Certificado
Los certificados sirven para garantizar la confidencialidad y la autenticidad de las comunicaciones entre un navegador web y tu servidor. En particular, permite proteger los visitantes contra atacantes que podrían intentar de robar la identidad del servidor.
Por defecto, YunoHost provee un certificado auto-firmado, lo que significa que es tu servidor el que garantiza la validez del certificado. Es suficiente en el caso de un uso personal, porque puedes confiar en tu propio servidor, pero esto planteará problemas si piensas en abrir el acceso a tu servidor a personas anónimas, por ejemplo si quieres alojar un sitio web.
En efecto, los usuarios deberán pasar por una pantalla de este tipo :
Esta pantalla equivale a que te pidan ** ¿ Confías en el servidor que aloja este sitio ? ***. Esto puede asustar tu usuarios (con toda la razón).
To avoid this confusion, it's possible to get a certificate signed a known authority named Let's Encrypt which provide free certificates directly recognized by browsers. YunoHost allows to directly install this certificate from the web administration interface or from the command line.
Instalar un certificado Let's Encrypt
Antes de intentar la instalación de un certificado Let's Encrypt, primero debes asegurarte de que el DNS está configurado correctamente (tu.dominio.tld debe apuntar hacia la IP de tu servidor) y que el sitio está accesible en HTTP desde afuera (i.e. por lo menos que el puerto 80 está correctamente redirigido hacia tu servidor).
- From the web interface
- From the command line
En la categoría 'Dominio' de la interfaz de administración, y luego en la sección dedicada a tu dominio, encontrarás un botón 'Certificado SSL'.
En la sección 'Certificado SSL', puedes ver el estado corriente del certificado. Si acabas de añadir el dominio, ya dispone de un certificado auto-firmado.
Si tu dominio está configurado correctamente, es posible instalar un certificado Let's Encrypt vía el botón verde.
Una vez la instalación terminada, puedes ir a tu dominio vía tu navegador, en HTTPS, para comprobar que tu certificado está bien firmado por Let's Encrypt. El certificado se renovará automáticamente al cabo de cada periodo de tres meses.
Conectate en tu servidor en SSH.
Puedes comprobar el estatus corriente de tu certificado vía
yunohost domain cert status your.domain.tld
Instala el certificado Let's Encrypt vía
yunohost domain cert install your.domain.tld
Este comando debe devolverte :
Success! The SSOwat configuration has been generated
Success! Successfully installed Let's Encrypt certificate for domain DOMAIN.TLD!
Una vez que la instalación está terminada, puedes dirigirte a tu dominio vía tu navegador, en HTTPS, para comprobar que el certificado está bien firmado por Let's Encrypt. El certificado se renovará automáticamente al cabo de cada periodo de tres meses.
Si hay un problema
Si, después de una manipulación incorrecta, un certificado se encuentra en una mala situación (e.g. pérdida del certificado o imposibilidad de leerlo), es posible regenerar un certificado autofirmado :
yunohost domain cert install your.domain.tld --self-signed --force
Si YunoHost te dice que tu dominio está mal configurado mientras que has verificado tu configuración DNS y que tienes acceso a tu servidor en HTTP desde afuera, puedes intentar :
- add a line
127.0.0.1 your.domain.tldto the file/etc/hostson your server; - if the certificate installation still doesn't work, you can disable the checks with
--no-checksafter thecert installcommand.