Instalando Certificado SSL GRATUITO(https) con Let's Encrypt (NGINX Y APACHE)

[Kike]

Muy buenas!! En este tutorial voy a enseñar como instalar un certificado SSL gratuito para nuestra web,usando Let's Encrypt.

Primero de todo , como de costumbre actualizaremos repostorios ( entrando a SSH ) escribimos el comando:

Código: Seleccionar todo

sudo apt-get update

Instalamos previamente los paquetes GIT ( por si no los tenemos instalados):

Código: Seleccionar todo

sudo apt-get install git

Una vez instalado Git, Ahora vamos a hacer una copia del programa ya previamente configurado con:

Código: Seleccionar todo

git clone https://github.com/letsencrypt/letsencrypt

Ahora ya una vez descargada la carpeta, accedemos a ella con:

Código: Seleccionar todo

cd letsencrypt

Configurar en servidor NGINX

MUY IMPORTANTE, QUE ESTEMOS EN LA MISMA MÁQUINA QUE HOSPEDA NUESTRA WEB, YA QUE SINO NO TENDREMOS PRIVILEGIOS SUFICIENTES PARA CREAR EL CERTIFICADO.

Debemos parar el servidor primero, para ello pondremos:

Código: Seleccionar todo

sudo service nginx stop

A continuación crearemos nuestro certificado , poniendo este ejemplo:

Código: Seleccionar todo

./letsencrypt-auto certonly --standalone --agree-tos --redirect --duplicate --text --email email@fororaspberry.com -d www.fororaspberry.es -d fororaspberry.es --rsa-key-size 4096

Detrás de ( -d ) pondremos nuestra web, u otros dominios que queramos certificar tanto en www como sin ella.
Con este comando crearemos un certificado SSL a 4096 bits.

Cuando pongas el comando correspondiente, se actualizara o instalará Pyton:


Cuando este todo instalado, nos saldra lo siguiente, obviamente seleccionamos la opcion
Replace Files in Webroot Directory :

Aceptamos Terminos y servicios de Let's Encrypt pulsando "<Agree >"



En este paso es muy importante que tengamos el servicio Apache DESACTIVADO, si todo está
correcto nos dará el siguiente mensaje:


En la ruta /etc/letsencrypt/live/ tendremos guardado nuestro certificado en otra carpeta "ej: miweb.com"
que luego mas adelante daremos uso, en nuestro caso: /etc/letsencrypt/live/www.fororaspberry.es/

Ahora vamos a configurar el algoritmo Diffie-Hellman para el intercambio de claves, pondremos lo siguiente:

Código: Seleccionar todo

cd /etc/ssl/certs
sudo openssl dhparam -out dhparam.pem 4096

Este proceso puede durar varias horas,asi que mucha paciencia...

Una vez haya finalizado, tendremos el archivo dhparam.pem en la ruta /etc/ssl/certs.
Lo utilizaremos ahora mismo para la configuración de NGINX

-CONFIGURANDO NGINX

Ahora vamos a editar nuestra configuración en /etc/nginx/sites-available/ , tal y como vimos en ESTE TUTORIAL .
Por defecto en:

Código: Seleccionar todo

sudo nano /etc/nginx/sites-available/default

Justo debajo del parametro server_name miweb.com;
Añadimos los siguientes parámetros:

Código: Seleccionar todo

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
ssl_certificate /etc/letsencrypt/live/www.fororaspberry.es/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/www.fororaspberry.es/privkey.pem;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA256:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EDH+aRSA+AESGCM:EDH+aRSA+SHA256:EDH+aRSA:EECDH:!aNULL:!eNULL:!MEDIUM:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED";
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:20m;
ssl_session_timeout 180m;

    if ($scheme = http) {
        return 301 https://$server_name$request_uri;
}

Explicare muy resumidamente lo que es cada parámetro ( no hagais mucho caso si nos os quereis liar mas ):
add_header Strict-Transport-Security = Habilitamos HSTS (HTTP Strict Transport Security)
ssl_certificate = Ruta certificado anteriormente creado,debemos modificar la ruta hacia el archivo correspondiente
ssl_certificate_key = Ruta certificado anteriormente creado,debemos modificar la ruta hacia el archivo correspondiente
ssl_dhparam = Archivo creado a través del algoritmo Diffie-Hellman (ruta defecto /etc/ssl/certs/dhparam.pem )
ssl_prefer_server_ciphers = damos la posibilidad al cliente de cojer otros "Ciphers" compatibles
ssl_ciphers = Ciphers específicos (podemos utilizar otros para compatibilizar con Navegadores Web antiguos)
ssl_protocols = Especificamos las versiones del protocolo SSL (Transport Layer Security)
ssl_session_cache shared:SSL:20m; = Duración de la sesion SSL en cache compartida , recomendado por seguridad.
ssl_session_timeout 180m; = Duración de la sesion SSL (modificable) , recomendado por seguridad.
return 301 https://$server_name$request_uri = Forzamos que se conecte por conexión cifrada HTTPS

