Certificados SSL gratuitos con Let’s Encrypt #
Una de las cuestiones clave con las que deberíamos ocuparnos al alojar aplicaciones de producción es garantizar su seguridad. El enfoque muy básico y comúnmente utilizado para el intercambio seguro de datos es cifrar el tráfico de la aplicación con el protocolo HTTPS.
Además de eso, a partir del 1 de enero de 2017, uno de los navegadores más populares, Google Chrome, ha comenzado a marcar todas las páginas web, que solicitan especificar la contraseña o los detalles de la tarjeta de crédito y no están protegidas con SSL, como no seguras. Esta novedad hace que la integración del cifrado sea aún más esencial.
Sin embargo, emitir y configurar un certificado SSL personalizado para un proyecto puede ser una tarea bastante complicada y que requiere mucho tiempo. Let’s Encrypt (LE) es una autoridad certificadora abierta y gratuita, que permite simplificar y automatizar enormemente el proceso de integración de certificados SSL de confianza.
Así, los desarrolladores de Weppa Cloud han hecho un gran trabajo al empaquetar el servicio Let’s Encrypt con Cloud Scripting , para implementar una solución que permita deshacerse de realizar renovaciones periódicas de certificados.
La ventaja clave de esta solución es una integración única y lista para usar con las pilas de servidores de aplicaciones y equilibradores de carga más populares.
De esta manera, brinda la posibilidad de proteger libremente la mayoría de las aplicaciones existentes que se ejecutan en Weppa Cloud.
Al estar aprovisionada como un complemento, esta solución se puede instalar fácilmente en la parte superior de cualquier contenedor con el soporte de SSL personalizado habilitado, a saber, los siguientes servidores (la lista se amplía constantemente):
Equilibradores de carga: NGINX, Apache LB, HAProxy , Varnish
Servidores de aplicaciones Java: Tomca t, TomEE, GlassFis h, Payara, Jetty
Servidores de aplicaciones PHP – Apache PHP, NGINX PHP
Servidores de aplicaciones Ruby: Apache Ruby, NGINX Ruby
Si necesita Let’s Encrypt SSL para cualquier otro stack tecnológico, simplemente agregue un equilibrador de carga frente a sus servidores de aplicaciones e instale el complemento.
La terminación SSL en el nivel de equilibrio de carga se utiliza de forma predeterminada en topologías agrupadas.
Cómo funciona #
Durante la instalación, el complemento descarga y configura el cliente Let’s Encrypt (el llamado agente de administración de certificados (CMA)), solicita certificados a la autoridad certificadora (CA) Let’s Encrypt, aplica certificados emitidos al stack tecnológico en ejecución de acuerdo con sus especificaciones de integración SSL y agrega un trabajo cron especial para iniciar la actualización de certificados cuando se acerca la fecha de vencimiento.
Validación de control de dominio #
Tras la solicitud de emisión de certificados, Let’s Encrypt CA verifica el punto de entrada del entorno en el puerto 80 para demostrar que el servidor web dado controla los dominios especificados. Por lo tanto, durante el proceso de validación del dominio, todo el tráfico HTTP entrante se enrutará internamente al puerto 12345 personalizado donde se ejecuta el proxy CMA correspondiente.
En caso de que una capa contenga varios nodos del mismo tipo, durante el período de actualización todo el tráfico HTTP entrante se enrutará adicionalmente al nodo maestro donde se ejecuta el proxy CMA. Esto se logra estableciendo reglas de enrutamiento DNAT temporales especiales para que la solicitud de validación de dominio pueda ser manejada por el CMA.
Dado que dicha redirección solo se requiere durante la validación del dominio, estas configuraciones especiales de DNAT se eliminarán justo después de que se confirme la correspondencia del nombre de host.
Después de la validación exitosa del dominio, CMA tiene la capacidad de solicitar, renovar y revocar certificados SSL para dominios específicos, por lo que generará automáticamente el par de claves SSL apropiado. Como resultado, los certificados emitidos se propagarán a todos los nodos dentro de la capa de punto de entrada a través de la API de Jelastic para que la aplicación se configure correctamente para el trabajo posterior a través de HTTPS.
A pesar de la extensa descripción, todas estas operaciones se manejan en cuestión de minutos. Ahora, descubramos cómo iniciar realmente la instalación del complemento Let’s Encrypt.
Vamos a instalar el certificado SSL #
Para obtener un certificado SSL para el nombre de host del entorno, realice lo siguiente:
1. Inicia sesión en el panel de weppa cloud y haz clic en la tienda de aplicaciones en la parte superior de una página. Dentro del marco abierto, cambia a la pestaña complementos y busca el paquete Let’s Encrypt Free SSL.
Haz clic en Instalar para continuar.
2 . Una vez que se obtienen los datos requeridos, verás la ventana de instalación del complemento Let’s Encrypt SSL.
