Ir al contenido principal

Let’s Encrypt certificados Gratis en Linux - SSL/TLS con certbot para APACHE, POSTFIX y DOVECOT.

Certificado SSL/TLS con Certbot

APACHE, POSTFIX, y DOVECOT


Let’s Encrypt nos permite obtener Certificados gratis con una duración aproximadamente de 3 meses, pero es muy fácil renovar, y si no hay cambios de dominios en nuestros servidores se puede automatizar con un simple cron.

En esta ocasión se usara la herramienta certbot es un cliente ACME, el cual permite controlar y verificar los nombres de dominio, hay varios clientes ACME se pueden revisar en la pagina de Let’s Encrypt 

El cliente de certbot puede estar ya incluido en la distribucion Linux.

Por ejemplo para instalarlo en OpenSuse Leap 15.1

# zypper install python3-certbot

Si tienes problemas para instalar en tu distribución linux, puedes hacerlo vía snap, en la pagina de certbot hay varios tips de como instarlo y usarlo.

APACHE (HTTPS 443)

Generalmente ya se cuenta con servidor configurado con https apuntando con uno o mas dominios al servidor. Por lo que solo hay que correr certbot y el detectara los dominios ya configurados en Apache.

NOTAS:
  • Cerbot alterara el archivo de cada dominio que se tiene configurado con https, por lo que es buena idea hacer un respaldo de estas configuraciones. En Opensuse se almacenan en el directorio /etc/apache2/vhosts.d
  • Es importante que el servidor responda también en el puerto 80, cerbot lo necesita para validar los dominios.
Ejecutar Certbot.










Si solo nos interesa los certificados para ciertos dominios escribimos el numero del dominio, separado  por comas o damos enter para seleccionar todos.






Cerbot preguntara si queremos redirigir todo el trafico http a https, esto afectara la configuración de Apache si tienes dudas puedes seleccionar la opción 1 para que no altere la configuración de Apache.








Al final si no hay problemas con los dominios, mostrara un resumen con las rutas de los nuevos certificados.









Cerbot agregara la configuración de los certificados a la configuración de cada dominio.

Ejemplo: Configuración de Virtual host de apache.

dominio.com.mx.conf












POSTFIX (SMTP 587/STARTTLS)


Los mismos certificados generados para Apache se pueden usar para Postfix.

En el archivo master.cf se debe de tener habilitado submission (587/tcp) el cual activara TLS.











En el archivo main.cf incluir la ruta de los certificados generados para apache.














DOVECOT (IMAP 993 SSL/TLS,  POP3 995/SSL/TLS)


Al igual que Postfix, Dovecot se puede apuntar para que use los mismos certificados generados para Apache.

Ejemplo: Activar ssl en conf.d/10-ssl.conf








Los certificados tienen una vigencia de 3 meses, parece poco pero tampoco es muy complicado generarlos nuevamente, no toma mas de 5 minutos hacerlo, si no hay cambios en el servidor como, bajas de dominio o dominios nuevos, la activación puede automatizarse mediante un cron.

En el caso de  que existan cambios de dominios, es posible que cambie la ruta de los nuevos certificados, para el caso de Apache Certbot actualizara los archivos de configuración, pero para Postfix o Dovecot se necesita modificar la nuevas rutas manualmente en los archivos de configuración de Postfix y Dovecot.



Comentarios

Publicar un comentario

Entradas populares de este blog

 Extensiones Remotas Issabel PBX

Extensiones Remotas Issabel/Elastix Usar extensiones Remotas En Issabel PBX no es complicado, pero si debemos de considerar varios puntos, para tener extensiones remotas con una buena calidad de voz y sin olvidarse de la seguridad. La configuración es aplicable para instalaciones en servidores Elastix, solo que la configuración de Fail2Ban se debe de hacer manualmente desde la consola de Linux. Internet  No importa si es una extensión o varias a configurar siempre hay que tener en cuenta que si usamos el mismo enlace para navegar, los canales de voz perderán ante los protocolos de navegación como http, ftp etc. Por lo que tendremos una mala calidad en nuestras llamadas, por ejemplo voz entrecortada. Nota: Algunos clientes en la PC hacen descargas de archivos tomando todo el ancho de banda disponible, afectando la calidad de voz. Seguridad Ante las experiencias que se vivieron con Elastix y VtigerCRM, muchos ya no intentaron publicar su PBX en Internet, el hackeo a sus PBX solo toma...
Publicar un comentario
Leer más

Creacion de VLAN Cisco SF 300-48

Configuración Switch Modo Capa 3 y habilitar conexión SSH. El Switch SF 300-48 por default viene configurado para trabajar en Capa 2, en este caso necesitamos que este en modo Capa 3 para que realice funciones de ruteo. Para cambiar esta configuración nos conectamos vía el puerto serie a la consola Cisco. La conexión se puede hacer con HyperTerminal en Windows o Minicom en Linux. Los valores a usar para la conexión son: Velocidad en bits por segundo = 115.200 Bits de datos = 8 Paridad = Ninguna Bits de parada = 1 Control de flujo = Ninguno Ejemplo Minicom Linux. Ejemplo HyperTerminal. Ir a Todos los Programas ==> Accesorios ==> Comunicaciones ==> HyperTerminal Crear una conexión nueva asignar cualquier nombre, seleccionar nuestro puerto serie. Cambiar a Capa 3. Ya conectados a la consola del Switch usar el usuario y contraseña "cisco", la primera vez obligara a cambiar la contraseña. Estando en el menú Ir a System Mode ==>  en l...
1 comentario
Leer más