DevOps Seguridad

Letsencrypt es un servicio para obtener certificados SSL gratuitos de corta duración. Hay una biblioteca de las mismas personas que crearon ese servicio llamada cert-bot. Las instrucciones sobre cómo usarla las puede encontrar aquí en la documentación oficial.

Instalación

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
./certbot-auto

Crear el Certificado para el Dominio

Para fines de demostración, utilizaremos el dominio swapps.com.

Hay 2 métodos: independiente y por raíz web. Dependiendo de lo que use, el comando cambiará:

Standalone

./certbot-auto certonly --standalone -d swapps.com

Webroot

./certbot-auto certonly --webroot --webroot-path /var/www/html/ -d swapps.com

Instale el certificado en el servidor web

Genial, tenemos un nuevo certificado para el dominio. Las siguientes preguntas son: ¿Dónde está ubicado? ¿Como lo instalo?

Si todo fue exitoso, sus archivos de certificado se ubicarán en:

/etc/letsencrypt/live/swapps.com

Y encontrará los siguientes archivos:

cert.pem: The actual certificate.

chain.pem: Certificate from certificate authority.

fullchain.pem: cert.pem + chain.pem

privkey.pem: La clave privada utilizada para firmar el certificado.

Instalar nuevo certificado en el servidor web Apache

En la sección para agregar los certificados de su servidor virtual Apache, deberá agregar algo como esto:

SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/swapps.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/swapps.com/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/swapps.com/chain.pem

Instalar nuevo certificado en el servidor web Nginx

En la sección para agregar los certificados de su vhost Nginx, deberá agregar algo como esto:

ssl on;
ssl_certificate /etc/letsencrypt/live/swapps.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/swapps.com/privkey.pem;

Después de editar los archivos correspondientes, deberá reiniciar el servidor web para que los cambios surtan efecto. Cuando haya terminado, puede ir al sitio web usando https y verá que su nuevo certificado funciona y funciona con Let’s Encrypt.

LEER
Vaya más allá con la automatización: ansible-runner
certbot certificado SSL Let’s Encrypt en Apache Let’s Encrypt en Nginx Let’s Encrypt

Comentarios

Artículos Relacionados

Vaya más allá con la automatización: ansible-runner

En 2015 empezamos a usar Ansible en Swapps. Creé una pequeña aplicación Django que podría interactuar con Ansible directamente, y la usé para administrar nuestra infraestructura a un nivel superior. En aquel entonces, Ansible estaba en la versión 1.9. Ansible está escrito en python, así que solo usé los módulos y comencé los playbooks directamente. […]

Engaño: el mayor agujero de ciberseguridad

En los últimos 2 años, hemos visto tantas vulnerabilidades que afectan a grandes organizaciones que provienen de problemas de software e incluso errores con el protocolo SSL. A pesar de eso, el factor humano sigue siendo el principal problema de seguridad. ¿Por qué forzaría a un sistema a obtener algo si puede obtenerlo usando la […]

¿Es WordPress menos seguro que Drupal?

Recientemente llegó una pregunta de un cliente … “En una reunión hoy, uno de los miembros de nuestra junta con algunos antecedentes cibernéticos preguntó sobre las medidas de seguridad para nuestro sitio web. Sostuvo que WordPress es más pirateable que Drupal y quería saber qué medidas se habían tomado para asegurar el sitio, dado que […]