Para finalizar la configuracion, abajo de

Código: Seleccionar todo

listen 80;

Añadimos la siguiente linea, para activar el puerto SSL:

Código: Seleccionar todo

listen 80;
listen 443 ssl;

MUY IMPORTANTE TENER ABIERTO EL PUERTO 443 DESDE NUESTRO ROUTER

Ahora ya hemos terminado de configurar, guardamos los cambios pulsando estas teclas, en este caso (putty ssh)
Control + X
tecleamos Y
ENTER

Y vamos a probar la configuración y aplicarla a Nginx con:

Código: Seleccionar todo

sudo nginx -s reload

Si todo va correctamente, YA TENDREMOS NUESTRO CERTIFICADO WEB INSTALADO!!



Configurar en servidor APACHE

Debemos parar el servidor primero, para ello pondremos:

Código: Seleccionar todo

sudo service apache2 stop

A continuación crearemos nuestro certificado , poniendo este ejemplo:

Código: Seleccionar todo

./letsencrypt-auto --apache --agree-tos --redirect --duplicate --text --email email@fororaspberry.com -d www.fororaspberry.es -d fororaspberry.es --rsa-key-size 4096

Detrás de ( -d ) pondremos nuestra web, tanto en www como sin ella.
Con este comando crearemos un certificado SSL a 4096 bits.

Cuando pongas el comando correspondiente, se actualizara o instalará Pyton:


Aceptamos Terminos y servicios de Let's Encrypt pulsando "<Agree >"



En este paso es muy importante que tengamos el servicio Apache DESACTIVADO, si todo está
correcto nos dará el siguiente mensaje:


En la ruta /etc/letsencrypt/live/ tendremos guardado nuestro certificado en otra carpeta "ej: miweb.com"
que luego mas adelante daremos uso, en nuestro caso: /etc/letsencrypt/live/www.fororaspberry.es/

Ahora vamos a configurar el algoritmo Diffie-Hellman para el intercambio de claves, pondremos lo siguiente:

Código: Seleccionar todo

cd /etc/ssl/certs
openssl dhparam -out dhparam.pem 4096

Este proceso puede durar varias horas,asi que mucha paciencia...

Una vez haya finalizado, tendremos el archivo dhparam.pem en la ruta /etc/ssl/certs.
Lo utilizaremos ahora mismo para la configuración de Apache

Para ello vamos a editar el siguiente archivo:

Código: Seleccionar todo

sudo nano /etc/apache2/mods-available/ssl.conf

Buscaremos la primera linea:

Código: Seleccionar todo

<IfModule mod_ssl.c>

Y justo abajo añadimos lo siguiente, quedando asi:

Código: Seleccionar todo

<IfModule mod_ssl.c>
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

Ahora ya hemos terminado de configurar, guardamos los cambios pulsando estas teclas, en este caso (putty ssh)
Control + X
tecleamos Y
ENTER

Y por último vamos a editar el siguiente archivo con el comando:

Código: Seleccionar todo

sudo nano /etc/apache2/sites-available/default-ssl.conf

Debemos editar lo marcado en Rojo, y añadir si no existen:

<IfModule mod_ssl.c>
<VirtualHost _default_:443>
ServerName fororaspberry.es
ServerAlias http://www.fororaspberry.es
ServerAdmin email@fororaspberry.es
DocumentRoot /var/www/
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.fororaspberry.es/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.fororaspberry.es/privkey.pem
<FilesMatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
<Directory /usr/lib/cgi-bin>
SSLOptions +StdEnvVars
</Directory>
BrowserMatch "MSIE [2-6]" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
</VirtualHost>
</IfModule>

¿Que tengo que poner en cada ruta?
Lo que hemos modificado es lo siguiente:

En ServerName , pondremos nuestra web certificada SIN www. y en ServerAlias pondremos nuestra web certificada con las www.

ServerName fororaspberry.es
ServerAlias http://www.fororaspberry.es

En DocumentRoot , pondemos la ruta por defecto de nuestra Web (ver configuración Apache) por defecto:

DocumentRoot /var/www/

Nuestro correo electrónico registrado cuando hemos creado el certificado anteriormente

ServerAdmin email@fororaspberry.es

Poner la ruta del certificado donde se ha creado nuestro certificado ( siempre esta ubicado en /etc/letsencrypt/live/ )

SSLCertificateFile /etc/letsencrypt/live/www.fororaspberry.es/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.fororaspberry.es/privkey.pem

Una vez modificado todos los cambios , Guardamos los cambios pulsando estas teclas, en este caso (putty ssh)
Control + X
tecleamos Y
ENTER

