Hace tiempo escribí una entrada para realizar la instalación de un certificado Let´s Encrypt en tomcat. En dicho post utilizaba el cliente CertBot (recomendado por Let´s Encrypt) y método de validación tls-sni-01, el cual usa por defecto el puerto 443, y en el momento de este post no se puede cambiar.
Hará un par de días un cliente me pidió que realizara la instalación de un certificado en su servidor, rápidamente pensé en Let´s Encrypt como opción. A la hora de realizar la instalación apareció un problema, era que el puerto 443 lo tenía cerrado e interiormente hacía una re-dirección, con lo que al lanzar el script de certbot me lanzaba, lógicamente, un error de validación.
Para solucionar la papeleta tuve que realizar la instalación vía
dns-01
challenge. Esto significa que la validación se hará mediante DNS. En el momento de la instalación, mi cliente favorito CertBot no soportaba este modo de validación, así, después de ver la lista de clientes me decidí a usar acme.sh .
Acme.sh es un cliente bastante extendido, su creador @neilpangxa lo tiene muy documentado, y la puesta en marcha no fue nada difícil.
Los pasos para realizar la instalación son bastantes sencillos.
Descargar el Script
$ wget -O - https://get.acme.sh | sh
Ejecutar el script en modo DNS
$ ./acme.sh --issue --dns -d dominio.com
Agregar la entrada DNS en la configuración del dominio deseado:
Para esto entraremos en el panel de configuración del dominio, y añadiremos el token que nos da el script como una entrada TXT en los registros DNS. En el dominio tendremos que añadir el prefijo _acme-challenge. Quedando así _acme-challenge.dominio.com
Ejecutar el script con la opción renew
$ ./acme.sh --renew -d dominio.com
Esto generará y descargará automáticamente el certificado en una carpeta creada con el nombre del dominio.
Como veis es una opción bastante rápida que nos puede ser muy útil en según que casos.