Aquí, necesitas:
- Proporcionar dominios externos del entorno de destino, las opciones posibles son:
- Deja el campo en blanco para crear un certificado SSL ficticio, asignado a la URL interna del entorno ( env_name. { hoster_domain } ), para ser utilizado en las pruebas
- Inserta los dominios externos vinculados preliminares para obtener un certificado de confianza para cada uno de ellos; si especifica varios nombres de host, sepárelos con coma o punto y coma
- Selecciona el nombre del entorno correspondiente dentro de la lista desplegable expandible
- Selecciona una capa de nodos con el punto de entrada de su entorno (por lo general, el complemento lo detecta y recupera automáticamente, pero se puede redefinir manualmente)
Finalmente, haz clic en Instalar para iniciar la instalación de los certificados SSL apropiados.
Tenga en cuenta: Que el complemento requiere una dirección IP pública para funcionar correctamente. Entonces, en caso de que el punto de entrada del entorno no lo tenga, se adjuntará automáticamente durante la instalación (tenga en cuenta que la IP pública es una opción paga; el costo se puede encontrar dentro del marco de cuotas y precios ).
3. El proceso de instalación puede tardar varios minutos para validar la propiedad del nombre de dominio, emitir certificados de Let’s Encrypt y aplicarlos. Cuando termine, puedes acceder a la sección configuración del entorno > SSL personalizado para verificar que el soporte HTTPS está activo y encontrar la fecha de vencimiento del certificado.
4. También puedes asegurarte de que todo funcione como se esperaba al intentar abrir la aplicación a través de HTTPS :
Como puede ver, el entorno es accesible y la conexión establecida es segura y confiable para el navegador.
Instalación de complementos a través de API #
Alternativamente, el complemento se puede instalar con la instalación del método de la API de Weppa Cloud. La llamada de API se ve así:
https: // [ hoster-api-host ] /1.0/marketplace/jps/rest/install?jps=letsencrypt-ssl-addon&session= {session} & envName = {your_env_name} & nodeGroup = {your_node_group} & settings = {your_addon_settings}
dónde:
{session} : token de autenticación o sesión del usuario
{your_env_name} : nombre del entorno de destino
{your_node_group} : identificador único del nodeGroup
{your_addon_settings} : lista de configuraciones específicas de complementos en formato JSON (pares clave: valor)
Configuraciones disponibles:
- customDomains: dominios externos vinculados para obtener un certificado de confianza para cada uno de ellos; si especifica varios nombres de host, sepárelos con una coma o un punto y coma. Déjelo en blanco para crear un certificado SSL ficticio X1, asignado al dominio interno del entorno
- nodeGroup [opcional] : grupo de nodos de entorno donde se debe instalar el complemento. El valor predeterminado es: nodeGroup del complemento
- nodeId [opcional] : nodo de entorno particular donde se instalará la nube complementaria
- webroot [opcional] : utilice el método “webroot” en lugar de “independiente” para la validación del dominio por parte de la autoridad de certificación Let’s Encrypt. Por defecto es: falso
- webrootPath [opcional] : un directorio (“raíz web”) que contiene los archivos proporcionados por su servidor web para validar un dominio (solo se aplica si “webroot = true”)
- fallbackToX1 [opcional] : obtenga un certificado de prueba de un servidor intermedio si falla la emisión de un certificado X3 confiable. Por defecto es: falso
- deployHook [opcional] : un enlace o un cuerpo de secuencia de comandos para invocar después de obtener un certificado
- deployHookType [opcional] : bash o js (solo se aplica si el parámetro deployHook no está vacío). El valor predeterminado es: js
- undeployHook [opcional] : un enlace o un cuerpo de secuencia de comandos para invocar después de desinstalar el complemento
- undeployHookType [opcional] : bash o js (solo se aplica si el parámetro undeployHook no está vacío). El valor predeterminado es: js
- prueba [opcional] : obtenga un certificado X1 ficticio de un servidor intermedio. Por defecto es: falso
Actualización de Let’s Encrypt Certificates #
Tus certificados SSL de Let’s Encrypt seguirán siendo válidos durante 90 días. Después de que expire este período, es necesario renovarlos para que el cifrado permanezca activo.
De forma predeterminada, los certificados SSL actualizados requeridos se solicitan y aplican automáticamente 30 días antes del vencimiento (recibirá la notificación por correo electrónico correspondiente). Este chequeo se realiza una vez al día según el trabajo cron apropiado. Si es necesario, la hora exacta se puede especificar ajustando la configuración correspondiente “cronTime”: ” 0 $ {fn.random (1,6)} * * * ” dentro de este archivo de manifiesto de paquete.
Además, esta operación se puede realizar manualmente en cualquier momento. Para eso, haz clic en el botón complementos junto a la capa de entorno adecuada y usa el botón actualizar ahora dentro del panel de complementos.
