Luis Faria – Vibrações Tecnológicas.

Criar um certificado SSL Grátis e configurar no Nginx

Vamos aprender como criar um SSL verificado gratuitamente usando como webserver o Nginx no Ubuntu Server

Os certificados SSL trabalham com a Porta 443 então se tens o iptables ativo vamos abrir esta porta e instalar o iptables-persistent para que a porta fique aberta a cada reboot assim:

apt install -y iptables-persistent

Após instalado libertamos a porta 443, gravamos a regra e reiniciamos o iptables:

iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
service iptables save
service iptables restart

Agora temos a porta 443 aberta de forma persistente, supondo que já tens o Nginx instalado e com o vHost ativo vamos criar o certificado, instalamos então o certbot.

add-apt-repository ppa:certbot/certbot
apt install -y python-certbot-nginx

Após instalado criamos o certificado e seguimos as etapas

certbot --nginx -d luisfaria.org -d www.luisfaria.org

Após o comando e completado todas as etapas, vamos verificar o arquivo do vHost contem as linhas responsáveis pelo certificado que acabamos de criar, devemos também verificar se a porta 443 se encontra aberta no vHost do Nginx desta forma

listen 443 ssl;

Os arquivos do certificado estão presentes desta forma:

ssl_certificate/etc/letsencrypt/live/luisfaria.org/fullchain.pem;
ssl_certificate_key/etc/letsencrypt/live/luisfaria.org/privkey.pem; 
include /etc/letsencrypt/options-ssl-nginx.conf;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

Feito isto o certificado deve já estar ativo e funcional então vamos dar reload no Nginx para testar se tudo está correto:

service nginx reload

Caso não tenha ocorrido nenhum erro fazemos restart no nginx:

service nginx restart

Nota de segurança: O Certbot / Letsencrypt não deixa criar certificados SSL em wildcard, isto deve-se a um conceito de segurança que diz que em caso de perda da private key todo o site ficará vulnerável, portanto devemos ter em conta que mesmo que compremos um certificado, nunca façamos wildcard em SSL por se tratar de uma prática insegura.

Em caso de duvida deixa o teu comentário!