¿Cómo instalo un certificado SSL de Let's Encrypt comodín en Amazon Lightsail?

6 minutos de lectura
0

Quiero instalar un certificado SSL comodín para mi sitio web en una instancia de Amazon Lightsail.

Breve descripción

La siguiente resolución cubre la instalación de un certificado SSL de Let's Encrypt comodín para sitios web alojados en una instancia de Lightsail sin una pila de Bitnami. Entre los ejemplos de estos planos de instancia se incluyen Amazon Linux 2 o Ubuntu. Si tiene un esquema de instancia diferente o quiere instalar un certificado estándar, consulte una de las siguientes opciones:

Resolución

Nota: Antes de empezar, instale la herramienta Certbot. Para obtener instrucciones de instalación, consulte ¿Cómo instalo el paquete Certbot en mi instancia de Lightsail para la instalación del certificado Let's Encrypt?

El método para instalar un certificado SSL de Let's Encrypt comodín en su instancia de Lightsail depende del proveedor de DNS de su dominio. Para empezar, compruebe si su proveedor de DNS aparece en los complementos de DNS en el sitio web de Certbot. Los siguientes métodos explican cómo instalar el certificado en el servidor. Debe completar los pasos adicionales de forma manual. Por ejemplo, debe configurar el servidor para usar el certificado y debe configurar la redirección HTTPS.

Si su dominio usa uno de los proveedores de DNS de la lista

En el siguiente ejemplo, el proveedor de DNS es Amazon Route 53. Para obtener instrucciones para otros proveedores de DNS compatibles, consulte los complementos de DNS en el sitio web de Certbot.

  1. Cree un usuario de AWS Identity y Access Management (IAM) con acceso programático. Para conocer los permisos mínimos de usuario de IAM necesarios para que Certbot complete el desafío de DNS, consulte certbot-dns-route-53 en el sitio web de Certbot.

  2. Para abrir el archivo /root/.aws/credentials en el editor nano, ejecute los siguientes comandos:

    sudo mkdir /root/.aws
    sudo nano /root/.aws/credentials
  3. Copie las siguientes líneas en el archivo:

    [default]
    aws_access_key_id = AKIA************E
    aws_secret_access_key = 1yop**************************l

    Nota: Sustituya aws_access_key_id por el ID de la clave de acceso creada en el paso 1.

  4. Para guardar el archivo, pulse CtrlX, luego pulse Y y, a continuación, pulse INTRO.

  5. Cree un certificado de Let's Encrypt en el servidor. Si su dominio usa Amazon Route 53 como proveedor de DNS, ejecute el siguiente comando:

    sudo certbot certonly --dns-route53 -d example.com -d *.example.com

    Nota: Sustituya example.com por su nombre de dominio.

  6. Cuando Certbot genere el certificado SSL, recibirá el mensaje Certificado recibido correctamente. También se proporcionan las ubicaciones de los archivos de certificados y claves. Copie estas ubicaciones de archivos en un archivo de texto para utilizarlas en el paso 8.

  7. Configure la renovación automática de certificados.
    Si se usa snapd para instalar el paquete Certbot, la renovación se configura automáticamente en los temporizadores o cronjobs de systemd.
    Si la distribución del sistema operativo es Amazon Linux 2 o FreeBSD, el paquete Certbot no está instalado con snapd. Para configurar la renovación manualmente, ejecute el siguiente comando:

    echo "30 0,12 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew" | sudo tee -a /etc/crontab > /dev/null
  8. Ya ha instalado el certificado y configurado la renovación. Sin embargo, aún debe configurar su servidor web para usar este certificado y también debe configurar la redirección HTTPS. La configuración depende de la configuración del servidor web de la instancia. Consulte la documentación del servicio web para obtener instrucciones de configuración.

Si su dominio no usa uno de los proveedores de DNS de la lista

Nota: Este método no admite la renovación automática de certificados.

En los pasos siguientes, agregue registros TXT en el proveedor de DNS del dominio. Este proceso puede llevar algún tiempo. Se recomienda ejecutar comandos en Linux GNU Screen para evitar que se agote el tiempo de espera de la sesión.

  1. Para iniciar una sesión en Screen, introduzca el siguiente comando:

    screen -S letsencrypt
  2. Para iniciar Certbot en modo interactivo, introduzca el siguiente comando. Este comando indica a Certbot que utilice un método de autorización manual con desafíos de DNS para verificar la propiedad del dominio.

    sudo certbot certonly --manual --preferred-challenges dns -d example.com -d *.example.com

    Nota: Sustituya example.com por su nombre de dominio.

  3. Certbot le pide que añada registros TXT a los registros DNS de su dominio. Esta acción verifica que es el propietario del dominio especificado. Let's Encrypt proporciona uno o varios registros TXT para usarlos para la verificación.

  4. Cuando vea un registro TXT en la pantalla, agregue el registro proporcionado en el DNS de su dominio. Nota: No presione INTRO hasta que confirme que el registro TXT se ha propagado al DNS de Internet. No presione Ctrl + D porque esa acción termina la sesión de pantalla actual.

  5. Para confirmar que el registro TXT se propagó al DNS de Internet, búsquelo en DNS Text Lookup en el sitio web de MX Toolbox. Para ejecutar la comprobación, introduzca el siguiente texto en el cuadro de texto y seleccione TXT Lookup:

    _acme-challenge.example.com

    Nota: Sustituya example.com por su nombre de dominio.

  6. Si sus registros TXT se propagan al DNS de Internet, verá el valor del registro TXT en la página. Vuelva a la pantalla y pulse INTRO.
    Nota: Si se le elimina del shell, vuelva a usar el comando screen -r SESSIONID para volver. Para buscar el ID de sesión, ejecute el comando screen -ls.

  7. Si el mensaje de Certbot le pide que añada otro registro TXT, repita los pasos 4 a 6.

  8. Cuando Certbot genere el certificado SSL, recibirá el mensaje Certificado recibido correctamente. También se proporcionan las ubicaciones de los archivos de certificados y claves. Copie estas ubicaciones de archivos en un archivo de texto para utilizarlas en el paso 9.

  9. Ya ha instalado el certificado y configurado la renovación. Sin embargo, aún debe configurar su servidor web para usar este certificado y también debe configurar la redirección HTTPS. La configuración depende de la configuración del servidor web de la instancia. Consulte la documentación del servicio web para obtener instrucciones de configuración.

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 10 meses