loader

Uno de los principales problemas que debemos enfrentar al alojar aplicaciones de producción es garantizar su seguridad. El enfoque básico y comúnmente utilizado para el intercambio seguro de datos es el cifrado del tráfico de la aplicación con el protocolo HTTPS, que requiere el uso de un Certificado SSL.
Además, a partir del 1 de enero de 2017, uno de los navegadores más populares, Google Chrome, ha comenzado a marcar todas las páginas web, que solicitan datos de contraseña o tarjeta de crédito y no son seguras con SSL, ya que no es seguro . Esta novedad hace que la integración criptográfica sea aún más esencial.

Sin embargo, emitir y configurar un certificado SSL personalizado para un proyecto puede ser una tarea bastante complicada y lenta. Let’s Encrypt (LE) es una autoridad de certificación abierta y gratuita, que le permite simplificar y automatizar en gran medida el proceso de integración de certificados SSL confiables.

certificado ssl de vamos criptografar

Una tendencia general de mover la Web a HTTPS implica la automatización completa de la emisión y aplicación de certificados SSL personalizados. Por lo tanto, los desarrolladores de Jelastic hicieron un gran trabajo al empaquetar el servicio Let’s Encrypt con Cloud Scripting, para implementar una solución que le permita deshacerse de la renovación regular de certificados.

La principal ventaja de esta solución es una integración exclusiva e inmediata con el equilibrador de carga más común y las pilas de servidores de aplicaciones. De esta manera, brinda la posibilidad de proteger libremente la mayoría de las aplicaciones existentes que se ejecutan en Jelastic SaveinCloud.

Al implementarse como un complemento, esta solución se puede instalar fácilmente sobre cualquier contenedor con soporte SSL personalizado habilitado, es decir, los siguientes servidores (la lista se extiende constantemente):

  • Balanceadores de carga – NGINX, Apache LB, HAProxy, Barniz
  • Servidores de aplicaciones Java: Tomca t, TomEE, GlassFis h, Payara, Jetty
  • Servidores de aplicaciones PHP – Apache PHP, NGINX PHP
  • Servidores de aplicaciones Ruby: Apache Ruby, NGINX Ruby

Si necesita Let’s Encrypt SSL para cualquier otra pila, simplemente agregue un equilibrador de carga frente a sus servidores de aplicaciones e instale el complemento. La terminación SSL a nivel de carga se usa de manera predeterminada en topologías en clúster.

Cómo funciona

Durante la instalación, el complemento descarga y configura Let’s Encrypt Client (llamado agente de administración de certificados (CMA)), solicita los certificados Let’s Encrypt Certificate Authority (CA), aplica los certificados emitidos a la ejecución de la pila software de acuerdo con sus especificaciones de integración SSL y agrega una tarea en el cron especial para comenzar a actualizar los certificados cuando se acerca la fecha de vencimiento.

Validación de control de dominio

Después de la solicitud del certificado, Let’s Encrypt CA  verifica el punto de entry de 443 para probar que un servidor web determinado controla los dominios especificados.  Por lo tanto, durante el proceso de validación del dominio, todo el tráfico HTTPS entrante se enrutará internamente a port 9999 personalizado en que se ejecuta la correspondiente CMA.  Por lo tanto, puede producirse una breve caída de 2 segundos en el procesamiento del tráfico HTTPS durante el tiempo de este procedimiento de verificación. Al mismo tiempo, todo el tráfico HTTP, recibido en port 80 por defecto, continúa siendo procesado sin ninguna interrupción.

En caso de que una capa contenga varios nodos del mismo tipo, durante el período de actualización, todo el tráfico HTTPS entrante se enrutará adicionalmente al nodo principal donde se ejecuta CMA. Esto se logra definiendo reglas de enrutamiento DNAT especiales y temporales para que la solicitud de validación del dominio pueda ser manejada por CMA.

Como esta redirección sólo es necesaria durante la validación del dominio, estos ajustes especiales del DNAT serán eliminados poco después de que se confirme la coincidencia del nombre del host.

Después de la validación exitosa del dominio, la CMA obtiene la capacidad de solicitar, renovar y revocar los certificados SSL para los dominios especificados para generar automáticamente el par de claves SSL apropiado. Como resultado, los certificados emitidos se propagarán a todos los nodos a través de la API de Jelastic para que la aplicación esté configurada adecuadamente para el trabajo adicional a través de HTTPS.

A pesar de la larga descripción, todas estas operaciones se manejan en cuestión de minutos. Ahora, vamos a averiguar cómo iniciar realmente la instalación del complemento Let’s Encrypt.

