Acquisizione del certificato TLS tramite il protocollo ACME su Linux
Le seguenti istruzioni ti aiuteranno a conseguire l'emissione automatica e la successiva installazione automatica dei certificati sul tuo server Linux utilizzando Certbot, strumento di gestione e rimozione automatica dei certificati. Le istruzioni sono state redatte per il server web Apache ma Certbot può essere utilizzato anche per Nginx, Haproxy e Plesk. Si tratta di un software open source, quindi liberamente disponibile.
Preparazione alla certificazione
Prima di automatizzare l'acquisizione e l'installazione di un certificato è necessario contattare il nostro team di assistenza ed eseguire una semplice preparazione specifica per ogni cliente.
- Il primo passo consiste nell'autenticare la tua azienda e i domini che desideri proteggere. La cosa deve essere fatta in collaborazione con il supporto dell'SSLmarket che se ne occuperà.
- Dopo l'esito positivo dell'autenticazione, creeremo il tuo URL ACME Directory unico presso l'autorità. Questo URL sarà utilizzato dal tuo client ACME (in questo caso da Certbot) al fine di acquisire il certificato.
- L'URL della Directory ACME è unico per ogni cliente e prodotto. Non è possibile utilizzare un URL per più clienti.
Preparazione di Certbot sul server:
Installa Certbot sul tuo server; ti consigliamo di installare i moduli in base al tipo di server web. I moduli facilitano la selezione del sito di destinazione per l'installazione del certificato e sono in grado di lavorare direttamente con la configurazione del server (facilitando l'installazione).
Nota: Sul sito ufficiale di Certbot puoi selezionare direttamente il sistema operativo del tuo server e avere a disposizione la guida passo dopo passo dell'installazione.
Acquisizione e installazione del certificato
Richiedi il certificato nel terminale, utilizzando il seguente comando:
sudo certbot --apache --register-unsafely-without-email --server “To ACME Directory URL” -d www.nomedeltuodominio.it -d nomedeltuodominio.it
Parametri opzionale del comando:
- Certbot – avvia Certbot
- --apache – seleziona il plugin Apache Certbot che installerà il certificato per te.
- --register-unsafely-without-email – consente di saltare la fase della creazione di un account ACME.
- --server – determina quale server ACME deve soddisfare la tua richiesta. Quindi definisce l'URL della Directory ACME.
- - d – Nome completo del dominio per il quale desideri emettere il certificato. Se lasci vuota questa opzione, Certbot ti chiederà di confermare i domini da includere nella richiesta in base agli host configurati sul server.
Inserito il comando, ti sarà chiesto se desideri abilitare, sul dominio in questione, il reindirizzamento forzato a https:
Output
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):
Seleziona la tua scelta e premi il tasto ENTER. La configurazione selezionata verrà impostata e caricata al riavvio del server web. Successivamente, riceverai un messaggio finale con la conferma dell'esecuzione riuscita del processo e con l'indicazione del luogo dove sono stati memorizzati i tuoi certificati:
Output
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
expire on 2017-10-23. To obtain a new or tweaked version of this
certificate in the future, simply run certbot again with the
"certonly" option. To non-interactively renew *all* of your
certificates, run "certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Contestualmente, Certbot installerà anche il Certificato Intermediate necessario; per verificare la correttezza dell'installazione utilizza il nostro strumento online per la verifica dell'installazione del certificato.
Osservazioni generali
L'automatizzazione dell'emissione dei certificati soggiace ad alcune regole, perciò è necessario prestare attenzione ai seguenti punti:
- I certificati DV non sono ancora supportati.
- Prima dell'emissione del certificato è necessario autenticare l'azienda e successivamente anche i domini.
- Per i domini è necessario eseguire l'operazione di prevenzione. Le sue fasi sono due:
- 1. DCV ovvero la convalida del dominio (e-mail, DNS, TXT).
- 2. Il dominio autenticato viene assegnato all'azienda autenticata che può iniziare a utilizzarlo.
- L'URL ACME è valido per un prodotto specifico e per un'azienda specifica: probabilmente te ne servirà più di uno.
Ci dispiace che non ci hai trovato il necessario.
Ci aiuterai a migliorare l'articolo? Facci sapere cosa qui aspettavi e non hai scoperto.