Come posso installare un certificato SSL Let's Encrypt wildcard in Amazon Lightsail?

Breve descrizione

La seguente risoluzione riguarda l'installazione di un certificato SSL Let's Encrypt con caratteri jolly per i siti Web ospitati in un'istanza Lightsail senza uno stack Bitnami. Esempi di questi modelli di istanze includono Amazon Linux 2 o Ubuntu. Se hai un blueprint di istanza diverso o desideri installare un certificato standard, consulta una delle seguenti opzioni:

• Per installare un certificato SSL Let's Encrypt standard (non con carattere jolly) in un'istanza Lightsail senza uno stack Bitnami, come Amazon Linux 2 o Ubuntu, vedi Come posso installare un certificato SSL Let's Encrypt in uno stack Bitnami in Lightsail?
• Per installare un certificato SSL Let's Encrypt standard (non con carattere jolly ) in un'istanza Lightsail con uno stack Bitnami, come WordPress, LAMP o Magento, vedi Come installare un certificato SSL Let's Encrypt standard in uno stack Bitnami ospitato su Lightsail?
• Per installare un certificato Let's Encrypt con caratteri jolly in un'istanza Lightsail con uno stack Bitnami, come WordPress, LAMP, Magento o MEAN, vedi Come faccio a installare un certificato SSL Let's Encrypt con caratteri jolly in Amazon Lightsail?

Risoluzione

**Nota:**prima di iniziare, installa lo strumento Certbot. Per le istruzioni di installazione, vedi Come posso installare il pacchetto Certbot nella mia istanza Lightsail per l'installazione del certificato Let's Encrypt?

Il metodo per installare un certificato SSL Let's Encrypt con caratteri jolly sulla tua istanza Lightsail dipende dal provider DNS del tuo dominio. Per iniziare, verifica se il tuo provider DNS appare nei Plugin DNS sul sito web di Certbot. I seguenti metodi spiegano come installare il certificato nel server. È necessario completare manualmente i passaggi aggiuntivi. Ad esempio, è necessario configurare il server per utilizzare il certificato e configurare il reindirizzamento HTTPS.

Se il tuo dominio utilizza uno dei provider DNS elencati

Nel seguente esempio, il provider DNS è Amazon Route 53. Per istruzioni per altri provider DNS supportati, consulta i Plugin DNS sul sito Web Certbot.

1. Crea un utente AWS Identity and Access Management (IAM) con accesso programmatico. Per le autorizzazioni utente IAM minime richieste a Certbot per completare la sfida DNS, vedi certbot-dns-route-53 sul sito web di Certbot.

2. Per aprire il file /root/.aws/credentials nell'editor nano, esegui i seguenti comandi:

   sudo mkdir /root/.aws
   sudo nano /root/.aws/credentials

3. Copia le seguenti righe nel file:

   [default]
   aws_access_key_id = AKIA************E
   aws_secret_access_key = 1yop**************************l

   **Nota:**sostituisci aws\ _access\ _key\ _id con l'ID della chiave di accesso creato nel passaggio 1.

4. Per salvare il file, premi Ctrl + X, quindi Y e infine premi INVIO.

5. Crea un certificato Let's Encrypt nel server. Se il tuo dominio utilizza Amazon Route 53 come provider DNS, esegui il comando seguente:

   sudo certbot certonly --dns-route53 -d example.com -d *.example.com

   Nota: sostituisci example.com con il tuo nome di dominio.

6. Dopo che Certbot ha generato il certificato SSL, riceverai il messaggio Certificato ricevuto correttamente. Vengono inoltre forniti il certificato e le posizioni dei file chiave. Copia queste posizioni dei file in un file di testo da utilizzare nel passaggio 8.

7. Configura il rinnovo automatico del certificato.
   Se il pacchetto Certbot è installato con snapd, il rinnovo viene configurato automaticamente in systemd timers o cronjobs.
   Se la distribuzione del sistema operativo è Amazon Linux 2 o FreeBSD, il pacchetto Certbot non viene installato con snapd. Per configurare il rinnovo manualmente, esegui il comando seguente:

   echo "30 0,12 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew" | sudo tee -a /etc/crontab > /dev/null

8. Ora hai installato il certificato e impostato il rinnovo. Tuttavia, devi comunque configurare il tuo server web per utilizzare questo certificato e devi anche impostare il reindirizzamento HTTPS. La configurazione dipende dalla configurazione del server Web dell'istanza. Per le istruzioni di configurazione, fare riferimento alla documentazione del servizio Web.

Se il tuo dominio non utilizza uno dei provider DNS elencati

**Nota:**questo metodo non supporta il rinnovo automatico dei certificati.

Nei passaggi seguenti, aggiungi i record TXT nel provider DNS del dominio. Questo processo potrebbe richiedere del tempo. È consigliabile eseguire comandi in Linux GNU Screen per evitare il timeout della sessione.

1. Per avviare una sessione Screen, immetti il seguente comando:

   screen -S letsencrypt

2. Per avviare Certbot in modalità interattiva, inserisci il seguente comando. Questo comando indica a Certbot di utilizzare un metodo di autorizzazione manuale con sfide DNS per verificare la proprietà del dominio.

   sudo certbot certonly --manual --preferred-challenges dns -d example.com -d *.example.com

   Nota: sostituisci example.com con il tuo nome di dominio.

3. Certbot ti chiede di aggiungere record TXT ai record DNS del tuo dominio. Questa azione verifica che tu sia il proprietario del dominio specificato. Let's Encrypt fornisce uno o più record TXT da utilizzare per la verifica.

4. Quando vedi un record TXT sullo schermo, aggiungi il record fornito al DNS del tuo dominio. **Nota:**non premere INVIO finché non si conferma che il record TXT viene propagato al DNS Internet. Non premere Ctrl + D perché quell'azione interrompe la sessione dello schermo corrente.

5. Per confermare che il record TXT è stato propagato al DNS Internet, cercalo sul DNS Text Lookup sul sito Web di MX Toolbox. Per eseguire il controllo, inserisci il testo seguente nella casella di testo, quindi scegli TXT Lookup:

   _acme-challenge.example.com

   Nota: sostituisci example.com con il tuo nome di dominio.

6. Se i record TXT vengono propagati al DNS Internet, nella pagina viene visualizzato il valore del record TXT. Torna alla schermata e premi ENTER.
   **Nota:**se vieni rimosso dalla shell, usa il comando screen -r SESSIONID per rientrare. Per trovare l'ID della sessione, esegui il comando screen -ls.

7. Se il prompt di Certbot ti chiede di aggiungere un altro record TXT, ripeti i passaggi 4-6.

8. Dopo che Certbot ha generato il certificato SSL, riceverai il messaggio Certificato ricevuto correttamente. Vengono inoltre forniti il certificato e le posizioni dei file chiave. Copia queste posizioni dei file in un file di testo da utilizzare nel passaggio 9.

9. Ora hai installato il certificato e impostato il rinnovo. Tuttavia, devi comunque configurare il tuo server web per utilizzare questo certificato e devi anche impostare il reindirizzamento HTTPS. La configurazione dipende dalla configurazione del server Web dell'istanza. Per le istruzioni di configurazione, fare riferimento alla documentazione del servizio Web.