Debian 13: come configurare al meglio Let’s Encrypt per avere un certificato HTTPS

Let’s Encrypt permette di generare un certificato HTTPS valido per rimuovere gli avvisi di sito “Non sicuro” del browser. Su debian viene utilizzato certbot insieme al plugin Apache python3-certbot-apache; Certbot modifica l’host virtuale di Apache, installa il certificato e configura il rinnovo automatico del certificato.

Vediamo come procedere. Innanzitutto ci assicuriamo che il sistema sia aggiornato:

apt update && apt upgrade

Passiamo poi all’installazione dei pacchetti che servono:

apt install certbot python3-certbot-apache

Procediamo ora con l’emissione di un certificato. Innanzitutto bisogna assicurarsi che il sito sia raggiungibile sulla porta 80 e che anche la porta 443 sia aperta sul firewall, poi eseguiamo:

certbot --apache --agree-tos --non-interactive --no-eff-email --redirect --key-type ecdsa --email admin@example.com -d example.com

dove admin@example.com ed example.com saranno una email di riferimento ed il sito per cui generare il certificato.

I vari flag significano:

--apache: Utilizza il plugin di installazione di Apache per modificare l'host virtuale corrispondente.
--agree-tos: Accetta il contratto di abbonamento di Let's Encrypt per questo account.
--non-interactive: Impedisce al comando di interrompersi in caso di richieste relative all'account o al programma di installazione.
--no-eff-email: Rifiuta la condivisione facoltativa dell'email con l'Electronic Frontier Foundation.
--redirect: Aggiunge un reindirizzamento permanente da HTTP a HTTPS nella configurazione di Apache.
--key-type ecdsa: Richiede una chiave di certificato ECDSA in modo che Debian 11, 12 e 13 utilizzino lo stesso tipo di chiave.
--email: Imposta l'indirizzo email dell'account Let's Encrypt per il rinnovo e le notifiche di sicurezza.

Se tutto è andato a buon fine possiamo procedere con la verifica del certificato:

certbot certificates

Se abbiamo più nomi a dominio su cui abilitare il certificato HTTPS, possiamo digitare:

certbot --apache --agree-tos --non-interactive --no-eff-email --redirect --key-type ecdsa --email admin@example.com -d example.com -d www.example.com -d blog.example.com

Se invece non abbiamo un elenco o vogliamo farci chiedere come gestire l’emissione del certificato, possiamo digitare semplicemente:

certbot --apache

a cui seguiranno una serie di domande, a partire dalla scelta dei domini per cui emettere i certificati.

A questo punto resta solo da gestire il rinnovo automatico dei certificati. Possiamo digitare:

systemctl is-enabled certbot.timer
systemctl is-active certbot.timer

e se vogliamo fare un test di rinnovo senza effettivamente farlo, digitiamo:

certbot renew --dry-run

Se vogliamo verificare che il certificato sia stato correttamente emesso e sia configurato correttamente, possiamo usare il servizio, es:

https://www.ssllabs.com/ssltest/analyze.html?d=example.com

Qualora sia necessario aggiungere un nuovo dominio al certificato, possiamo digitare:

certbot --apache

scegliere i nomi a dominio per cui generare il certificato e poi espandere (premendo il pulsante E) il certificato corrente.

enjoy!