Come faccio a installare un certificato SSL Let's Encrypt con caratteri jolly in Amazon Lightsail?

Breve descrizione

La seguente risoluzione riguarda l'installazione di un certificato SSL Let's Encrypt con caratteri jolly per i siti Web ospitati in un'istanza Lightsail che non utilizza uno stack Bitnami. Esempi di questi blueprint delle istanze includono Amazon Linux 2, Ubuntu e così via. Se disponi di un blueprint dell'istanza diverso o desideri installare un certificato standard, consulta una delle seguenti opzioni:

Certificati Let's Encrypt standard

Per informazioni sull'installazione di un certificato SSL Let's Encrypt standard (senza caratteri jolly) su un'istanza Lightsail che non utilizza uno stack Bitnami, come Amazon Linux 2, Ubuntu e così via, consulta Come faccio a installare un certificato SSL Let's Encrypt standard in un'istanza Lightsail?

Per informazioni sull'installazione di un certificato SSL standard Let's Encrypt (senza caratteri jolly) in un'istanza Lightsail con uno stack Bitnami, come WordPress, LAMP, Magento e così via, consulta Come faccio a installare un certificato SSL Let's Encrypt standard in uno stack Bitnami ospitato su Amazon Lightsail?

Certificati Let's Encrypt con caratteri jolly (ad esempio, *.example.com)

Per informazioni sull'installazione di un certificato Let's Encrypt con caratteri jolly in un'istanza Lightsail con uno stack Bitnami, come WordPress, Lamp, Magento, MEAN e così via, consulta Come faccio a installare un certificato SSL Let's Encrypt con caratteri jolly in uno stack Bitnami ospitato su Amazon Lightsail?

Risoluzione

I passaggi utilizzati per installare un certificato SSL Let's Encrypt con caratteri jolly sull'istanza Lightsail dipendono dal provider DNS utilizzato dal dominio. Per determinare quale metodo utilizzare, verifica se il provider DNS è elencato nell'elenco di DNS di Certbot in DNS Plugins (Plugin DNS). Quindi, seleziona il metodo appropriato da utilizzare:

Metodo 1: utilizza questo metodo se il dominio utilizza uno dei provider DNS elencati.

Metodo 2: utilizza questo metodo se il dominio non utilizza nessuno dei provider DNS elencati.

Metodo 1

Prerequisiti e limitazioni

• I seguenti passaggi illustrano l'installazione del certificato nel server. Devi completare manualmente ulteriori passaggi, ad esempio la configurazione del server Web per l'utilizzo del certificato e l'impostazione del reindirizzamento HTTPS.
• Il dominio deve utilizzare uno dei provider DNS nell'elenco di DNS di Certbot.

Nota: questo metodo richiede l'installazione dello strumento Certbot prima di iniziare. Per istruzioni sull'installazione, consulta Come faccio a installare il pacchetto Certbot nella mia istanza Lightsail per l'installazione di Let's Encrypt?

Nell'esempio seguente, il provider DNS è Amazon Route 53. Per istruzioni su altri provider DNS supportati, consulta Plugin DNS.

1.    Crea un utente AWS Identity and Access Management (IAM) con accesso programmatico. Per le autorizzazioni minime necessarie da allegare all'utente IAM affinché Certbot possa completare la sfida DNS, consulta certbot-dns-route-53.

2.    Esegui i seguenti comandi nell'istanza per aprire il file /root/.aws/credentials in nano editor.

sudo mkdir /root/.aws
sudo nano /root/.aws/credentials

3.    Copia le seguenti righe nel file. Quindi salva il file premendo CTRL+X, quindi Y e quindi INVIO.

Nel comando seguente, sostituisci aws_access_key_id con l'ID della chiave di accesso creata nel passaggio 1. Sostituisci aws_secret_access_key con la chiave di accesso segreta creata nel passaggio 1.

[default]
aws_access_key_id = AKIA************E
aws_secret_access_key = 1yop**************************l

4.    Crea un certificato Let's Encrypt nel server. Sostituisci example.com con il tuo nome di dominio.

Se i tuoi domini utilizzano Amazon Route 53 come provider DNS, esegui il comando seguente:

sudo certbot certonly --dns-route53 -d example.com -d *.example.com

Dopo che il certificato SSL è stato generato correttamente, riceverai il messaggio "Successfully received certificate" (Certificato ricevuto correttamente). Vengono inoltre forniti i percorsi del certificato e dei file chiave. Salva questi percorsi di file in un blocco note per utilizzarli nel passaggio 6.