Cómo instalar el certificado SSL Let’s Encrypt

Para obtener el certificado SSL para el nombre de host del entorno, ejecute lo siguiente:

1. Accede al panel de Jelastic y pulsa en Marketplace en la parte superior de la página. Dentro del marco abierto, ve a aba Add-ons y encuentra el paquete Encriptemos gratis SSL .

Dica: Como alternativa, puedes Import o file manifest.jps de Let’s Encrypt:
complementar repositorio.
https : //& github .  com / jelastic – jps / permite – encriptar blob master manifest .  jps A

importar el complemento via aba JPS permitir la personalización en tiempo real.

Click on Install para continuar.

2 . Después de buscar los datos necesarios, verá la ventana de instalación del complemento Encriptemos SSL .

Aquí necesitas:

  • proveer Exteriores (s) desde el entorno del objetivo, las opciones posibles son:
    • dejar el campo en blanco para crear un certificado SSL simulado, asignado a la URL interna del entorno ( env_name. { hoster_domaini> } ), para ser usado en pruebas
    • inserte el/los dominio(s) externo(s) vinculado(s) preliminar(es) para obtener un certificado de confianza para cada uno; si especifica varios nombres de host, sepárelos con una coma o punto y coma
  • seleccione nombre del ambiente correspondiente de la lista desplegable
  • seleccione a capa de Nosotros con su punto de entrada al entorno (normalmente se detecta y busca automáticamente por el complemento, pero se puede restablecer manualmente)

Finalmente, haga clic en Instalar para iniciar la instalación de los certificados SSL apropiados.

Observar que complemento requiere dirección público IP para un trabajo adecuado.  Por lo tanto, si el punto de entrada del entorno no tiene tal, se adjuntará automáticamente durante la instalación (tenga en cuenta que la IP pública es una opción de pago – el costo se puede encontrar dentro de la marco Cuotas & Precios).

3. El proceso de instalación puede tomar varios minutos para validar el nombre de dominio, emitir certificados con Let’s Encrypt y aplicarlos.
Cuando termine, podrá acceder al entorno Configuraciones& secion Custom SSSL para comprobar si el soporte HTTPS está activo y encontrar la fecha de caducidad del certificado.

4. Además, puede asegurarse de que todo funciona como se desea cuando se intenta abrir la aplicación por HTTPS :

vamos a encriptar el certificado ssl

Encriptemos – Actualización del certificado

Su certificado SSL Let’s Encrypt seguirá siendo válido durante 90 días. Después de que este período expire, deben ser renovados para que el cifrado permanezca activo.

Por defecto, los certificados SSL actualizados necesarios se solicitan y se aplican automáticamente 30 días antes de su expiración (recibirá la notificación por correo electrónico correspondiente). Esta verificación se realiza una vez al día en base al trabajo cronTime correspondiente. Si es necesario, se puede especificar la hora exacta estableciendo el cronTime correspondiente: ” 0 $ {fn.random (1.6)} * * “.

<Además, esta operación se puede realizar manualmente en cualquier momento. Para ello, haga clic en el botón Complementos  junto a la capa de entorno apropiado y utilice el botón Actualizar ahora  en el panel de complementos.

<Además, sus certificados SSL pueden ser actualizados reinstalando el complemento para el mismo nombre(s) de dominio.

Encriptemos – Reconfigurando certificados

Si es necesario, el complementar Encriptar  ya existente puede ajustarse para que coincida con los nuevos requisitos (es decir, para sustituir los nombres de dominio actualmente utilizados por una lista de los nuevos).

Nota:  Para evitar problemas de seguridad, se emitirá un nuevo certificado, incluso si el/los nombre(s) de dominio es(son) eliminado(s) del existente.

Pulsar en button Configurar en Cifrar panel y escribir una nueva lista de Dominios externos en la ventana emergente que se muestra.

Encriptemos – Eliminando la adición de SSL

Si es necesario, el complemento Encriptemos SSL puede ser fácilmente eliminado de su entorno. Sólo tienes que ir a tab Add-ons , ampliar la lista de opciones en la esquina superior derecha de platform Encriptar SSL y seleccionar Desinstalar :

Después de la confirmación, el complemento será eliminado y los certificados adjuntos serán desactivados.

¡Eso es!  Ahora ya sabe cómo instalar y administrar el complemento Let’s Encrypt para configurar el certificado SSL personalizado automático de su entorno, para que pueda proteger casi cualquier aplicación en poco tiempo, completamente gratis y sin apenas esfuerzo. Empiece ahora mismo en SaveinCloud.com .