Y por último, activamos la configuración SSL con el comando:

Código: Seleccionar todo

sudo a2ensite default-ssl.conf

Y reiniciamos Apache2 con:

Código: Seleccionar todo

sudo service apache2 restart

Y ya tenemos nuestro certificado SSL Gratuito funcionando!!! :shock: :shock:

Renovación Automática del Certificado
Simplemente debemos insertar estos dos comandos:

Código: Seleccionar todo

cd letsencrypt
./letsencrypt-auto renew

Espero que os haya ayudado mucho, por favor si os ha gustado y os ha ido bien , escribirme algo no seais vagos!! :P

[srvazquez95]

Pillo sitio en Tutorial muy interesante, no tenía constancia de un SSL gratuito. THX !!!

[Kike]

A ver si puedo sacar algo de tiempo para poder terminarlo, y a la vez empezar otros que tengo en mente [emoji6]

[Critra]

Gran tutorial!! Muy bien explicado ;D

[Haru Ijima]

La verdad es que por fin hay un certificado SSL gratis xD

Por cierto, este certificado, es de los que te modifican la URL poniendo el logotipo o nombre de la empresa como aparece en los bancos o cómo...

tal que así: http://www.abacohosting.com/wp-content/ ... /ssl-1.png

[Kike]

La verdad es que por fin hay un certificado SSL gratis xD

Por cierto, este certificado, es de los que te modifican la URL poniendo el logotipo o nombre de la empresa como aparece en los bancos o cómo...

tal que así: http://www.abacohosting.com/wp-content/ ... /ssl-1.png

La verdad es que no me he puesto a investigar sus diversas funciones, ya que este "metodo automático " es el más rápido y sencillo.
Posiblemente si se pueda, pero ahora mismo no te puedo confirmar :idea:

[Haru Ijima]

Ok! Muy pronto, cuando me llegue al fin la caja montaré la rpi3 y me pondré a ello, si tengo tiempo de investigar más, y encuentro algo, lo posteo o lo paso por privado para que lo añadas al tuto

[Kike]

Ok! Muy pronto, cuando me llegue al fin la caja montaré la rpi3 y me pondré a ello, si tengo tiempo de investigar más, y encuentro algo, lo posteo o lo paso por privado para que lo añadas al tuto

Me parece estupendo!![emoji16] [emoji12]

[Kike]

Tutorial FINALIZADO el 27/06/16

[ismaDev]

Buenísimo tutorial, un dia de estos lo pruebo. Gracias :P

[hoheiky]

Let's Encrypt funcionando en mi owncloud. Gracias nuevamente por el tutorial, imaginaba este proceso mucho más coñazo, y al final fue bastante sencillo. Por poco pensé que se me tostaba la pequeña Pi generando el dhparam, pero sobrevivió. Lo que sí me quedó una duda, que yo creo que algo está mal en esta línea de código:

Código: Seleccionar todo

./letsencrypt-auto --apache certonly --standalone --agree-tos --redirect --duplicate --text --email email@fororaspberry.com -d www.fororaspberry.es -d fororaspberry.es --rsa-key-size 4096

A ver, según la docuementación, o se usa el parámetro --apache o se usa certonly --standalone, pero no ambos. Para nuestro caso (lo que usé yo al menos), y ya que tenemos acceso a nuestra instalación Apache en local, fue el --apache.
Os pongo link a la sección Plugins que es dónde lo explican, por si os da la vena friki de salir de dudas:

https://letsencrypt.readthedocs.io/en/l ... rtificates

Creo que con esto dejo mi instalación Owncloud ready para usarla de forma segura.

[Kike]

Perfecto! muchisimas gracias por el dato, parece que si, no se puede combinar ambos. Yo nunca le había hechado un vistazo al manual oficial,fui recompilando varios datos de distintas Webs e informandome
Y Para crear el dhparam si ,se pega un par de horitas intensivas jajaj.

Ahora me encargo de modificar esa linea.

Un abrazo

[hoheiky]

Perfecto! muchisimas gracias por el dato, parece que si, no se puede combinar ambos. Yo nunca le había hechado un vistazo al manual oficial,fui recompilando varios datos de distintas Webs e informandome
Y Para crear el dhparam si ,se pega un par de horitas intensivas jajaj.

Ahora me encargo de modificar esa linea.

Un abrazo

Otras dos cosillas, que se me pasaba de comentar por si acaso a alguien más le falla:

delante del comando openssl dhparm, por Dios, no seáis zopencos como yo que con las prisas no me di cuenta de ponerle un sudo, y al cabo de tantas horas generándolo no tenía permisos de escritura en el directorio.

Mi instalación de Apache me daba error al intentar arrancar si le ponía el parámetro SSLOpenSSLConfCmd tal como indica el manual. Yo tuve que quitarlo que sino no funcionaba.

