meta data de esta página
Diferencias
Muestra las diferencias entre dos versiones de la página.
Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previaÚltima revisiónAmbos lados, revisión siguiente | ||
aplicaciones:nginx:certificados [2021/07/27 14:22] – lc | aplicaciones:nginx:certificados [2021/08/04 11:08] – lc | ||
---|---|---|---|
Línea 14: | Línea 14: | ||
<note warning> | <note warning> | ||
< | < | ||
+ | |||
+ | También podemos automatizar las peticiones de certificados sin que nos pida nada. | ||
+ | |||
+ | <sxh > | ||
+ | certbot certonly \ | ||
+ | -d midominio.es \ | ||
+ | --noninteractive \ | ||
+ | --standalone \ | ||
+ | --agree-tos \ | ||
+ | --register-unsafely-without-email | ||
+ | </ | ||
+ | < | ||
+ | |||
+ | Para parar el servicio de ngnix < | ||
=== Paso 4 === | === Paso 4 === | ||
- | Si tenemos el servidor nginx arrancado el propio certbot nos lo puede configurar . Si prefieres hacerlo manualmente debes de editar el fichero **etc/ | + | Si tenemos el servidor nginx arrancado el propio certbot nos lo puede configurar |
<sxh bash> | <sxh bash> | ||
# Redirecciona el puerto 80 a https | # Redirecciona el puerto 80 a https | ||
Línea 37: | Línea 51: | ||
</ | </ | ||
| | ||
- | === Paso 5 === | + | |
- | Para renovar el certificado manualmente | + | <sxh bash> |
- | < | + | # Deshabilitar las cabeceras inválidas y la versión de nginx |
- | | + | ignore_invalid_headers |
+ | server_tokens | ||
+ | |||
+ | #Evitar ataques de buffer overflow | ||
+ | client_body_buffer_size | ||
+ | client_header_buffer_size | ||
+ | client_max_body_size | ||
+ | large_client_header_buffers 2 1k; | ||
+ | |||
+ | #Controlar Time-outs | ||
+ | client_body_timeout | ||
+ | client_header_timeout | ||
+ | send_timeout | ||
+ | keepalive_timeout | ||
+ | |||
+ | #OCSP Stapling | ||
+ | ssl_stapling | ||
+ | ssl_stapling_verify | ||
+ | resolver | ||
+ | resolver_timeout | ||
+ | |||
+ | </ | ||
+ | ==== Renovación del certificado | ||
+ | === Manualmente | ||
+ | Para renovar el certificado manualmente | ||
+ | < | ||
+ | === Automáticamente === | ||
+ | Con un script en cron que ejecute el comando diáramente. Por ejemplo este que se ejecuta todos los días a las 6 de la mañana y a las 9 de la noche | ||
+ | < | ||
+ | |||
+ | Si las renovaciones no funcionan debemos hacer lo siguiente (https:// | ||
+ | |||
+ | Editar el archivo / | ||
+ | <sxh bash> | ||
+ | server { | ||
+ | listen 80; | ||
+ | listen [::]:80; | ||
+ | root / | ||
+ | index index.php index.html index.htm; | ||
+ | server_name midominio.es www.midominio.es; | ||
+ | |||
+ | #permitir la respuesta HTTP a todo lo que se encuentre en el directorio “.well-known/ | ||
+ | location ~ / | ||
+ | allow all; | ||
+ | } | ||
+ | #Todas las peticiones que se soliciten en esa dirección no serán redireccionadas a HTTPS. | ||
+ | location / { | ||
+ | return 301 https:// | ||
+ | } | ||
+ | } | ||
+ | </ | ||
+ | ===== Referencias ===== | ||
+ | | ||
+ | * https:// | ||
+ | * https:// |