Certificato Wildcard gratuito con Let’s Encrypt e installazione in cPanel – provider Arvixe – debian 10

Let’s encrypt è un autorità di certificazione che, con l’obiettivo di riuscire a cifrare tutte le comunicazioni sul web, offre gratuitamente certificati per il protocollo SSL/TLS. Il protocollo https è un esempio di applicazione del protocollo crittografico TLS/SSL. ACME ( Automated Certificate Management Environment ) è il protocollo utilizzato da Let’s Encript per l’autenticazione e il rilascio dei certificati.

In un precedente post si è descritto come generare certificati Let’s Encrypt e installarli via cPanel: Certificato SSL/TLS gratuito con Let’s Encrypt e installazione in cpanel – provider Arvixe – linux

Da marzo 2018 Let’s Encrypt offre gratuitamente anche i certificati Wildcard. Il certificato Wildcard che vale per domini del tipo *.dominio.it prende il nome proprio dal carattere jolly * in inglese Wildcard. Il certicato Wildcard è di grande comodità con un solo certificato di tipo *.dominio.it è possibile infatti certificare tutti i sottodomini del tipo xxxx.dominio.it.

La procedura per installare certificati wildcard letsencrypt si differenzia da quella descritta in Certificato SSL/TLS gratuito con Let’s Encrypt e installazione in cpanel – provider Arvixe – linux per un maggior numero di dettagli: più immagini, più blocchi di terminale. Gli scripts script riferiti alla fase di rinnovo. Nel caso del certificato Wildcard invece di utilizzare un file per autenticare la proprietà del dominio è necessario aggiungere un record DNS TXT con nome e valore fornito da let’s encrypt.

In debian sono disponibili diversi applicativi per la gestione dei certificati ACME in questo caso verrà utilizzato certbot (python) che è quello consigliato, al momento, da Let’s Encrypt.

Certbot

L’installazione di certbot da terminale è di tipo tradizionale

su 
apt install certbot

Oltre a certbot verranno installati anche una serie di pacchetti python. Il linguaggio in cui certbot è sviluppato.

Per la generazione del certificati utilizzare il comando per la generazione manuale degli stessi con alcuni parametri aggiuntivi

 # sudo certbot certonly --manual --preferred-challenges=dns --server https://acme-v02.api.letsencrypt.org/directory  
 
sudo certbot certonly --manual --preferred-challenges=dns --server https://acme-v02.api.letsencrypt.org/directory  
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Please enter in your domain name(s) (comma and/or space separated)  (Enter 'c'
to cancel): siagri.net, *.siagri.net
Cert is due for renewal, auto-renewing...
Renewing an existing certificate
Performing the following challenges:
dns-01 challenge for siagri.net
dns-01 challenge for siagri.net

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.

Are you OK with your IP being logged?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y

la verifica della disponibilità diretta (proprietà) del dominio avviene con l’aggiunta di un record TXT alle impostazioni DNS. In questo caso trattandosi di 2 domini due saranno i record da aggiungere del tipo:
Name= _acme-challenge.nome-dominio.xxx
Type = TXT
Record = XXXXXXXXXXXXXXXXXXXXXXXXXX

a terminale avremo:

 Please deploy a DNS TXT record under the name
 _acme-challenge.siagri.net with the following value:

 cTN5jWrb5h4usxn9B8gTO1Gavvs2ZUdHQmNU_MIrQWQ

Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue


 (This must be set up in addition to the previous challenges; do not remove,
 replace, or undo the previous challenge tasks yet. Note that you might be
 asked to create multiple distinct TXT records with the same name. This is
 permitted by DNS standards.)

Utilizzando cPanel è possibile aggiungere il record TXT alle impostazioni DNS

Precedente record TXT in cpanel

Sostituzione del valore comunicato nei record TXT

prima di premere [Enter] e avviare la verifica conviene accertarsi che i record TXT siano effettivamente disponibili. In questo caso anche una decina di minuti. Il tempo dipende dall’impostazione TTL.

E’ possibile verificare la disponibilità dei record TXT con il comando host:

host -a _acme-challenge.siagri.net
Trying "_acme-challenge.siagri.net"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53558
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;_acme-challenge.siagri.net.	IN	ANY

;; ANSWER SECTION:
_acme-challenge.siagri.net. 599	IN	TXT	"nurUeHu_DSfm0l8kU9y9SrzGDzvr4wwvZFzWvcPDXxs"
_acme-challenge.siagri.net. 599	IN	TXT	"I7NjTUZYZbH_fv-Znj0ML8SJcJc-EbOiMGQwKSHG5Gk"

Received 156 bytes from 8.8.8.8#53 in 137 ms

premetere Entere verrà comunicato il secondo Record TXT.
E cambiare anche il secondo Record TXT.
con Host possiamo verificare che ambedue i record TXT sono quelli indicati le letsencrypt.

host -a _acme-challenge.siagri.net
Trying "_acme-challenge.siagri.net"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31089
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;_acme-challenge.siagri.net.	IN	ANY

;; ANSWER SECTION:
_acme-challenge.siagri.net. 599	IN	TXT	"I7NjTUZYZbH_fv-Znj0ML8SJcJc-EbOiMGQwKSHG5Gk"
_acme-challenge.siagri.net. 599	IN	TXT	"oyUu6-NK4PEK0IhQNhR96FgqXAk_Jp3kMKb4qh0Oyvc"

Received 156 bytes from 8.8.8.8#53 in 178 ms

Al termine la cartella /etc/letsencrypt si popolerà con il certificato e la full chain come indicato nel messaggio che appare a video.

Before continuing, verify the record is deployed.
(This must be set up in addition to the previous challenges; do not remove,
replace, or undo the previous challenge tasks yet. Note that you might be
asked to create multiple distinct TXT records with the same name. This is
permitted by DNS standards.)

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/siagri.net/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/siagri.net/privkey.pem
   Your cert will expire on 2020-07-03. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le


Al termine la cartella /etc/letsencrypt si popolerà con il certificato e la full chain come indicato nel messaggio che appare a video.

Installazione certificato SSL/TLS Let’S Encrypt con cPanel

Adesso che si dispone dei certificati SSL/TLS gli stessi vanno installati utilizzano Manage SSL Sites in cPanel con la stessa procedura evidenziata nel post Certificato SSL/TLS gratuito con Let’s Encrypt e installazione in cpanel – provider Arvixe – linux.

cPanel – Security – SSL/TLS
cPanel – SSL/TLS: Manage SSL sites

Con un taglia incolla andranno caricati il certificato ( file cert.pem ) e la Private Key ( file privkey.pem ). Opzionale chain.pem in Certificate: Authority

SSL-TLS certificate copy

Se tutto va correttamente avremo il messaggio SSL Certificate Successfully …

Qualora di aggiungano nuovi sottodomini sarà sufficiente richiamare il certificato già installato per poter abilitare il protocollo https:

L’unica nota non positiva dei certificati Let’s Encrypt è che gli stessi non hanno durata annuale ma di soli 90 giorni con i wildcard è ampiamente compensata.

Risorse:

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...