?), vegem els passos. Us preguntarà una adreça de email de l'administrador:

Fitxer:LetsEncryptWizard1

Us preguntarà per acceptar els Termes de servei:

Fitxer:LetsEncryptWizard2

Utilitza el challenge http-01 que consisteix a crear un fitxer public a la vostra aplicació concretament segons l'exemple a:

 ls /var/www/html/demo.adminlte.acacha.org/public.well-known

Si tot va bé us haurà creat els certificats a:

/etc/letsencrypt/live/NOM_DEL_DOMINI

On a live sempre hi ha el certificat actual (s'han de renovar periodicament).

Ara només cal configurar el site nginx per a utilitzar el certificat posant les línies:

   listen 443 ssl http2;
   ssl_certificate /etc/letsencrypt/live/NOM_DOMINI/fullchain.pem;
   ssl_certificate_key /etc/letsencrypt/live/NOM_DOMINI/privkey.pem;

El tema de la renovació del certificat es fa (compte no estigui fet ja per altres dominis) amb un cron per automatitzar:

$ sudo crontab -l
30 2 * * 1 /usr/bin/letsencrypt renew >> /var/log/le-renew.log

Challenge

HTTP Challenge

DNS Challenge

És útil si no tenim accés al servidor via port 80 o 443. Procediment manual:

$ certbot -d todosbackend.2dam.acacha.org --manual --preferred-challenges dns certonly

La comanda letsncrypt no sembla suporti --preferred-challenges:

$ letsencrypte certonly -d todosbackend.2dam.acacha.org --manual

Resources:

Exemple

$ sudo letsencrypt certonly --webroot -w /var/www/html/demo.adminlte.acacha.org/public -d demo.adminlte.acacha.org

Vegeu també

Enllaços externs