Cómo obtener certificados SSL comodín gratuitos de Let’s Encrypt

Hoy en día, una gran parte del tráfico web se cifra mediante HTTPS. Se está volviendo cada vez más frecuente, especialmente desde la introducción de Let’s Encrypt, una autoridad de certificación (CA) respaldada por las principales empresas de la industria. Let’s Encrypt proporciona certificados SSL / TLS de forma totalmente gratuita con una validez de 90 días.

Generalmente, los certificados están vinculados a uno o más nombres de dominio específicos, por lo que si tiene un certificado para “www.example.com”, solo puede usarlo con este nombre de dominio exacto. Por otro lado, los certificados comodín se emiten para un nombre de dominio principal y se pueden utilizar con cualquier subdominio del dominio principal. Por ejemplo, un certificado comodín para * .example.com se puede utilizar para «www.example.com», «cuenta.example.com», «mail.example.com», etc. Los certificados comodín, por lo tanto, aportan el beneficio de solo tener que obtener y renovar un único certificado para todos sus subdominios presentes y futuros.

Aquí se explica cómo obtener un certificado comodín para un nombre de dominio registrado de Let’s Encrypt en Ubuntu, Debian y otras distribuciones basadas en Debian.

1. Instalación de acme.sh

Let’s Encrypt utiliza el protocolo de Entorno de administración de certificados automatizado (ACME) para verificar que usted es el propietario de su nombre de dominio y para emitir / renovar certificados. Acme.sh es un cliente ACME popular implementado en un script de shell. Para instalarlo, primero deberá instalar git:

Descarga el repositorio de github:

Ingrese al directorio clonado e inicie el script de instalación:

Vuelva a cargar su sesión de shell para comenzar a usar acme.sh:

2. Usar acme.sh para emitir certificados comodín.

Para que Let’s Encrypt emita un certificado comodín, debe resolver un desafío basado en DNS conocido como Validación de dominio (DV). Acme.sh se integra convenientemente con las API de muchos de los principales proveedores de DNS y automatiza completamente este proceso.

Cloudflare

Si está utilizando el servicio DNS de Cloudflare, inicie sesión en su cuenta y copie su clave API global. Guárdelo como una variable de entorno en su sistema:

Ahora puede solicitar un certificado comodín:

NameCheap

Si está utilizando servidores de nombres NameCheap, siga sus instrucciones sobre cómo habilitar el acceso a la API, luego exporte las variables requeridas:

Solicite un certificado comodín:

En relación :  Cómo instalar la beta pública de Android 12

DigitalOcean

Si su dominio usa el DNS de DigitalOcean, siga sus instrucciones sobre la creación de un token de acceso personal con permisos de lectura y escritura. Exporta tu clave / token de API:

Solicite un certificado comodín:

Ve papi

Si su dominio usa el DNS de GoDaddy, copie tu clave de API y tu secreto. Exportarlos a su entorno:

Solicite un certificado comodín:

Vultr

Si está utilizando el DNS de Vultr, necesitará su token de acceso personal o un subperfil con privilegios de «Administrar DNS».

Solicite un certificado comodín:

RackSpace

Si está utilizando RackSpace, necesitará su nombre de usuario y clave API. Exportarlos como se muestra a continuación:

Solicite un certificado comodín:

Proceso manual

Si no desea o no puede utilizar la API proporcionada por su proveedor de DNS, puede crear manualmente un registro DNS para completar el desafío de validación del dominio, aunque también tendrá que repetir este proceso manual con regularidad para renovar su dominio.

Este comando mostrará un token de verificación que deberá agregar como un registro TXT de DNS.

Copie el token e inicie sesión en su panel de control de DNS. Cree un nuevo registro DNS de tipo TXT para el _acme-challenge subdominio y pegue el token.

Permite cifrar el registro de texto comodín

Espere unos minutos hasta que se pueda acceder al nuevo registro y luego solicite el certificado:

Ubicaciones de archivos

Encontrará su certificado y otros archivos relevantes en el directorio «.acme.sh» en su carpeta de inicio.

  • El certificado en sí se guarda como «~ / .acme.sh / *. Example.org/*.example.org.cer».
  • La clave del certificado se guarda como «~ / .acme.sh / *. Example.org/*.example.org.key». Este archivo debe mantenerse privado y nunca compartido.
  • El archivo de certificado de fullchain, que es lo que probablemente usará, se guarda como «~ / .acme.sh / *. Example.org/fullchain.cer». Este archivo combina su certificado con el de la autoridad emisora ​​(conocido como certificado intermedio).

Siga los pasos anteriores y podrá obtener un certificado de dominio comodín Let’s Encrypt.