Parte 6 - Obtenga y Configure el Certificado

  • Genere e instale el certificado usando certbot
  • Actualice los certificados de raíz
  • Verifique la instalación del certificado con zend



DescripciónComando
1

Verifique que sus variables ambientales estén configuradas correctamente desde la Parte 3, específicamente en los pasos 1 y 2 antes de continuar, si no, es necesario regresar y rehacer esos pasos antes de continuar.


El comando “Echo” da salida a lo que equivale su variable FQDN.










La última línea del archivo .bashrc necesita ser: export FQDN=<su FQDN aqui>

echo $FQDN


Ejemplo de Resultado

zenops@node01:~$ echo $FQDN
node01.zentest.win


sed -e 1b -e '$!d' $HOME/.bashrc


Ejemplo de Resultado

zenops@node01:~$ sed -e 1b -e '$!d' $HOME/.bashrc
# ~/.bashrc: executed by bash(1) for non-login shells.
export FQDN=node01.zentest.win

2

Instale un certificado (requerido para cifrado TLS de punta a punta para la red de Nodos Seguros). Certbot será utilizado para generar y verificar su certificado.

    • Usted puede pasar con seguridad la marca --register-unsafely-without-email porque (1) un nuevo certificado puede ser pedido en cualquier momento (2) la guía configurará la renovación automática del certificado en la parte 10

NOTA: Algunos proveedores de VPS tienen apache2 habilitado que bloquea el puerto 80. Necesitarás deshabilitar apache2 si se obtiene un error de enlace al puerto 80 cuando se esté estableciendo su certificado independiente.

Deshabilite apache2 (si se encuentra habilitado, vea la nota)

sudo systemctl disable apache2
sudo systemctl stop apache2
sudo certbot certonly -n --agree-tos --register-unsafely-without-email --standalone -d $FQDN
Example Output

zenops@node01$ sudo certbot certonly -n --agree-tos --register-unsafely-without-email --standalone -d $FQDN

Saving debug log to.../var/log/letsencrypt/letsencrypt.log

Registering without email!

Obtaining a new certificate

Performing the following challenges:
http-01 challenge for node01.zentest.win
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
....-...Congratulations! Your certificate and chain have been saved at:
........./etc/letsencrypt/live/node01.zentest.win/fullchain.pem
.........Your key file has been saved at:
........./etc/letsencrypt/live/node01.zentest.win/privkey.pem
.........Your cert will expire on 2018-09-05. To obtain a new or tweaked
.........version of this certificate in the future, simply run certbot
.........again. To non-interactively renew *all* of your certificates, run
........."certbot renew"
....-...If you like Certbot, please consider supporting our work by:

Donating to ISRG /............Let's Encrypt:..............https://letsencrypt.org/donate
Donating to EFF:..........................................................https://eff.org/donate-le


3

Copie el root CA tal como se requiera por su distribución - este ejemplo está probado para Debian y Ubuntu.


NOTA: Si usted escribe este comando, asegúrese de renombrar el certificado con una extensión ‘.crt’, esto es un requisito para que el próximo comando pueda identificar el certificado y agregarlo en el almacén de certificados (certificate store). Es recomendado que copien y peguen todo lo de esta guia, al menos que se indique lo contrario donde se tengan que reemplazar algunas variables.


Para distribuciones CentOS / Arch Linux

Para Debian / Ubuntu

sudo cp /etc/letsencrypt/live/$FQDN/chain.pem /usr/local/share/ca-certificates/chain.crt
4

Actualice el almacén de certificados (certificate store) con el root CA copiada en el paso anterior.


Para distribuciones / Arch Linux distributions

Para Debian / Ubuntu

sudo update-ca-certificates
Example Output

zenops@node01:~$ sudo update-ca-certificates

Updating certificates in /etc/ssl/certs...
1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d...
done.

5

Agregue la ubicación del certificado y de la llave a el archivo zen.conf

NOTA: Corra solamente estos comandos una vez.

Certificado

echo "tlscertpath=/etc/letsencrypt/live/$FQDN/cert.pem" >> ~/.zen/zen.conf

Llave privada

echo "tlskeypath=/etc/letsencrypt/live/$FQDN/privkey.pem" >> ~/.zen/zen.conf
6

Modifique la propiedad y los permisos del grupo en el directorio / etc / letsencrypt para permitir que el usuario no root acceda al certificado y a la clave privada. (el acceso se otorga a través del grupo ssl-cert, al que se ha agregado el usuario no root)

Modificar propiedad

sudo chown -R root:sudo /etc/letsencrypt/

Modificar permisos

sudo chmod -R 750 /etc/letsencrypt/
7Ahora pare y comience zend para recoger la nueva configuración, certificado y clave privada.
zen-cli stop && sleep 30 && zend && sleep 30
8

Verifique que el certificado esté instalado y configurado correctamente

  • Ejecute el comando que se muestra y verifique que true se devuelve en esta fila - "tls_cert_verified": true


Si la fila muestra falso, verifique que los pasos anteriores se hayan completado con éxito y consulte la guía de solución de problemas.

zen-cli getnetworkinfo


Example Output

zenops@node01:~$ zen-cli getnetworkinfo
{
"version": 2001751,
"subversion": "/zen:2.0.17-1/",
"protocolversion": 170002,
"localservices": "0000000000000001",
"timeoffset": 0,
"connections": 8,
"tls_cert_verified": true,

Parte 6 de 11 - Obtenga y Configure el Certificado



© 2019 Horizen. All rights reserved.