{"id":2294,"date":"2020-07-06T21:56:26","date_gmt":"2020-07-07T03:56:26","guid":{"rendered":"https:\/\/www.lastdragon.net\/?p=2294"},"modified":"2020-07-06T21:56:27","modified_gmt":"2020-07-07T03:56:27","slug":"generar-certificados-de-host-o-wildcard-con-certbot-lets-encrypt","status":"publish","type":"post","link":"https:\/\/www.lastdragon.net\/?p=2294","title":{"rendered":"GENERAR CERTIFICADOS DE HOST O WILDCARD CON CERTBOT ( LET\u2019S ENCRYPT )"},"content":{"rendered":"\n<p><strong>\u00bf que es LET\u2019S ENCRYPT ?<\/strong><\/p>\n\n\n\n<p>Es una autoridad certificadora que puede darte certificados SSL para tu dominio sin costo alguno para ti.<\/p>\n\n\n\n<p>En el 2014 en este mismo blog hice una critica a Google pues fue el a\u00f1o en el se impuso que las paginas http fueran consideradas inseguras, y solo se recomendar\u00edan las seguras. Al final de este articulo <a href=\"https:\/\/www.lastdragon.net\/?p=1190\">CHROMIUM QUIERE MOSTRAR HTTP COMO INSEGURO, LA PARANOIA DE LA SEGURIDAD SE SALE DE CONTROL<\/a><br \/>hice una cr\u00edtica a Google que deb\u00eda convertirse en una autoridad certificadora y dar los certificados de forma gratuita, bueno. Google no lo hizo, pero let\u2019s encript si, esto es bueno pues yo ve\u00eda hasta antes de Let\u2019s Encript como un impuesto la decisi\u00f3n de Google, pues en el 2014 las autoridades certificadoras comerciales cobraban y aun cobran una cantidad de dinero excesiva por cada a\u00f1o de la valides del certificado, una de las mas baratas. Goddady actualmente cobra<\/p>\n\n\n\n<p>Esto en d\u00f3lares es un aproximado de 60 USD anuales por a\u00f1o, que se suma al costo del registrar del dominio y los costos de mantenimiento de los servicios de webhosting. Afortunadamente Let\u2019s encrypt llega a a salvar el d\u00eda y ahora todos pueden asegurar sus sitios con certificados libre de costo<\/p>\n\n\n\n<p><strong>\u00bf Que es Cerbot ?<\/strong><\/p>\n\n\n\n<p>Esa un script de l\u00ednea de comandos que te permite generar un certificado para tu dominio por default en maquinas con GNU\/Linux, aunque al estar escrito en Python podr\u00eda hacerlo en pr\u00e1cticamente cualquier sistema operativo.<\/p>\n\n\n\n<p><strong><em>Generar certificados<\/em><\/strong><\/p>\n\n\n\n<p><strong>Certificado por host<\/strong><\/p>\n\n\n\n<p>Es la forma mas facil de generar el certificado, debes estar en la misma maquina con la p\u00e1gina ya configurada en http, solo debes proporcionar el dominio y host as\u00ed como el directorio donde est\u00e1n los archivos del sitio web. La verificaci\u00f3n es muy simple, el script escribe unos archivos en el directorio del sitio web que deben quedar p\u00fablicos en internet, luego let\u2019script revisa que esos archivos existen y se ven desde el internet y confirma que tu eres el due\u00f1o del sitio web demostrando que puedes escribir archivos en el simplemente porque tu eres el webmaster, inmediatamente se genera la llave privada, el archivo de cadena y el certificado. Aunque hay opciones para que certbot los configure autom\u00e1ticamente por ti, yo prefiero hacerlo a la vieja escuela, todo manual los archivos del certificado estar\u00e1n en letsencrypt<\/p>\n\n\n\n<p><em>Comando<\/em>.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p>certbot certonly \u2013webroot -w \/www\/html -d www.lastdragon.net \u2013register-unsafely-without-email<\/p><\/blockquote>\n\n\n\n<p>Desventaja<\/p>\n\n\n\n<p>Si necesita un certificado para chat,mail o cualquier otro host, tendr\u00e1 que configurar un sitio web para cada uno y lanzar el comando para cada host. Este comando solo esta pensado para quienes quieren tener un certificado de su sitio web y nada mas.