Come posso installare un certificato SSL Let's Encrypt standard in un'istanza Lightsail?

Breve descrizione

La seguente risoluzione riguarda l'installazione di un certificato SSL Let's Encrypt standard per i siti Web ospitati in istanze Lightsail che non utilizzano uno stack Bitnami. Esempi di questi blueprint delle istanze includono Amazon Linux 2, Ubuntu e così via. Se disponi di un blueprint dell'istanza diverso o desideri installare un certificato standard, consulta una delle seguenti opzioni:

Certificati Let's Encrypt standard

Per informazioni sull'installazione di un certificato SSL Let's Encrypt standard (senza caratteri jolly) in un'istanza Lightsail con uno stack Bitnami, come WordPress, LAMP, Magento e così via, consulta Come posso installare un certificato SSL Let's Encrypt standard su uno stack Bitnami con hosting in Amazon Lightsail?

Certificati Let's Encrypt con caratteri jolly (ad esempio, *.example.com)

Per informazioni sull'installazione di un certificato Let's Encrypt con caratteri jolly in un'istanza Lightsail con uno stack Bitnami, come WordPress, Lamp, Magento, MEAN e così via, consulta Come posso installare un certificato SSL Let's Encrypt con caratteri jolly su uno stack Bitnami con hosting in Amazon Lightsail?

Per informazioni sull'installazione di un certificato Let's Encrypt con caratteri jolly in un'istanza Lightsail che non utilizza con uno stack Bitnami, come Amazon Linux 2, Ubuntu e così via, consulta Come posso installare un certificato SSL Let's Encrypt con caratteri jolly in Amazon Lightsail?

Risoluzione

Prerequisiti e limitazioni

• I seguenti passaggi illustrano l'installazione del certificato nel server. Devi completare manualmente ulteriori passaggi, ad esempio la configurazione del certificato e l'impostazione del reindirizzamento HTTPS.
• Assicurati che il dominio punti all'istanza Lightsail direttamente o tramite un bilanciatore del carico o una distribuzione. Per completare la verifica del certificato, assicurati che l'URL del sito Web non restituisca errori provenienti dal bilanciatore del carico o dalla distribuzione nel browser Web.

Nota: questo metodo richiede l'installazione dello strumento Certbot prima di iniziare. Per istruzioni sull'installazione, consulta Come posso installare il pacchetto Certbot nella mia istanza Lightsail per l'installazione di Let's Encrypt?

1.    Interrompi il servizio Web in esecuzione nell'istanza. Di seguito sono riportati alcuni comandi di esempio per diverse distribuzioni Linux:

Servizio Web Apache nelle distribuzioni Linux come Amazon Linux 2, CentOS e così via

sudo service httpd stop

Servizio Web Apache nelle distribuzioni Linux come Ubuntu, Debian e così via

sudo service apache2 stop

Servizio Web NGINX

sudo service nginx stop

2.    Esegui il seguente comando per installare il certificato SSL. Assicurati di sostituire example.com con il tuo nome di dominio.

sudo certbot certonly --standalone -d example.com -d www.example.com

Dopo che il certificato SSL è stato generato correttamente, riceverai il messaggio "Successfully received certificate" (Certificato ricevuto correttamente). Vengono inoltre forniti i percorsi del certificato e dei file chiave. Salva questi percorsi di file in un blocco note per utilizzarli nel passaggio 5.

3.    Avvia il servizio Web. Di seguito sono riportati alcuni comandi di esempio per diverse distribuzioni Linux:

Servizio Web Apache nelle distribuzioni Linux come Amazon Linux 2, CentOS e così via

sudo service httpd start

Servizio Web Apache nelle distribuzioni Linux come Ubuntu, Debian e così via

sudo service apache2 start

Servizio Web NGINX

sudo service nginx start

4.    Imposta il rinnovo automatico del certificato.

Se il pacchetto Certbot è stato installato utilizzando snapd, il rinnovo viene configurato automaticamente nei timer systemd o nei cronjobs. Tuttavia, poiché il servizio Web deve essere arrestato prima di eseguire il comando Certbot, è necessario automatizzare l'arresto e l'avvio del servizio Web. Per impostare questa automazione, esegui i comandi seguenti. L'esempio seguente utilizza Apache2 come servizio Web. Sostituisci il codice e il comando stop-start in base al tuo servizio Web.

sudo sh -c 'printf "#!/bin/sh\n service apache2 stop \n" > /etc/letsencrypt/renewal-hooks/pre/webservice.sh'
sudo sh -c 'printf "#!/bin/sh\n service apache2 start \n" > /etc/letsencrypt/renewal-hooks/post/webservice.sh'
sudo chmod 755 /etc/letsencrypt/renewal-hooks/*/webservice.sh

Se la distribuzione Linux è Amazon Linux 2 o FreeBSD, il pacchetto Certbot non viene installato usando snapd. In questo caso, dovrai configurare il rinnovo manualmente eseguendo il comando seguente. L'esempio seguente utilizza Apache2 come servizio Web. Sostituisci il codice e il comando stop-start in base al tuo servizio Web.

echo "30 0,12 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew --pre-hook 'service apache2 stop' --post-hook 'service apache2 start'" | sudo tee -a /etc/crontab > /dev/null

5.     Solo l'installazione del certificato e la configurazione del rinnovo sono completate. Dovrai comunque configurare il server Web per utilizzare questo certificato e impostare il reindirizzamento HTTPS. Questa configurazione varia e dipende dall'impostazione del server Web nella tua istanza. Consulta la documentazione ufficiale relativa al tuo servizio Web per istruzioni su come completare questi passaggi.

---