Ya no es necesario que nadie tenga que crear sus propios certificados SSL porque ahora puede obtener su propio certificado SSL válido y gratuito de Let's Encrypt . Este certificado solo está validado por el dominio, por lo que no debe usarse para el comercio electrónico. El certificado emitido por Let's Encrypt puede ser válido para los dominios primario y secundario que especifique, pero Let's Encrypt aún no admite certificados comodín. OpenBSD incluye un cliente Let's Encrypt llamado acme-client
.
NOTA: Recuerde reemplazar example.org
con su dominio .
Configure el /etc/acme-client.conf
archivo de configuración.
# cd /etc
# vi acme-client.conf
Agregue lo siguiente al archivo. El domain full chain
certificado contiene la cadena Let's Encrypt SSL, que es útil para la validación. Aquí, usaremos la cadena completa en lugar de domain certificate
.
domain example.org {
alternative names { www.example.org webmail.example.org }
domain key "/etc/ssl/private/example.org.key"
domain certificate "/etc/ssl/example.org.cert"
domain full chain certificate "/etc/ssl/example.org.fullchain.cert"
sign with letsencrypt
}
Configurar y comenzar httpd.conf
. El cliente acme utiliza un servidor web para realizar sus desafíos para verificar la validez del dominio. Estos desafíos deben ser exitosos para que se emita un certificado válido y firmado.
server "default" {
listen on port 80
root "/htdocs"
directory index index.html
location "/.well-known/acme-challenge/*" {
root {"/acme", strip 2}
}
}
# rcctl start httpd
Tipo acme-client -ADv example.org
. ahora debería tener un certificado SSL válido. Será válido durante 90 días antes de que tenga que volver a ejecutar acme-client para volver a emitir el certificado.
Si obtiene algún error, asegúrese de tener port 80
abierto en su firewall. Necesitará un registro DNS A que se resuelva example.org
en la dirección IP de su instancia de Vultr.
# echo 'pass in on egress inet proto tcp from any to port 80 flags S/SA modulate state' >> /etc/pf.conf
# pfctl -f /etc/pf.conf