<\/p>\n\n\n\n<p>Una forma de subsanar esto es usar mas de un par\u00e1metro -d por ejemplo -d www.lastdragon.net -d chat.latdragon.net -d mail.lastdragon.net<\/p>\n\n\n\n<p>Aun as\u00ed se generar\u00e1n certificados independientes por cada host<\/p>\n\n\n\n<p><strong>Certificado por Wildcard<\/strong><\/p>\n\n\n\n<p>Un certificado wildcard es un poco mas complicado de obtener por que no hay que demonstrar que se controla un sitio web, sino que se controla el dominio y con esto demostrar que uno es el due\u00f1o o al menos el sysadmin t\u00e9cnico del dominio, la ventaja es que se obtiene un \u00fanico certificado que ampara todos los hosts en el dominio por lo tanto puede usarse el mismo certificado para www, mail, chat, etc.<\/p>\n\n\n\n<p><em>Comando<\/em><\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p>certbot certonly \u2013manual -d *.lastdragon.net \u2013register-unsafely-without-email \u2013preferred-challenges dns \u2013agree-tos<\/p><\/blockquote>\n\n\n\n<p>Se obtiene una salida similar a:<\/p>\n\n\n\n<p>Saving debug log to \/var\/log\/letsencrypt\/letsencrypt.log<br \/>Plugins selected: Authenticator manual, Installer None<br \/>Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org<br \/>Obtaining a new certificate<br \/>Performing the following challenges:<br \/>dns-01 challenge for lastdragon.net<\/p>\n\n\n\n<p>NOTE: The IP of this machine will be publicly logged as having requested this<br \/>certificate. If you\u2019re running certbot in manual mode on a machine that is not<br \/>your server, please ensure you\u2019re okay with that.<\/p>\n\n\n\n<p>Are you OK with your IP being logged?<\/p>\n\n\n\n<p>(Y)es\/(N)o: Y<\/p>\n\n\n\n<p>Please deploy a DNS TXT record under the name<br \/>_acme-challenge.lastdragon.net with the following value:<\/p>\n\n\n\n<p>atGrplklRdPq6pQQJmsmwGaFhMMLSl99xafhntxf9Lk<\/p>\n\n\n\n<p>Before continuing, verify the record is deployed.<\/p>\n\n\n\n<p>Press Enter to Continue<\/p>\n\n\n\n<p>En este momento el certbot estar\u00e1 en pausa esperando que se cree un registro TXT en el dominio con un c\u00f3digo para este caso el registro debe ser _acme-challenge.lastdragon.net y el valor atGrplklRdPq6pQQJmsmwGaFhMMLSl99xafhntxf9Lk<\/p>\n\n\n\n<p><em>Ejemplo de registro en bind9<\/em><\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p>_acme-challenge.lastdragon.net. 60 IN TXT \u201catGrplklRdPq6pQQJmsmwGaFhMMLSl99xafhntxf9Lk\u201d<\/p><\/blockquote>\n\n\n\n<p>Una vez activado los cambios en el servidor de DNS se le da enter en el script de certbot, quien pedir\u00e1 a las apis de let\u2019s encrypt que revisen que se cumpli\u00f3 con el reto de DNS, si el reto de crear un registro TXT con el valor es exitoso, entonces se genera el certificado wildcard<\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u00bf que es LET\u2019S ENCRYPT ? Es una autoridad certificadora que puede darte certificados SSL para tu dominio sin costo alguno para ti. En el 2014 en este mismo blog hice una critica a Google pues fue el a\u00f1o en el se impuso que las paginas http fueran consideradas inseguras, y solo se recomendar\u00edan las&#8230;<\/p>\n","protected":false},"author":1,"featured_media":2226,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-2294","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-consultoria-y-manuales"],"_links":{"self":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/2294","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2294"}],"version-history":[{"count":1,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/2294\/revisions"}],"predecessor-version":[{"id":2296,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/2294\/revisions\/2296"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/media\/2226"}],"wp:attachment":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2294"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2294"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2294"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}