Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Abilita la comunicazione crittografata per le risorse Lightsail con Let's Encrypt
Questa guida tratta i seguenti argomenti relativi a Let's Encrypt in Amazon Lightsail. Prima di iniziare, assicurati di aver completato i seguenti prerequisiti:
**Prerequisiti**
+ [Crea un'istanza Lightsail che esegue LAMP, Nginx o WordPress](getting-started-with-amazon-lightsail.md)
+ [Registra un nome di dominio e accedi alla modifica dei relativi record DNS](amazon-lightsail-domain-registration.md)
+ [Utilizza il terminale SSH basato su browser Lightsail o il tuo client SSH personale.](understanding-ssh-in-amazon-lightsail.md)
**Topics**
+ [Proteggi la tua istanza LAMP di Lightsail con i certificati SSL Let's Encrypt](amazon-lightsail-using-lets-encrypt-certificates-with-lamp.md)
+ [Proteggi il tuo sito web Lightsail NGINX con Let's Encrypt SSL/TLS](amazon-lightsail-using-lets-encrypt-certificates-with-nginx.md)
+ [Proteggi la tua istanza WordPress Lightsail con i certificati SSL Let's Encrypt gratuiti](amazon-lightsail-using-lets-encrypt-certificates-with-wordpress.md)
# Proteggi la tua istanza LAMP di Lightsail con i certificati SSL Let's Encrypt
Amazon Lightsail semplifica la protezione di siti Web e applicazioni SSL/TLS utilizzando i sistemi di bilanciamento del carico Lightsail. Tuttavia, l'utilizzo di un sistema di bilanciamento del carico Lightsail potrebbe non essere generalmente la scelta giusta. Il tuo sito potrebbe non necessitare della scalabilità e della tolleranza ai guasti forniti dai sistemi di bilanciamento del carico oppure potresti voler ottimizzare i costi.
In quest'ultimo caso, potresti considerare l'utilizzo di Let's Encrypt per ottenere un certificato SSL gratuito. Se così fosse, non c'è alcun problema. Puoi integrare questi certificati con le istanze Lightsail. