Let's Encrypt

Let’s Encrypt es un proyecto OpenSource de la Internet Security Research Group (ISRG) y forma parte de la Linux Foundation como un proyecto colaborativo. Su  principal objetivo es crear un Internet mas seguro, y esto lo logra entregando certificados SSL/TLS a cualquier persona o empresa que lo requiera sin ningún costo.

Cuenta con el apoyo de grandes empresas como Google, Cisco, Facebook, HP, y Mozilla dando mayor soporte, seguridad y credibilidad de su funcionamiento.

En este articulo explicaremos como realizar su instalación en CentOS, ya que el script por defecto viene construido para Debian.

REQUISITOS:

  1. Tener un Dominio previamente registrado
  2. Un servidor con Apache
  3. Tener instalado el modulo mod_ssl
  4. Tener instalado git

INSTALACIÓN

Después de Validar y cumplir con los requisitos procedemos con la descarga de Let’s Encrypt

  • Descargar Let’s Encrypt

Let's Encrypt

  • Descargar el Certificado e Instalar certificado, es probable que inicie el proceso de descarga de dependencias extras. (Cambia www.sugeek.co por tu FQDN)

Let's Encrypt

  • Aceptamos los términos de uso e indicamos un correo de contacto, el cual debe de estar asociado al dominio, ya con eso tenemos nuestro certificado creado y descargado, tal cual como dice la nota final.

Let's Encrypt

HABILITAR SITIO CON EL CERTIFICADO

Recomendamos seguir nuestro vídeo de Instalación de LAMP, o para hacerlo mas fácil, copiamos las siguientes lineas en el archivo ssl.conf que se encuentra ubicado en /etc/httpd/conf.d/ssl.conf  (No olvide crear un backup del archivo).

LoadModule ssl_module modules/mod_ssl.so
Listen 443
NameVirtualHost *:443
SSLPassPhraseDialog  builtin
SSLSessionCacheTimeout  300
SSLRandomSeed startup file:/dev/urandom  256
SSLRandomSeed connect builtin
SSLCryptoDevice builtin
SSLStrictSNIVHostCheck off

<VirtualHost *:443>
DocumentRoot /var/www/html/sugeek
ServerName www.sugeek.co
ServerAlias sugeek.co
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
SSLCertificateFile /etc/letsencrypt/live/www.sugeek.co/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.sugeek.co/privkey.pem

ErrorLog logs/ssl_error_log
TransferLog logs/ssl_access_log
LogLevel warn
<Files ~ “\.(cgi|shtml|phtml|php3?)$”>
SSLOptions +StdEnvVars
</Files>
SetEnvIf User-Agent “.*MSIE.*” \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
CustomLog logs/ssl_request_log \
“%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \”%r\” %b”
</VirtualHost>

Let's Encrypt

RENOVAR CERTIFICADO

Como se evidencia en la imagen anterior, el certificado solo esta valido hasta el 17 de noviembre de 2016, los certificados solo se expiden por 3 meses, así que es necesario renovarlo ca constantemente, para ello solo basta con ejecutar los siguientes comandos. Recuerde cambiar www.sugeek.co por su respectivo FQDN.

Let's Encrypt

Es importante resaltar que solo los últimos navegadores soportan este certificado.