[Kike]

Perfecto! muchisimas gracias por el dato, parece que si, no se puede combinar ambos. Yo nunca le había hechado un vistazo al manual oficial,fui recompilando varios datos de distintas Webs e informandome
Y Para crear el dhparam si ,se pega un par de horitas intensivas jajaj.

Ahora me encargo de modificar esa linea.

Un abrazo

Otras dos cosillas, que se me pasaba de comentar por si acaso a alguien más le falla:

delante del comando openssl dhparm, por Dios, no seáis zopencos como yo que con las prisas no me di cuenta de ponerle un sudo, y al cabo de tantas horas generándolo no tenía permisos de escritura en el directorio.

Mi instalación de Apache me daba error al intentar arrancar si le ponía el parámetro SSLOpenSSLConfCmd tal como indica el manual. Yo tuve que quitarlo que sino no funcionaba.

Modificado por si acaso jaja muchas gracias compi :claroclaro

[woonaval]

Lo acabo de hacer y funciona per-fec-to!!! El propio Let's Encrypt se ha encargado de crearme el vhost 443 que redirige del 80 que ya tenía, así que más fácil imposible.

Kike de nuevo gracias por todo!! Deberías estar prohibido!!

[Viking]

pi@raspberrypi:~ $ sudo systemctl status apache2.service
● apache2.service - LSB: Apache2 web server
Loaded: loaded (/etc/init.d/apache2)
Drop-In: /lib/systemd/system/apache2.service.d
└─forking.conf
Active: failed (Result: exit-code) since Mon 2016-10-03 19:17:32 UTC; 47s ago

Oct 03 19:17:32 raspberrypi apache2[1472]: Starting web server: apache2 failed!
Oct 03 19:17:32 raspberrypi apache2[1472]: The apache2 configtest failed. ... (war...).
Oct 03 19:17:32 raspberrypi apache2[1472]: Output of config test was:
Oct 03 19:17:32 raspberrypi apache2[1472]: AH00526: Syntax error on line 2 of /etc...f:
Oct 03 19:17:32 raspberrypi apache2[1472]: Invalid command 'SSLOpenSSLConfCmd', pe...on
Oct 03 19:17:32 raspberrypi apache2[1472]: Action 'configtest' failed.
Oct 03 19:17:32 raspberrypi apache2[1472]: The Apache error log may have more info...n.
Oct 03 19:17:32 raspberrypi systemd[1]: apache2.service: control process exited, c...=1
Oct 03 19:17:32 raspberrypi systemd[1]: Failed to start LSB: Apache2 web server.
Oct 03 19:17:32 raspberrypi systemd[1]: Unit apache2.service entered failed state.
Hint: Some lines were ellipsized, use -l to show in full.

Sabeis que puede pasar?
gracias.

[Haru Ijima]

DEP

Va, ya en serio, no sé que puede ser :/

[Kike]

Oct 03 19:17:32 raspberrypi apache2[1472]: AH00526: Syntax error on line 2 of /etc...f:

Ahi te indica donde esta el fallo, si pones el siguiente comando te deberia marcar el error completo:

Código: Seleccionar todo

sudo systemctl status apache2.service -l

Ha pasado unos dias y no se si lo habrás solucionado ya

[ismaDev]

No me renueva el certificado cuando pongo:

Código: Seleccionar todo

./letsencrypt-auto renew

Sale error:

Código: Seleccionar todo

  File "/usr/lib/python3/dist-packages/virtualenv.py", line 2363, in <module>
    main()
  File "/usr/lib/python3/dist-packages/virtualenv.py", line 719, in main
    symlink=options.symlink)
  File "/usr/lib/python3/dist-packages/virtualenv.py", line 988, in create_environment
    download=download,
  File "/usr/lib/python3/dist-packages/virtualenv.py", line 918, in install_wheel
    call_subprocess(cmd, show_stdout=False, extra_env=env, stdin=SCRIPT)
  File "/usr/lib/python3/dist-packages/virtualenv.py", line 812, in call_subprocess

Perfecto lo he solucionado de esta forma:

Código: Seleccionar todo

 locale-gen en_US en_US.UTF-8
 dpkg-reconfigure locales

Y selecciono en_US en_US.UTF-8

Según pone aqui: https://github.com/certbot/certbot/issues/2883

[xavin]

Hola Buenos dias, lo primero de todo gracias por el tutorial el https funciona a la perfección, pero me surge un problema cuando intento acceder a la web sin ponerle el https://, cuando pongo la URL con http://, me da un error de conexion refused, no me redirige el trafico http:// al https// , segui el tutorial tal y como lo pusiste y es el único fallo que veo ya que me gustaría que el trafico por http lo redirigiera al https, vamos que si alguien pusiera la web con http automaticamente lo redirija a https.

Gracias
Salu2