Certificato SSL/TLS gratuito con Let’s Encrypt e installazione in cpanel – provider Arvixe – linux

Let’s encrypt è un autorità di certificazione che, con l’obiettivo di riuscire a cifrare tutte le comunicazioni sul web, offre gratuitamente certificati per il protocollo TLS. Il Trasport Layer Security(TLS) e il precursore SSL ( Secure Sockets Layer ) consentono comunicazioni sicure su reti TCP/IP come internet. Il protocollo https è un esempio di applicazione del protocollo crittografico TLS/SSL. ACME ( Automated Certificate Management Environment ) è il protocollo utilizzato da Let’s Encript per l’autenticazione e il rilascio dei certificati.

Se si considera che Let’s Encrypt offre i certificati gratuitamente, che oramai è altamente consigliato adottare il protocollo https e che Google nel 2017 ha promesso di premiare nell’indicizzazione i siti https ecco che i certificati di Let’ Encrypt risultano estremamenti comodi e utili sopratutto per i siti personali.

Di seguito la procedura per generare e installare certificati letsencrypt su domini ospitati presso il provider Arvixe che utilizza cpanel come strumento di amministrazione dei vari servizi di web hosting.

In debian sono disponibili diversi applicativi per la gestione dei certificati ACME in questo caso verrà utilizzato certbot ( python) .

Certbot

L’installazione di certbot da terminale è di tipo tradizionale

su 
apt install certbot

Oltre a certbot verranno installati anche una serie di pacchetti python. Il linguaggio in cui certbot è sviluppato.

Per la generazione del certificati utilizzare il comando per la generazione manuale degli stessi.

# certbot certonly –manual

 
# certbot certonly --manual 
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel):xxxxx@xxxxx.xx
-------------------------------------------------------------------------------
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must agree in order to register with the ACME server at https://acme-v01.api.letsencrypt.org/directory 
 -------------------------------------------------------------------------------
 (A)gree/(C)ancel: A
Please enter in your domain name(s) (comma and/or space separated)  (Enter 'c'
 to cancel):siagri.net, www.siagri.net
 Obtaining a new certificate
 Performing the following challenges:
 http-01 challenge for siagri.net
 http-01 challenge for www.siagri.net 
 -------------------------------------------------------------------------------
 NOTE: The IP of this machine will be publicly logged as having requested this certificate. If you're running certbot in manual mode on a machine that is notyour server, please ensure you're okay with that. 
 Are you OK with your IP being logged?
 -------------------------------------------------------------------------------
 (Y)es/(N)o: Y 

la verifica della disponibilità diretta (proprietà) del dominio avviene con il caricamento di piccolo file di testo di cui vengono comunicati nome e contenuto. In questo caso poichè vengono richiesti due certificati due saranno anche i piccoli file di testo comunicati e da caricare sul server

a terminale avremo:

...
Make sure your web server displays the following content at
http://siagri.net/.well-known/acme-challenge/Bw5KW-y0qJgLMIn7c-IUc8oowqXhicveZYaRaVu14dw before continuing:
Bw5KW-y0qJgLMIn7c-IUc8oowqXhicveZYaRaVu14dw.DBdDaNi_BBF_J7FbGvBFEWowiqyGDrsusDvUHdfr9tk 
...
-------------------------------------------------------------------------------
 Press Enter to Continue 

Utilizzando il file manager di cPanel è possibile caricare o comunque generare il file Bw5KW-y0qJgLMIn7c-IUc8oowqXhicveZYaRaVu14dw che avrà come contenuto la stringa: IUc8oowqXhicveZYaRaVu14dw.DBdDaNi_BBF_J7FbGvBFEWowiqyGDrsusDvUHdfr9tk
il file dovrà trovarsi come indicato nella directory


public_html/.well-known/acme-challenge

prima di premere [Enter] per la verifica conviene accertarsi che il file sia effettivamente raggiugibile e mostri il contenuto con ad esempio

curl http://siagri.net/.well-known/acme-challenge/Bw5KW-y0qJgLMIn7c-IUc8oowqXhicveZYaRaVu14dw

Al termine la cartella /etc/letsencrypt si popolerà con il certificato e la full chain come indicato nel messaggio che appare a video.

 Waiting for verification...
Cleaning up challenges 
Generating key (2048 bits): /etc/letsencrypt/keys/0000_key-certbot.pem 
Creating CSR: /etc/letsencrypt/csr/0000_csr-certbot.pem   

IMPORTANT NOTES:  
 - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/siagri.net/fullchain.pem. Your cert will expire on 2018-5-04. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew"  
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le 

Installazione certificato SSL/TLS Let’S Encrypt con cPanel

Adesso che si dispone dei certificati SSL/TLS gli stessi vanno installati utilizzano Manage SSL Sites in cPanel

cPanel – Security – SSL/TLS
cPanel – SSL/TLS: Manage SSL sites

Con un taglia incolla andranno caricati il certificato ( file cert.pem ) e la Private Key ( file privkey.pem ). Opzionale chain.pem in Certificate: Authority

SSL-TLS certificate copy

Se tutto va correttamente avremo il messaggio SSL Certificate Successfully …

L’unica nota negativa dei certificati Let’s Encrypt è che gli stessi non hanno durata annuale ma di soli 90 giorni.

Risorse:

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...