{"id":9740,"date":"2022-06-15T16:50:06","date_gmt":"2022-06-15T22:50:06","guid":{"rendered":"https:\/\/ugit.siua.ac.cr\/?p=9740"},"modified":"2022-06-16T19:40:27","modified_gmt":"2022-06-17T01:40:27","slug":"letsencript-agregar-un-certificado-ssl-wildcard-a-un-dominio","status":"publish","type":"post","link":"https:\/\/sada.services\/?p=9740","title":{"rendered":"Let&#8217;sencript: Agregar un certificado SSL Wildcard a un dominio"},"content":{"rendered":"\n<p><a href=\"https:\/\/help.dreamhost.com\/hc\/es\/articles\/360002538951-Agregar-un-certificado-SSL-Wildcard-a-un-dominio-DreamCompute\">https:\/\/help.dreamhost.com\/hc\/es\/articles\/360002538951-Agregar-un-certificado-SSL-Wildcard-a-un-dominio-DreamCompute<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Servidor: DNS<\/h2>\n\n\n\n<ul class=\"wp-block-list\"><li>Primero habilitamos el internet en el servidor<\/li><li>Copiamos el archivo para crear un respaldo<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>cp \/etc\/bind\/named.conf.options \/etc\/bind\/named.conf.options.bak.16.05.2022<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>el archivo contiene<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>options {\n        directory \"\/var\/cache\/bind\";\n\n        \/\/ If there is a firewall between you and nameservers you want\n        \/\/ to talk to, you may need to fix the firewall to allow multiple\n        \/\/ ports to talk.  See http:\/\/www.kb.cert.org\/vuls\/id\/800113\n\n        \/\/ If your ISP provided one or more IP addresses for stable\n        \/\/ nameservers, you probably want to use them as forwarders.\n        \/\/ Uncomment the following block, and insert the addresses replacing\n        \/\/ the all-0's placeholder.\n        empty-zones-enable no;\n        query-source address * port 53;\n        \/\/ allow-notify {181.193.87.3; };\n\n        \/\/forwarders {\n                \/\/0.0.0.0;\n                \/\/8.8.8.8;\n                \/\/8.8.4.4;\n         \/\/};\n\n        \/\/========================================================================\n        \/\/ If BIND logs error messages about the root key being expired,\n        \/\/ you will need to update your keys.  See https:\/\/www.isc.org\/bind-keys\n        \/\/========================================================================\n\n                dnssec-validation auto;\n\n                auth-nxdomain no;    # conform to RFC1035\n        \/\/      listen-on-v6 { any; };\n                allow-query {any; };\n                listen-on {127.0.0.1; 181.193.87.2; };\n        \/\/      allow-transfer {none };\n                allow-recursion {none; };\n                recursion no;\n};\n<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Modificamos<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>*******************************************\n\/\/forwarders {\n                \/\/0.0.0.0;\n                \/\/8.8.8.8;\n                \/\/8.8.4.4;\n         \/\/};\nX\nforwarders {\n                \/\/0.0.0.0;\n                8.8.8.8;\n                8.8.4.4;\n         };\n\n*******************************************\nallow-recursion {none; };\nrecursion no;\n\nX\nallow-recursion {any; };\nrecursion yes;\n\n*******************************************<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>recargamos el servicio<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>\/etc\/init.d\/bind9 restart<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>habilitamos los PING, para esto abrimos el archivo<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>nano \/etc\/sysctl.conf<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Y comentamos la linea<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>net.ipv4.icmp_echo_ignore_all = 1\nX\n#net.ipv4.icmp_echo_ignore_all = 1<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>recargamos<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>sysctl --system\nsysctl -p<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>habilitarlo en iptables listamos la reglas<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>iptables -L<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Y podemos ver que tenemos bloqueos <\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>Chain ufw-before-input (1 references)\ntarget     prot opt source               destination         \nACCEPT     all  --  anywhere             anywhere            \nACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED\nufw-logging-deny  all  --  anywhere             anywhere             state INVALID\nDROP       all  --  anywhere             anywhere             state INVALID\nDROP       icmp --  anywhere             anywhere             icmp destination-unreachable\nDROP       icmp --  anywhere             anywhere             icmp source-quench\nDROP       icmp --  anywhere             anywhere             icmp time-exceeded\nDROP       icmp --  anywhere             anywhere             icmp parameter-problem\nDROP       icmp --  anywhere             anywhere             icmp echo-request\nACCEPT     udp  --  anywhere             anywhere             udp spt:bootps dpt:bootpc<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Las modificamos<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>iptables --policy OUTPUT ACCEPT \/ DROP<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Actualizamos el servidor<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>apt-get update<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Creamos una llave <\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>dnssec-keygen -a HMAC-SHA512 -b 512 -n HOST certbot.<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Esto produce una clave p\u00fablica y una privada en archivos separados, los archivos se nombran con el nombre de la clave, el n\u00famero de algoritmo y la huella digital de la clave.\u00a0Los archivos clave son propiedad de root y est\u00e1n en el grupo \u00abbind\u00bb.<\/li><li>resultado<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>Kcertbot.+165+25215<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Comprobamos<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>ls -la\n\n#Resultado\n-rw-r--r--   1 root bind   116 jun 16 11:48 Kcertbot.+165+25215.key\n-rw-------   1 root bind   232 jun 16 11:48 Kcertbot.+165+25215.private\n<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Coloque la siguiente configuraci\u00f3n en el archivo\u00a0\/etc\/bind\/named.conf.certbot\u00a0.\u00a0Este archivo de configuraci\u00f3n configura la clave que certbot usar\u00e1 para enviar actualizaciones a BIND.\u00a0Tambi\u00e9n configura una zona para el subdominio \u00ab_acme-challenge\u00bb, que Let&#8217;s Encrypt consultar\u00e1 durante la emisi\u00f3n de un certificado comod\u00edn (como parte de su desaf\u00edo DNS01).\u00a0Al tener el subdominio en su propia zona, podemos enviarle actualizaciones sin alterar ninguna de las entradas en el dominio principal.\u00a0Aqu\u00ed, el texto\u00a0mydomain.com\u00a0debe reemplazarse con su propio nombre de dominio ra\u00edz.\u00a0Si va a requerir un certificado para cada uno de los m\u00faltiples dominios, replique la cl\u00e1usula de zona para cada dominio, reemplazando el nombre del dominio en cada uno seg\u00fan sea necesario.<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>nano \/etc\/bind\/named.conf.certbot<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Agregamos el contenido<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>key \"certbot.\" {\n        algorithm hmac-sha512;\n        secret \"private key from the file Kcertbot.+165+?????.private\";\n};\n\nzone \"_acme-challenge.mydomain.com\" {\n        type master;\n        file \"\/var\/lib\/bind\/db._acme-challenge.siua.ac.cr\";\n        check-names warn;\n        update-policy {\n                grant certbot. name _acme-challenge.siua.ac.cr. txt;\n        };\n};<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>El texto citado en la cl\u00e1usula secreta se reemplaza con la clave privada en el archivo \u00ab.private\u00bb, generado anteriormente, asegur\u00e1ndose de conservar las comillas.