Crear certificado comodín Let’s Encrypt
Este artículo explica cómo crear un certificado comodín Let’s Encrypt gratuito.
Te recomiendo que utilices un certificado con una validez superior a 3 meses, como los certificados Let’s Encrypt. En Central, todavía no se puede automatizar la importación. Sin embargo, a menudo querrás probar primero la solución ZTNA en la fase de prueba de 30 días. Let’s Encrypt es una buena opción en este caso si aún no tienes un certificado comodín.
Instala la herramienta Certbot de Let’s Encrypt
Antes de poder crear certificados comodín gratuitos, necesitas instalar certbot. En este caso estoy utilizando un servidor Ubuntu. Para instalarlo, ejecuta los siguientes comandos:
sudo apt update
sudo apt-get install letsencrypt
Generar certificado SSL comodín Let’s Encrypt
Después de instalar Certbot, ya puedes empezar a crear certificados.
Para los certificados comodín, Let’s Encrypt exige una verificación a través del DNS. Esto garantiza que estás realmente autorizado a crear un certificado para este dominio.
Para crear un certificado comodín para el dominio *.avanet.com, ejecutamos los siguientes comandos:
sudo certbot certonly --manual --preferred-challenges=dns --email webmaster@avanet.com --server https://acme-v02.api.letsencrypt.org/directory --agree-tos -d avanet.com -d *.avanet.com
certonly | Solicitar o renovar un certificado sin instalarlo |
–manual | Compra de certificados |
–preferred-challenges=dns | Utiliza DNS para autenticarte como propietario del dominio |
–server | Servidor que se utilizará para generar los certificados |
–agree-tos | Aceptación de los términos y condiciones del servidor ACME |
-d | Dominio para el que se va a crear un certificado |
Una vez completado el comando anterior, sigue siendo necesario comprobar la titularidad del dominio. Para ello, hay que crear una entrada TXT en los servidores DNS.
Tras la verificación, se generan los certificados y se pueden descargar desde la siguiente ruta:
/etc/letsencrypt/live/avanet.com/
Más adelante necesitaremos los archivos cert.pem y privkey.pem. Este último debe renombrarse de privkey .pem a privkey.key.