Como instalar Let’s Encrypt SSL no CentOS 7 executando Servidor Web Apache

Como instalar Let’s Encrypt SSL no CentOS 7 executando Servidor Web Apache

Neste tutorial, você aprenderá o procedimento de instalação do certificado TLS/SSL no servidor web Apache. Quando terminar, todo o tráfego entre servidor e cliente será criptografado. Esta é uma prática padrão de proteger sites de comércio eletrônico e outros serviços financeiros on-line. Let’s Encrypt é o pioneiro na implementação de SSL livre e será usado como o provedor de certificados neste caso.

O que você precisa?

Antes de começar este guia, você precisará do seguinte:

  • Acesso root SSH ao VPS CentOS 7
  • O servidor web Apache com domínio e vhost configurados corretamente

Passo 1 – Instalando módulos dependentes

Para instalar o certbot você terá que instalar o repositório EPEL como não está disponível por padrão, mod_ssl também é necessário para que a criptografia seja reconhecida pelo Apache.

Para instalar essas duas dependências, execute este comando:

yum install epel-release mod_ssl

Agora você deve estar pronto para prosseguir e instalar o certbot propriamente dito.

Passo 2 – Fazendo o download do cliente Let’s Encrypt

Em seguida, você instalará o cliente certbot do repositório EPEL:

yum install python-certbot-apache

O certbot agora deve ser instalado e disponível para uso real.

Passo 3 – Configuração do certificado SSL

Certbot irá lidar com o gerenciamento de certificados SSL com bastante facilidade, ele irá gerar um novo certificado para o domínio fornecido como um parâmetro.

Nesse caso, example.com será usado como domínio para o qual o certificado será emitido:

certbot --apache -d example.com

Se você deseja gerar SSL para vários domínios ou subdomínios, execute este comando:

certbot --apache -d example.com -d www.example.com

IMPORTANTE! O primeiro domínio deve ser seu domínio base, neste exemplo é example.com .


Ao instalar o certificado, você receberá um guia passo-a-passo que lhe permitirá personalizar os detalhes do certificado. Você será capaz de escolher entre forçar HTTPS ou deixar HTTP como o protocolo padrão, fornecendo um endereço de e-mail será necessário também por razões de segurança.

Quando a instalação for concluída, você deverá receber uma mensagem semelhante:

IMPORTANT NOTES:
- If you lose your account credentials, you can recover through
e-mails sent to user@example.com.
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2016-04-21. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- Your account credentials have been saved in your Let's Encrypt
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Let's
Encrypt so making regular backups of this folder is ideal.
- If you like Let's Encrypt, please consider supporting our work by:

Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
Donating to EFF:                    https://eff.org/donate-le

Passo 4 – Configurando a renovação automática do certificado

Vamos criptografar certificados são válidos por 90 dias, mas todos os profissionais da web irá recomendá-lo para renová-lo dentro de 60 dias, a fim de evitar quaisquer problemas. Para conseguir isso, o certbot nos ajudará com seu comando de renovação. Ele irá verificar se o certificado é inferior a 30 dias de expiração.

Execute este comando para prosseguir:

certbot renew

Se o certificado instalado for recente, o certbot só verificará a sua data de validade:

Processing /etc/letsencrypt/renewal/example.com.conf

The following certs are not due for renewal yet:
/etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

Para automatizar esse processo de renovação, você pode configurar um cronjob. Em primeiro lugar, abra o crontab:

crontab -e

Este trabalho pode ser agendado com segurança para ser executado todas as segundas-feiras à meia-noite:

0 0 * * 1 /usr/bin/certbot renew >> /var/log/sslrenew.log

A saída do script será canalizada para o arquivo /var/log/sslrenew.log.

Conclusão

Você acabou de garantir o seu servidor web Apache, implementando o recurso de segurança mais esperado – certificado SSL de graça! A partir de agora todo o tráfego entre servidor e cliente é criptografado, você pode ter certeza de que ninguém poderia interceptar a comunicação e alterar ou roubar informações cruciais. Consulte outros artigos sobre o certificado SSL em nossos Tutoriais.

Author
O autor

Rafael H.

Trabalho com marketing digital desde 2017. Atualmente sou Country Manager do Brasil na Hostinger. Sou apaixonado pelo mundo da tecnologia e hospedagem de sites, tendo experiência com WordPress, marketing digital, SEO, copywriting e ferramentas de automação de marketing. Também já trabalhei como analista de conteúdo, redator, assessor de imprensa e analista de comunicação.