Let & rsquo; s Encrypt, che & rsquo; è vero quindi ?

Let & rsquo; s Encrypt è un'autorità di certificazione emette certificati X.509 al fine di utilizzare la crittografia TLS sui siti web (tramite indirizzi https).

È stato fondato da’EFF, il Mozilla Foundation e’Università del Michigan.

Il suo interesse è che & rsquo; eroga i certificati gratis, che & rsquo; sono riconosciuti dal browser (Autorità di certificazione) e che il processo di & rsquo; ottenere / installare questi certificati è, in gran parte, Automated (completamente automatizzato se eseguita direttamente sul server. Passaggi aggiuntivi sono da fare se eseguita su un server diverso).

Let & rsquo; s Encrypt è attualmente in beta pubblico dal 3 Dicembre.

Come avere un certificato ?

Attualmente, per ottenere un certificato di & rsquo; un'autorità, deve d & rsquo; prima generare una chiave pubblico-privato, quindi generare un Certificate Signing Request. Invia ad un servizio di certificazione e dopo la convalida, invia indietro un certificato. È quindi necessario installare questo certificato sul server in modo da poter finalmente utilizzare una connessione crittografata.

Avec Let & rsquo; s Encrypt, ottenere e installare certificati è semplicemente. In breve, semplicemente recuperare letsencrypt cliente, disponibile su Github, e con una singola linea di comando, generating (e se il server è installato sulla stessa macchina) un certificato per uno o più domini. Non c'è bisogno di possedere o gestire chiave / richieste, l & rsquo; applicazione fa tutto automaticamente.

Prendi il cliente avviene tramite un git :

git clone https://github.com/letsencrypt/letsencrypt

Poi basta iniziare letsencrypt autocontrollo con buoni parametri per generare / installare il certificato. Per maggiori dettagli, consultare il manuale in linea : https://letsencrypt.readthedocs.org/en/latest/using.html

È inoltre possibile eseguire il seguente comando per visualizzare tutti i comandi disponibili, Una volta recuperato clienti :

./letsencrypt-auto --help tutto

Si noti che, durante la beta pubblica, restrizioni sono messe in atto per limitare l'abuso :

  • limitato a 10 record di IP, tutto 3 orario.
  • limitato a 5 campo certificati, in una finestra 7 giorni di laminazione.

Maggiori dettagli sulla beta qui : https://community.letsencrypt.org/t/beta-program-announcements/1631

E per condiviso ?

Per chi, come me, utilizzare un host condiviso, l & rsquo; l'ottenimento e l'installazione del certificato è un po 'più complesso di esecuzione di un semplice comando che automatizza tutti perché il server n & rsquo; non è sulla stessa macchina e don & rsquo; non sono necessariamente accedere a una shell remota. Ecco come ottenere il vostro certificato e & rsquo; installare sul vostro hosting condiviso (nel mio caso, è gestito su un cPanel).

  1. Prendi il letsencrypt cliente.
  2. Vai a letsencrypt cartella ed eseguire il seguente comando (è possibile specificare più domini specificando più volte la & rsquo; opzione d) :
    letsencrypt-auto certonly -a manuale --server https://acme-v01.api.letsencrypt.org/directory -m <Il tuo indirizzo email> -d <il vostro dominio 1> -d <Tuo Dominio 2> ...
  3. Let & rsquo; s Cifra poi chiede di confermare che il tuo IP verrà registrato come aver chiesto che il certificato per tale dominio.
    letsencrypt_valid_ip
  4. Al termine della convalida, il programma vi chiederà di creare file in posizioni specifiche sul server.
    letsencrypt_valid_file
    Sarà necessario creare la cartella <il vostro dominio>/.noto / acme-sfida /. At & rsquo; interno di esso, verrà creato un file il cui nome e il contenuto è fornito da letsencrypt (URL indica il nome del file e la riga sotto il loro contenuto).
    Si noti che i file devono essere consegnati dal server con un Content-Type text / plain. Per questo, creare un file .htaccess nella acme file e mettere questa sfida per il & rsquo; interno

    Text DefaultType / plain

    Per verificare se c & rsquo; è buona, digitare il & rsquo; URL del file richiesto da letsencrypt (dopo & rsquo; hanno creato) nel browser. Questo dovrebbe visualizzare il contenuto (e non offrono scaricare).

  5. Fare “Entrare” su letsencrypt. L & rsquo; passo 3/4 verrà ripetuta tutte le volte che si specificano i campi nella riga di comando.
  6. Dopo alcuni secondi, letsencrypt vous signalera que la création des certificats est terminé et qu’ils sont disponible dans le dossier /etc/letsencrypt/live/<il vostro dominio 1> (Si noti che questo file è in realtà contiene link simbolici, e non il nome del file effettivo).
    letsencrypt_success
  7. Accedere ora al tuo cPanel, vai alla sezione Sicurezza -> SSL / TLS e selezionare “Gestisci siti SSL”.
  8. È necessario, in questa pagina, specificare il dominio a cui s & rsquo; applicazione del certificato, la chiave privata (privkey.pem), il certificato (cert.pem) e il certificato di & rsquo; CA. (chain.pem).
  9. Una volta che le informazioni dei dati, convalidare e normalmente, se tutto è ok, il certificato è installato e il vostro dominio può ora accedere tramite https.
  10. I file inseriti nella cartella acme-sfida possono anche essere cancellati perché non sarà più essere utilizzata, ma mantenere la cartella come sarà al momento del rinnovo del certificato.

Per rinnovare il certificato, semplicemente riavviare lo stesso comando (con le stesse zone). Let & rsquo; s Encrypt vi chiederà se si desidera rinnovare il certificato.

letsencrypt_renew

Dopo la conferma, abbiamo rifare la stessa procedura di prima (dal & rsquo; passo 3). Si noti che i certificati scadono dopo 3 mese (90 giorni). La ragione di questo periodo relativamente breve è spiegato in Biglietti aerei du blog di Let & rsquo; s Encrypt (Inglese).