5.    Imposta il rinnovo automatico del certificato. Se il pacchetto Certbot è stato installato utilizzando snapd, il rinnovo viene configurato automaticamente nei timer systemd o nei cronjobs.

Se la distribuzione del sistema operativo è Amazon Linux 2 o FreeBSD, il pacchetto Certbot non viene installato usando snapd. In questo caso, dovrai configurare il rinnovo manualmente eseguendo il comando seguente:

echo "30 0,12 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew" | sudo tee -a /etc/crontab > /dev/null

6.    Hai completato solo l'installazione del certificato e la configurazione del rinnovo. Dovrai comunque configurare il server Web per utilizzare questo certificato e impostare il reindirizzamento HTTPS. Questa configurazione varia e dipende dalla configurazione del server Web nella tua istanza. Consulta la documentazione del servizio Web per istruzioni su come completare questi passaggi.

Metodo 2

Prerequisiti e limitazioni

• I seguenti passaggi illustrano l'installazione del certificato nel server. Devi completare manualmente ulteriori passaggi, ad esempio la configurazione del server Web per l'utilizzo del certificato e l'impostazione del reindirizzamento HTTPS.
• Questo metodo non supporta il rinnovo automatico del certificato.

Nota: questo metodo richiede l'installazione dello strumento Certbot prima di iniziare. Per istruzioni sull'installazione, consulta Come faccio a installare il pacchetto Certbot nella mia istanza Lightsail per l'installazione di Let's Encrypt?

1.    Questo metodo richiede l'aggiunta di registri TXT nel provider DNS del dominio. Questo processo potrebbe richiedere del tempo, quindi è consigliabile eseguire i comandi in Linux GNU Screen per evitare il timeout della sessione. Per avviare una sessione Screen, inserisci il seguente comando:

screen -S letsencrypt

2.    Inserisci il seguente comando per avviare Certbot in modalità interattiva. Questo comando indica a Certbot di utilizzare un metodo di autorizzazione manuale con sfide DNS per verificare la proprietà del dominio. Sostituisci example.com con il tuo nome di dominio.

sudo certbot certonly --manual --preferred-challenges dns -d example.com -d *.example.com

3.    Ti viene richiesto di verificare di essere il proprietario del dominio specificato aggiungendo registri TXT ai registri DNS del dominio. Let's Encrypt fornisce uno o più registri TXT che devi utilizzare per la verifica.

4.    Quando vedi un registro TXT sulla schermata, aggiungi innanzitutto il registro fornito nel DNS del tuo dominio. NON PREMERE INVIO finché non confermi che il registro TXT è stato propagato al DNS Internet. Inoltre, NON PREMERE CTRL+D poiché terminerà la sessione della schermata corrente.

5.    Per confermare che il registro TXT è stato propagato al DNS Internet, cercalo in DNS Text Lookup (Ricerca del testo DNS). Inserisci il seguente testo nella casella di testo e scegli TXT Lookup (Ricerca TXT) per eseguire il controllo. Assicurati di sostituire example.com con il tuo dominio.

_acme-challenge.example.com

6.    Se i registri TXT si sono propagati al DNS di Internet, viene visualizzato il valore del registro TXT nella pagina. Ora puoi tornare alla schermata e premere INVIO.

Nota: in caso di rimozione dalla shell, usa il comando screen -r SESSIONID per rientrare. Ottieni l'ID sessione eseguendo il comando screen -ls.

7.    Se il prompt di Certbot chiede di aggiungere un altro registro TXT, completa nuovamente i passaggi da 4 a 7.

8.    Dopo che il certificato SSL è stato generato correttamente, riceverai il messaggio "Successfully received certificate" (Certificato ricevuto correttamente). Vengono inoltre forniti i percorsi del certificato e dei file chiave. Salva questi percorsi di file in un blocco note per utilizzarli nel passaggio successivo.

9.    Hai completato solo l'installazione del certificato e la configurazione del rinnovo. Dovrai comunque configurare il server Web per utilizzare questo certificato e impostare il reindirizzamento HTTPS. Questa configurazione varia e dipende dalla configurazione del server Web nella tua istanza. Consulta la documentazione del servizio Web per istruzioni su come completare questi passaggi.

---