Parte 6 - Obtenga y Configure el Certificado
- Ruben Elizondo (Unlicensed)
- Nathan Bode (Unlicensed)
- Genere e instale el certificado usando certbot
- Actualice los certificados de raíz
- Verifique la instalación del certificado con zend
| Descripción | Comando | |
|---|---|---|
| 1 | Verifique que sus variables ambientales estén configuradas correctamente desde la Parte 3, específicamente en los pasos 1 y 2 antes de continuar, si no, es necesario regresar y rehacer esos pasos antes de continuar. El comando “Echo” da salida a lo que equivale su variable FQDN. La última línea del archivo .bashrc necesita ser: export FQDN=<su FQDN aqui> | echo $FQDN Ejemplo de Resultado zenops@node01:~$ echo $FQDN sed -e 1b -e '$!d' $HOME/.bashrc Ejemplo de Resultado zenops@node01:~$ sed -e 1b -e '$!d' $HOME/.bashrc |
| 2 | Instale un certificado (requerido para cifrado TLS de punta a punta para la red de Nodos Seguros). Certbot será utilizado para generar y verificar su certificado.
NOTA: Algunos proveedores de VPS tienen apache2 habilitado que bloquea el puerto 80. Necesitarás deshabilitar apache2 si se obtiene un error de enlace al puerto 80 cuando se esté estableciendo su certificado independiente. | Deshabilite apache2 (si se encuentra habilitado, vea la nota) sudo systemctl disable apache2 sudo systemctl stop apache2 sudo certbot certonly -n --agree-tos --register-unsafely-without-email --standalone -d $FQDN Example Output zenops@node01$ sudo certbot certonly -n --agree-tos --register-unsafely-without-email --standalone -d $FQDN Saving debug log to.../var/log/letsencrypt/letsencrypt.log Registering without email! Obtaining a new certificate Performing the following challenges: IMPORTANT NOTES: Donating to ISRG /............Let's Encrypt:..............https://letsencrypt.org/donate |
| 3 | Copie el root CA tal como se requiera por su distribución - este ejemplo está probado para Debian y Ubuntu. NOTA: Si usted escribe este comando, asegúrese de renombrar el certificado con una extensión ‘.crt’, esto es un requisito para que el próximo comando pueda identificar el certificado y agregarlo en el almacén de certificados (certificate store). Es recomendado que copien y peguen todo lo de esta guia, al menos que se indique lo contrario donde se tengan que reemplazar algunas variables. Para distribuciones CentOS / Arch Linux | Para Debian / Ubuntu sudo cp /etc/letsencrypt/live/$FQDN/chain.pem /usr/local/share/ca-certificates/chain.crt |
| 4 | Actualice el almacén de certificados (certificate store) con el root CA copiada en el paso anterior. Para distribuciones / Arch Linux distributions | Para Debian / Ubuntu sudo update-ca-certificates Example Output zenops@node01:~$ sudo update-ca-certificates Updating certificates in /etc/ssl/certs... |
| 5 | Agregue la ubicación del certificado y de la llave a el archivo zen.conf NOTA: Corra solamente estos comandos una vez. | Certificado echo "tlscertpath=/etc/letsencrypt/live/$FQDN/cert.pem" >> ~/.zen/zen.conf Llave privada echo "tlskeypath=/etc/letsencrypt/live/$FQDN/privkey.pem" >> ~/.zen/zen.conf |
| 6 | Modifique la propiedad y los permisos del grupo en el directorio / etc / letsencrypt para permitir que el usuario no root acceda al certificado y a la clave privada. (el acceso se otorga a través del grupo ssl-cert, al que se ha agregado el usuario no root) | Modificar propiedad sudo chown -R root:sudo /etc/letsencrypt/ Modificar permisos sudo chmod -R 750 /etc/letsencrypt/ |
| 7 | Ahora pare y comience zend para recoger la nueva configuración, certificado y clave privada. | zen-cli stop && sleep 30 && zend && sleep 30 |
| 8 | Verifique que el certificado esté instalado y configurado correctamente
Si la fila muestra falso, verifique que los pasos anteriores se hayan completado con éxito y consulte la guía de solución de problemas. | zen-cli getnetworkinfo Example Output zenops@node01:~$ zen-cli getnetworkinfo |
© 2019 Horizen. All rights reserved.
