Instalando o SSL da Let's Encrypt

msaulohenrique · Março 10, 2016

Vamos lá

Execute (CentOS/CloudLinux 6.X)

rpm -ivh https://dl.fedoraproject.org/pub/epel/epel-release-latest-6.noarch.rpm
rpm -ivh https://rhel6.iuscommunity.org/ius-release.rpm
yum -y install git python27 python27-devel python27-pip python27-setuptools python27-virtualenv --enablerepo=ius
cd /root
git clone https://github.com/letsencrypt/letsencrypt
cd /root/letsencrypt
sed -i "s|--python python2|--python python2.7|" letsencrypt-auto
./letsencrypt-auto --verbose

(CentOS 7.X)

yum -y install git
cd /root
git clone https://github.com/letsencrypt/letsencrypt
cd /root/letsencrypt
./letsencrypt-auto --verbose

Pronto, temos o Let's Encrypt instalado no nosso servidor.

Vamos criar agora os certificados para os domínios que queremos.

Estarei ensinando a criar o SSL com renovação automática. A cada novo SSL que queira, precisará realizar esse passo novamente.

Execute, lembre-se de alterar o domínio e por o usuário do cPanel respectiva a hospedagem e o e-mail do dono da hospedagem.

cd /root/letsencrypt
./letsencrypt-auto --text --agree-tos --email email@domain.com certonly --renew-by-default --webroot --webroot-path /home/cPanelUser/public_html/ -d domain.com -d www.domain.com

Caso vc queira instalar o certificado em subdomínio terá que fazer assim. Ex.: Quero instalar no subdomínio central.domain.com farei assim:

cd /root/letsencrypt
./letsencrypt-auto --text --agree-tos --email email@domain.com certonly --renew-by-default --webroot --webroot-path /home/cPanelUser/public_html/central -d central.domain.com -d www.central.domain.com

Veja que tive que especificar o diretório tbm. Algo que vale ressaltar que cada certificado SSL é válido por domínio, sempre que precisa de usar em subdomínio, tem que especificar o diretório.

Prosseguindo...

Precisamos configurar uma atividade CRON para que a cada 60 dias o certificado seja renovado, pois é o tempo de validade de cada certificado. Para isso execulte:

crontab -e

E acrescente a seguinte linha (para cada dominio configurado para o SSL), lembre-se de por o usuário e domínio igual a que foi usado para configurar anteriormente.

0 0 */60 * * /root/.local/share/letsencrypt/bin/letsencrypt --text certonly --renew-by-default --webroot --webroot-path /home/cPanelUser/public_html/ -d domain.com -d www.domain.com; /root/installssl.pl domain.com

Configurando script universal para renovação de todos os SSL's configurados

Execulte, lembre-se de altera domain.com pelo que vc está configurou o certificado

vim /etc/letsencrypt/live/domain.com/fullchain.pm

Adicione:

#!/usr/local/cpanel/3rdparty/bin/perl

use strict;
use LWP::UserAgent;
use LWP::Protocol::https;
use MIME::Base64;
use IO::Socket::SSL;
use URI::Escape;

my $user = "root";
my $pass = "rootpass";

my $auth = "Basic " . MIME::Base64::encode( $user . ":" . $pass );

my $ua = LWP::UserAgent->new(
    ssl_opts   => { verify_hostname => 0, SSL_verify_mode => 'SSL_VERIFY_NONE', SSL_use_cert => 0 },
);

my $dom = $ARGV[0];

my $certfile = "/etc/letsencrypt/live/$dom/cert.pem";
my $keyfile = "/etc/letsencrypt/live/$dom/privkey.pem";
my $cafile =  "/etc/letsencrypt/live/bundle.txt";

my $certdata;
my $keydata;
my $cadata;

open(my $certfh, '<', $certfile) or die "cannot open file $certfile";
    {
        local $/;
        $certdata = <$certfh>;
    }
    close($certfh);

open(my $keyfh, '<', $keyfile) or die "cannot open file $keyfile";
    {
        local $/;
        $keydata = <$keyfh>;
    }
    close($keyfh);

open(my $cafh, '<', $cafile) or die "cannot open file $cafile";
    {
        local $/;
        $cadata = <$cafh>;
    }
    close($cafh);

my $cert = uri_escape($certdata);
my $key = uri_escape($keydata);
my $ca = uri_escape($cadata);

my $request = HTTP::Request->new( POST => "https://127.0.0.1:2087/json-api/installssl?api.version=1&domain=$dom&crt=$cert&key=$key&cab=$ca" );
$request->header( Authorization => $auth );
my $response = $ua->request($request);
print $response->content;

Em my $pass = "rootpass"; vc precisa alterar e colocar a senha do seu acesso root.

Agora execute:

vi /etc/letsencrypt/live/bundle.txt

Adicione ao seu interior:

Validando o SSL

Execute e lembre-se de alterar o dominio pelo que vc configurou o SSL.

chmod +x installssl.pl
./installssl.pl domain.com

Enfim!

De fato é algo complicado, os passos em azul, são os que vc deve prosseguir a cada certificado novo que queira instalar. Espero ter ajudado.

DELTA SERVERS · Março 10, 2016

Olá, boa noite!

Parabéns pelo seu tutoria, no entanto me tire essa dúvida. Esse certificado SSL é gratuito e aparece em seu site o cadeado verde?

msaulohenrique · Março 11, 2016

4 horas atrás, DELTA SERVERS disse:

Olá, boa noite!

Parabéns pelo seu tutoria, no entanto me tire essa dúvida. Esse certificado SSL é gratuito e aparece em seu site o cadeado verde?

Sim, aparece. Veja o site oficial: https://letsencrypt.org/

AnderS2Aline · Setembro 5, 2016

uma dúvida, esse certificado é anual ? porque agora ele esta aparecendo no cpanel e se tu fazer por la automático só vem 3 meses grátis ou depois ele se renova automaticamente

rubensk · Setembro 5, 2016

19 minutes ago, AnderS2Aline said:

uma dúvida, esse certificado é anual ? porque agora ele esta aparecendo no cpanel e se tu fazer por la automático só vem 3 meses grátis ou depois ele se renova automaticamente

Eles só emitem por 3 meses, exatamente para forçar automação do seu lado...

Entrar

Instalando o SSL da Let's Encrypt

Posts Recomendados

msaulohenrique

DELTA SERVERS

msaulohenrique

AnderS2Aline

rubensk

Participe da conversa

Quem Está Navegando 0 membros estão online

Tópicos recentes

Browse

Informação Importante