\u00a0Aseg\u00farese de incluir la\u00a0<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>check-names warn;<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Sin \u00e9l, BIND rechazar\u00e1 el gui\u00f3n bajo en el dominio \u00ab_acme-challenge\u00bb, que es un requisito de Let&#8217;s Encrypt, y la zona DNS no se iniciar\u00e1, lo que generar\u00e1 errores cuando se intente actualizarla.\u00a0Es una buena idea monitorear\u00a0\/var\/log\/syslog\u00a0la primera vez que se reinicia BIND, de modo que se pueda verificar la salida de BIND para asegurarse de que todas las zonas, especialmente aquellas que contienen \u00ab_acme-challenge\u00bb, est\u00e9n cargadas.<\/li><li>Abrimos el archivo<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>cat Kcertbot.+165+25215.private<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Copiamos la clave<\/li><li>Y abrimos el archivo<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>nano \/etc\/bind\/named.conf.certbot<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Y modificamos<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>secret \"private key from the file Kcertbot.+165+?????.private\";\nX\nsecret \"jexxrr4D99APdmVjhiv+N6mFySMYd5rXoY3haYpJixOVb6HyB8tZ...lZ16RIX+8SGdg==\";<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>El archivo debe ser propiedad de root y estar en el grupo de vinculaci\u00f3n. Por lo general, debe ser inaccesible para proteger la clave privada, pero el grupo de vinculaci\u00f3n debe poder leerlo.\u00a0Los comandos para hacer esto son:<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>chown root:bind \/etc\/bind\/named.conf.certbot\nchmod 640 \/etc\/bind\/named.conf.certbot<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Ahora necesita crear un archivo de zona,\u00a0\/var\/lib\/bind\/db._acme-challenge.siua.ac.cr, para cada dominio.\u00a0El contenido de cada archivo de zona debe ser el siguiente.\u00a0Mantenemos el archivo en\u00a0\/var\u00a0en lugar de\u00a0\/etc\u00a0, ya que BIND lo actualizar\u00e1 y algunas distribuciones usan AppArmor para restringir que los programas escriban en\u00a0\/etc\u00a0.<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>nano \/var\/lib\/bind\/db._acme-challenge.siua.ac.cr<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Agregamos el contenido<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>$TTL 43200\t; 12 hours\n_acme-challenge.siua.ac.cr. IN\tSOA siua.ac.cr. admin.siua.ac.cr. (\n\t\t\t\t2022051601 ; serial\n\t\t\t\t28800      ; refresh (8 hours)\n\t\t\t\t7200       ; retry (2 hours)\n\t\t\t\t604800     ; expire (1 week)\n\t\t\t\t86400      ; minimum (1 day)\n\t\t\t\t)\n\t\t\tNS\tns2.siua.ac.cr.\n\t\t\tNS\tns.siua.ac.cr.\n\t\t\tTXT\t\"127.0.0.1\"<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Como antes, el texto\u00a0mydomain.com\u00a0debe reemplazarse con su propio nombre de dominio ra\u00edz.\u00a0El texto\u00a0second.net\u00a0debe reemplazarse con el nombre de dominio de su servidor DNS secundario.\u00a0Se supone que su servidor DNS principal es la instancia BIND con la que estamos trabajando actualmente.\u00a0Tambi\u00e9n se supone que su\u00a0direcci\u00f3n de correo electr\u00f3nico del hostmaster es hostmaster#mydomain.com\u00a0<a href=\"https:\/\/translate.google.com\/website?sl=en&amp;tl=es&amp;hl=es-419&amp;prev=search&amp;u=https:\/\/tools.ietf.org\/html\/rfc2142\">.<\/a><\/li><li>BIND debe poder escribir en cada archivo de zona.\u00a0Los comandos para configurar los permisos necesarios (repetir para cada archivo) son:<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>chown root:bind \/var\/lib\/bind\/db._acme-challenge.siua.ac.cr\nchmod 664 \/var\/lib\/bind\/db._acme-challenge.siua.ac.cr<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>al archivo de zona de cada dominio (normalmente llamado\u00a0\/etc\/bind\/db.mydomain.com\u00a0).\u00a0Recuerde reemplazar\u00a0mydomain.com\u00a0con su propio nombre de dominio.\u00a0Si est\u00e1 utilizando vistas, la l\u00ednea tendr\u00e1 que ir dentro del archivo de zona para la\u00a0vista\u00a0que es visible para los servidores de Let&#8217;s Encrypt en Internet.