Ir al contenido principal

Let’s Encrypt certificados Gratis en Linux - SSL/TLS con certbot para APACHE, POSTFIX y DOVECOT.

Certificado SSL/TLS con Certbot

APACHE, POSTFIX, y DOVECOT


Let’s Encrypt nos permite obtener Certificados gratis con una duración aproximadamente de 3 meses, pero es muy fácil renovar, y si no hay cambios de dominios en nuestros servidores se puede automatizar con un simple cron.

En esta ocasión se usara la herramienta certbot es un cliente ACME, el cual permite controlar y verificar los nombres de dominio, hay varios clientes ACME se pueden revisar en la pagina de Let’s Encrypt 

El cliente de certbot puede estar ya incluido en la distribucion Linux.

Por ejemplo para instalarlo en OpenSuse Leap 15.1

# zypper install python3-certbot

Si tienes problemas para instalar en tu distribución linux, puedes hacerlo vía snap, en la pagina de certbot hay varios tips de como instarlo y usarlo.

APACHE (HTTPS 443)

Generalmente ya se cuenta con servidor configurado con https apuntando con uno o mas dominios al servidor. Por lo que solo hay que correr certbot y el detectara los dominios ya configurados en Apache.

NOTAS:
  • Cerbot alterara el archivo de cada dominio que se tiene configurado con https, por lo que es buena idea hacer un respaldo de estas configuraciones. En Opensuse se almacenan en el directorio /etc/apache2/vhosts.d
  • Es importante que el servidor responda también en el puerto 80, cerbot lo necesita para validar los dominios.
Ejecutar Certbot.










Si solo nos interesa los certificados para ciertos dominios escribimos el numero del dominio, separado  por comas o damos enter para seleccionar todos.






Cerbot preguntara si queremos redirigir todo el trafico http a https, esto afectara la configuración de Apache si tienes dudas puedes seleccionar la opción 1 para que no altere la configuración de Apache.








Al final si no hay problemas con los dominios, mostrara un resumen con las rutas de los nuevos certificados.









Cerbot agregara la configuración de los certificados a la configuración de cada dominio.

Ejemplo: Configuración de Virtual host de apache.

dominio.com.mx.conf












POSTFIX (SMTP 587/STARTTLS)


Los mismos certificados generados para Apache se pueden usar para Postfix.

En el archivo master.cf se debe de tener habilitado submission (587/tcp) el cual activara TLS.











En el archivo main.cf incluir la ruta de los certificados generados para apache.














DOVECOT (IMAP 993 SSL/TLS,  POP3 995/SSL/TLS)


Al igual que Postfix, Dovecot se puede apuntar para que use los mismos certificados generados para Apache.

Ejemplo: Activar ssl en conf.d/10-ssl.conf








Los certificados tienen una vigencia de 3 meses, parece poco pero tampoco es muy complicado generarlos nuevamente, no toma mas de 5 minutos hacerlo, si no hay cambios en el servidor como, bajas de dominio o dominios nuevos, la activación puede automatizarse mediante un cron.

En el caso de  que existan cambios de dominios, es posible que cambie la ruta de los nuevos certificados, para el caso de Apache Certbot actualizara los archivos de configuración, pero para Postfix o Dovecot se necesita modificar la nuevas rutas manualmente en los archivos de configuración de Postfix y Dovecot.



Comentarios

Publicar un comentario

Entradas populares de este blog

 Extensiones Remotas Issabel PBX

Extensiones Remotas Issabel/Elastix Usar extensiones Remotas En Issabel PBX no es complicado, pero si debemos de considerar varios puntos, para tener extensiones remotas con una buena calidad de voz y sin olvidarse de la seguridad. La configuración es aplicable para instalaciones en servidores Elastix, solo que la configuración de Fail2Ban se debe de hacer manualmente desde la consola de Linux. Internet  No importa si es una extensión o varias a configurar siempre hay que tener en cuenta que si usamos el mismo enlace para navegar, los canales de voz perderán ante los protocolos de navegación como http, ftp etc. Por lo que tendremos una mala calidad en nuestras llamadas, por ejemplo voz entrecortada. Nota: Algunos clientes en la PC hacen descargas de archivos tomando todo el ancho de banda disponible, afectando la calidad de voz. Seguridad Ante las experiencias que se vivieron con Elastix y VtigerCRM, muchos ya no intentaron publicar su PBX en Internet, el hackeo a sus PBX solo toma...
Publicar un comentario
Leer más

Configurar DynDNS desde la Consola en EdgeRouter Lite Ubiquiti

Configurar DynDNS desde la Consola en EdgeRouter Lite Ubiquiti Firmware 1.6 Configurar DynDNS no es nada complicado desde la interfaz Web del Router Ubiquiti. Ir a  Services ==> DNS ==>  Dynamic DNS ==>  Add New Seleccionar nuestra interface conectada a Internet, el servicio que usaremos(dyndns), hostname, usuario y contraseña. Sin embargo en versiones 1.6  EdgeOS firmware, había bugs que hacia que no funcionara correctamente la actualización de la IP publica en DynDNS, por lo que  es bueno saber como configurar DynDNS vía consola. Corregir Bug. Nos conectamos a la consola del Router Ubiquiti ssh ubnt@192.168.45.254 Editamos el script, para corregir  el problema de que no actualiza la ip IP publica en Dyndns. $ sudo -u root vi /opt/vyatta/sbin/vyatta-dynamic-dns.pl Comentar la siguiente linea, aproximadamente en la linea 107. # $output .= "use=if, if=$interface\n\n\n"; Y agregar la siguiente linea. $output .= "use=web, web=checkip.dynd...
Publicar un comentario
Leer más