Com configurar el certificat SSL gratuït per a Apache a Debian 10


Davant els creixents ciberatacs i incompliments, protegir el vostre lloc web és una prioritat per protegir-vos a vosaltres mateixos i als visitants del vostre lloc dels pirates informàtics. En aquest tutorial, explorem com podeu configurar un certificat SSL gratuït mitjançant Let's Encrypt SSL per a Apache a Debian 10.

Let's Encrypt és un certificat SSL gratuït escrit per l'autoritat de Let's Encrypt que només té una validesa de 90 dies però que es pot renovar en qualsevol moment.

Abans de continuar, què és un certificat SSL? Un certificat SSL és un certificat digital que xifra la comunicació entre un navegador i un servidor web. Aquest xifrat garanteix que qualsevol informació enviada al servidor web és privada i confidencial. Els certificats SSL s'utilitzen habitualment en llocs web de comerç electrònic, llocs web bancaris i plataformes d'enviament/remesa de diners com PayPal, Payoneer i Skrill.

Els llocs web protegits amb SSL tenen un símbol de cadenat a la barra d'URL seguit de l'acrònim https (HyperText Transfer Protocol Secure), tal com es mostra a la captura de pantalla següent.

Si un lloc no està protegit amb un certificat SSL, Google mostrarà un avís No segur abans de l'adreça del lloc web a l'URL.

Abans de començar, assegureu-vos que s'han complert els requisits següents:

  1. Una instància en execució de Debian 10 Minimal Server.
  2. Una instància en execució del servidor web Apache amb la configuració del domini a Debian 10.
  3. Un nom de domini totalment qualificat (FQDN) registrat amb el registre A que apunta a l'adreça IP del sistema Debian 10 Linux del vostre proveïdor de domini.

Per a aquest tutorial, hem apuntat linux-console.net a l'adreça IP 192.168.0.104.

Pas 1: instal·leu Certbot a Debian 10

Per començar, hem d'instal·lar Certbot a la nostra instància Debian 10. Certbot és un programari client d'EFF (Electronic Frontier Foundation) que obté Let's Encrypt SSL i el configura en un servidor web.

Per aconseguir-ho, primer actualitzeu els repositoris del sistema.

$ sudo apt update

A continuació, afegiu el dipòsit al vostre sistema Debian mitjançant l'ordre següent.

$ sudo apt install python-certbot-apache -t buster-backports

Pas 2: obteniu un certificat SSL per al domini

Després d'instal·lar correctament el client certbot, continuem i instal·lem el certificat Let's Encrypt mitjançant l'ordre següent.

$ sudo certbot --apache -d your_domain -d www.your_domain

Això us demanarà immediatament la vostra adreça de correu electrònic tal com es mostra a continuació.

A continuació, se us demanarà que accepteu les Condicions del servei. Escriviu A i premeu Enter.

A més, se us demanarà si esteu disposat a compartir la vostra adreça de correu electrònic amb la fundació EFF i rebre actualitzacions periòdiques sobre el seu treball. Escriviu Y i premeu Enter.

Després, certbot es posarà en contacte amb els servidors de Let's Encrypt i verificarà que el domini que demaneu és un domini registrat i vàlid.

A continuació, se us demanarà si voleu redirigir totes les sol·licituds a HTTPS. Com que estem buscant xifrar l'accés HTTP, escriviu 2 per a la redirecció i premeu ENTER.

I finalment, si tot ha anat bé, rebreu la notificació a continuació que heu activat correctament el protocol HTTPS al vostre servidor web i la data de caducitat del vostre certificat SSL.

Pas 3: permeteu el protocol HTTPS al tallafoc

Si el tallafoc UFW està habilitat, com sempre es recomana per motius de seguretat, cal que permeteu el trànsit HTTPS a través d'ell, en cas contrari, no podrem accedir al nostre lloc des d'un navegador web.

Com que HTTPS s'executa al port 443, obriu el port executant-lo.

$ sudo ufw allow 443/tcp

A continuació, torneu a carregar el tallafoc per efectuar els canvis.

$ sudo ufw reload

Per verificar si els canvis han tingut efecte, executeu l'ordre següent per comprovar l'estat del tallafoc.

$ sudo ufw status

Com podeu veure a la sortida anterior, s'ha obert el port 443.

Pas 4: verifiqueu HTTPS al lloc web

Amb totes les configuracions fetes i espolsades, és hora de comprovar i veure si el nostre servidor web utilitza el protocol https. Aneu al vostre navegador web i escriviu el nom del domini del vostre lloc web a la barra d'URL seguit de l'acrònim https.

Si teniu una mica de curiositat i voleu consultar més informació sobre el certificat SSL, feu clic al símbol del cadenat tal com es mostra.

Al menú desplegable, l'opció Certificat s'indica Vàlid.

Per explorar més informació, feu clic a aquesta opció. Apareix una finestra emergent amb tots els detalls, inclosos l'emissor del certificat (Let's Encrypt Authority), la data d'emissió i la data de caducitat.

També podeu provar el certificat SSL del vostre lloc a https://www.ssllabs.com/ssltest/.

Pas 5: comprovant el certificat SSL de Certbot de renovació automàtica

Certbot renova automàticament el certificat SSL 30 dies abans del seu venciment. Per verificar el procés de renovació, executeu l'ordre següent.

$ sudo certbot renew --dry-run

La sortida següent confirma que tot està bé i que el certificat SSL es renovarà automàticament abans del període de caducitat de 90 dies.

Finalment hem arribat al final d'aquest tutorial. En aquest tutorial, heu après com protegir el servidor web Apache amb Let's Encrypt SSL gratuït. Si teniu algun comentari o consulta, poseu-vos en contacte amb nosaltres.