\u00a0Por ejemplo, si tiene una vista para su LAN y otra vista para Internet, la l\u00ednea tendr\u00e1 que ir en el archivo de zona para la vista de Internet.<\/li><li>Abrimos el archivo<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>nano \/etc\/bind\/db.siua.ac.cr<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Agregamos la resoluci\u00f3n<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>_acme-challenge         IN      NS      siua.ac.cr.<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Finalmente, debemos incluir nuestro archivo de configuraci\u00f3n de nivel superior en el archivo de configuraci\u00f3n para BIND.\u00a0Agregue la l\u00ednea:<\/li><li>Abrimos el archivo<\/li><li>}<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>nano \/etc\/bind\/named.conf<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Agregamos <\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>include \"\/etc\/bind\/named.conf.certbot\";<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Reiniciamos el servicios<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>\/etc\/init.d\/bind9 restart<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Puede omitir esta secci\u00f3n, o si es conservador, puede usar las t\u00e9cnicas de esta secci\u00f3n para verificar que la actualizaci\u00f3n din\u00e1mica de DNS est\u00e9 funcionando antes de integrarla con\u00a0certbot\u00a0.<\/li><li>Verifique que la configuraci\u00f3n para BIND sea correcta emitiendo el comando:<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>named-checkconf<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>ejecutamos <\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>nsupdate -k \/etc\/bind\/Kcertbot.+165+25215\nserver ns.siua.ac.cr\nupdate add _acme-challenge.siua.ac.cr 86400 TXT 192.168.1.1\nsend<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Ahora consulta el servidor DNS para ver si se ha actualizado con el registro TXT seg\u00fan lo solicitado:<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>dig @ns.siua.ac.cr _acme-challenge.siua.ac.cr txt<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Nuevamente, aseg\u00farese de que\u00a0mydomain.com\u00a0se reemplace con su propio dominio y se apliquen las mismas advertencias al nombre del servidor de nombres (en el argumento que comienza con &#8216;@&#8217;) como para el comando\u00a0nsupdate\u00a0anterior.\u00a0Deber\u00eda ver el registro TXT\u00a0<samp>\u00ab_acme-challenge.midominio.com 86400 TXT 192.168.1.1\u00bb<\/samp>aparecer\u00e1 en la secci\u00f3n de respuesta de la salida de\u00a0excavaci\u00f3n\u00a0si la actualizaci\u00f3n funciona correctamente.<\/li><li>Ahora elimine el registro del servidor DNS:<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>nsupdate -k \/etc\/bind\/Kcertbot.+165+25215\nserver ns.siua.ac.cr\nupdate delete _acme-challenge.siua.ac.cr 86400 TXT 192.168.1.1\n> send<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Y use\u00a0dig\u00a0como antes para verificar que el registro TXT se haya ido.<\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Pendiente de confirmar<\/h2>\n\n\n\n<ul class=\"wp-block-list\"><li>Abrimos el dns y agregamos <\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>;---------------------------- ACME para LETSENCRIPT ---------------------------\n_acme-challenge.siua.ac.cr      1       IN      TXT     FFe3N5oKcIUNSKdNR1nGBOHAIQWHjCX471eOAJVvg0A<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Le instalamos apt<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>aptitude install apt<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Actualizamos el serial y recargamos el servicio<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>\/etc\/init.d\/bind9 restart<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>esperamos unos 15 minutos y luego ejecutamos, para comprobar que el registro se creo correctamente<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>dig _acme-challenge.siua.ac.cr +short txt<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>ejecutamos<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>dnssec-keygen -a HMAC-SHA512 -b 512 -n HOST letencrypt Kletsencrypt.