Vediamo come procedere. Innanzitutto ci assicuriamo che il sistema sia aggiornato:

apt update && apt upgrade

Passiamo poi all’installazione dei pacchetti che servono:

apt install certbot python3-certbot-apache

Procediamo ora con l’emissione di un certificato. Innanzitutto bisogna assicurarsi che il sito sia raggiungibile sulla porta 80 e che anche la porta 443 sia aperta sul firewall, poi eseguiamo:

certbot --apache --agree-tos --non-interactive --no-eff-email --redirect --key-type ecdsa --email admin@example.com -d example.com

dove admin@example.com ed example.com saranno una email di riferimento ed il sito per cui generare il certificato.

I vari flag significano:

--apache: Utilizza il plugin di installazione di Apache per modificare l'host virtuale corrispondente.
--agree-tos: Accetta il contratto di abbonamento di Let's Encrypt per questo account.
--non-interactive: Impedisce al comando di interrompersi in caso di richieste relative all'account o al programma di installazione.
--no-eff-email: Rifiuta la condivisione facoltativa dell'email con l'Electronic Frontier Foundation.
--redirect: Aggiunge un reindirizzamento permanente da HTTP a HTTPS nella configurazione di Apache.
--key-type ecdsa: Richiede una chiave di certificato ECDSA in modo che Debian 11, 12 e 13 utilizzino lo stesso tipo di chiave.
--email: Imposta l'indirizzo email dell'account Let's Encrypt per il rinnovo e le notifiche di sicurezza.

Se tutto è andato a buon fine possiamo procedere con la verifica del certificato:

certbot certificates

Se abbiamo più nomi a dominio su cui abilitare il certificato HTTPS, possiamo digitare:

certbot --apache --agree-tos --non-interactive --no-eff-email --redirect --key-type ecdsa --email admin@example.com -d example.com -d www.example.com -d blog.example.com

Se invece non abbiamo un elenco o vogliamo farci chiedere come gestire l’emissione del certificato, possiamo digitare semplicemente:

certbot --apache

a cui seguiranno una serie di domande, a partire dalla scelta dei domini per cui emettere i certificati.

A questo punto resta solo da gestire il rinnovo automatico dei certificati. Possiamo digitare:

systemctl is-enabled certbot.timer
systemctl is-active certbot.timer

e se vogliamo fare un test di rinnovo senza effettivamente farlo, digitiamo:

certbot renew --dry-run

Se vogliamo verificare che il certificato sia stato correttamente emesso e sia configurato correttamente, possiamo usare il servizio, es:

https://www.ssllabs.com/ssltest/analyze.html?d=example.com

Qualora sia necessario aggiungere un nuovo dominio al certificato, possiamo digitare:

certbot --apache

scegliere i nomi a dominio per cui generare il certificato e poi espandere (premendo il pulsante E) il certificato corrente.

enjoy!

Per installare certbot, l’assistente per la generazione ed il rinnovo del certificato, su Debian Jessie, basta seguire i seguenti step:

wget https://dl.eff.org/certbot-auto
mv certbot-auto /usr/bin
chmod a+x /usr/bin/certbot-auto

Per avviare la proedura guidata:

certbot-auto --apache

Verrà richiesto l’host sul quale attivare il certificato e… certbot penserà al resto.
Infine, per rigenerare automaticamente il certificato (dato che scade ogni 3 mesi) inserire nel file /etc/crontab quanto segue:

enjoy!