+165+15583<\/code><\/pre>\n\n\n\n<h2 class=\"wp-block-heading\">Servidor: Proxy<\/h2>\n\n\n\n<ul class=\"wp-block-list\"><li>Ejecutamos<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>apt install certbot python3-certbot-apache python3-certbot-dns-rfc2136 -y<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Si no encuentra el paquete python3-certbot-dns-rfc2136 es por que no teien los backports en sources.list entonces los agregamos<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>nano \/etc\/apt\/sources.list<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Agregamos<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>deb http:\/\/ftp.debian.org\/debian stretch-backports main contrib non-free<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Actualizamos<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>apt update<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Volvemos a instalar<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>apt install certbot python3-certbot-apache python3-certbot-dns-rfc2136 -y<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Coloque la siguiente configuraci\u00f3n en el archivo\u00a0\/etc\/letsencrypt\/dns_rfc2136_credentials.txt\u00a0.\u00a0El nombre del servidor DNS debe reemplazarse con el nombre de su propio servidor DNS.\u00a0Si usa vistas en su DNS, tome nota de la advertencia sobre las vistas internas y externas en la secci\u00f3n anterior y aseg\u00farese de usar un nombre de dominio o una direcci\u00f3n IP que haga que certbot acceda a la vista externa de su servidor DNS.\u00a0El texto<samp>clave privada del archivo Kcertbot.+165+?????.private<\/samp>debe reemplazarse con el texto exacto de la clave secreta que se coloc\u00f3 en la cl\u00e1usula\u00a0clave\u00a0en el archivo\u00a0\/etc\/bind\/named.conf.certbot\u00a0.\u00a0Esta vez no debes usar comillas.<\/li><li>Abrimos el archivo<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>nano \/etc\/letsencrypt\/dns_rfc2136_credentials.txt<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Agregamos este contenido<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code># Target DNS server\ndns_rfc2136_server = ns.siua.ac.cr\n# Target DNS port\ndns_rfc2136_port = 53\n# TSIG key name\ndns_rfc2136_name = certbot.\n# TSIG key secret\ndns_rfc2136_secret = jexxrr4D99APdmVjhiv+N6mFySMYd5rXoY3haYpJixOVb6HyB8tZr.....Qz4QavyylZ16RIX+8SGdg==\n# TSIG key algorithm\ndns_rfc2136_algorithm = HMAC-SHA512<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>El archivo\u00a0\/etc\/letsencrypt\/dns_rfc2136_credentials.txt\u00a0debe configurarse para que solo el root pueda leerlo, para proteger la clave secreta que contiene.\u00a0Usa los comandos:<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>chown root:root \/etc\/letsencrypt\/dns_rfc2136_credentials.txt\nchmod 600 \/etc\/letsencrypt\/dns_rfc2136_credentials.txt<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li><\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Obtener certificados comod\u00edn: Proxy<\/h2>\n\n\n\n<ul class=\"wp-block-list\"><li>ejecutamos<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>certbot --manual -d \"siua.ac.cr\" -d \"*.siua.ac.cr\" --server https:\/\/acme-v02.api.letsencrypt.org\/directory certonly\n\n\/usr\/bin\/certbot certonly --dns-rfc2136 --dns-rfc2136-credentials \/etc\/letsencrypt\/dns_rfc2136_credentials.txt -d siua.ac.cr -d *.siua.ac.cr<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Resultado<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>Saving debug log to \/var\/log\/letsencrypt\/letsencrypt.log\nPlugins selected: Authenticator manual, Installer None\nObtaining a new certificate\nPerforming the following challenges:\ndns-01 challenge for siua.ac.cr\nhttp-01 challenge for siua.ac.cr\n\n- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -\nNOTE: The IP of this machine will be publicly logged as having requested this\ncertificate. If you're running certbot in manual mode on a machine that is not\nyour server, please ensure you're okay with that.\n\nAre you OK with your IP being logged?\n- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -\n(Y)es\/(N)o: Y\n\n- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -\nPlease deploy a DNS TXT record under the name\n_acme-challenge.siua.ac.cr with the following value:\n\nFFe3N5oKcIUNSKdNR1nGBOHAIQWHjCX471eOAJVvg0A\n\nBefore continuing, verify the record is deployed.\n- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -\nPress Enter to Continue\n<\/code><\/pre>\n\n\n\n<p class=\"has-primary-color has-text-color\"><strong>NO presiones la tecla&nbsp;Enter&nbsp;todav\u00eda<\/strong><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Devuelta termina 1<\/h2>\n\n\n\n<ul class=\"wp-block-list\"><li>ENTER<\/li><li>RESULTAOD<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>Create a file containing just this data:\n\nyqUd9I1FhcFJtnjAaY_thXbaQVzCXRV1E-x8qMZLJCI.0L6oZ2FXvZnCkPVaJNNAWIYnnDucD1EiRRJNUsnL4QY\n\nAnd make it available on your web server at this URL:\n\nhttp:&#47;&#47;siua.ac.cr\/.well-known\/acme-challenge\/yqUd9I1FhcFJtnjAaY_thXbaQVzCXRV1E-x8qMZLJCI\n\n(This must be set up in addition to the previous challenges; do not remove,\nreplace, or undo the previous challenge tasks yet.)\n\n- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -\nPress Enter to Continue<\/code><\/pre>\n\n\n\n<h2 class=\"wp-block-heading\">terminal www.siua.ac.cr<\/h2>\n\n\n\n<ul class=\"wp-block-list\"><li>Nos conectamos al servidor que tiene la pa\u01f5ina de la siua<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>ssh root@www.siua.ac.cr -p 44<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Creamos el directorio<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>mkdir -p \/var\/www\/html\/Sitios\/siua.ac.cr\/.well-known\/acme-challenge<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Creamos el archivo<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>nano \/var\/www\/html\/Sitios\/siua.ac.cr\/.well-known\/acme-challenge\/yqUd9I1FhcFJtnjAaY_thXbaQVzCXRV1E-x8qMZLJCI<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>Y agregamos el contenido<\/li><\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>yqUd9I1FhcFJtnjAaY_thXbaQVzCXRV1E-x8qMZLJCI.0L6oZ2FXvZnCkPVaJNNAWIYnnDucD1EiRRJNUsnL4QY<\/code><\/pre>\n\n\n\n<ul class=\"wp-block-list\"><li>De vuelta en tu primer terminal, haz clic en la tecla &#8216;Enter&#8217; en tu teclado para continuar. Verificar\u00e1 el archivo que acabas de agregar, luego nuevamente te indicar\u00e1 que crees el registro TXT. Como ya has creado este registro TXT, vuelva a hacer clic en &#8216;Enter.<\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>https:\/\/help.dreamhost.com\/hc\/es\/articles\/360002538951-Agregar-un-certificado-SSL-Wildcard-a-un-dominio-DreamCompute Servidor: DNS Primero habilitamos el internet en el servidor Copiamos el archivo para crear un respaldo el archivo contiene Modificamos recargamos el servicio habilitamos los PING, para esto abrimos el archivo Y comentamos la linea recargamos habilitarlo en iptables listamos la reglas Y podemos ver que tenemos bloqueos Las modificamos Actualizamos el servidor Creamos [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[134],"tags":[163],"class_list":["post-9740","post","type-post","status-publish","format-standard","hentry","category-letsencrypt","tag-letsencrypt"],"blocksy_meta":{"styles_descriptor":{"styles":{"desktop":"","tablet":"","mobile":""},"google_fonts":[],"version":6}},"_links":{"self":[{"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/posts\/9740","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=9740"}],"version-history":[{"count":29,"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/posts\/9740\/revisions"}],"predecessor-version":[{"id":9863,"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/posts\/9740\/revisions\/9863"}],"wp:attachment":[{"href":"https:\/\/sada.services\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=9740"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=9740"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=9740"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}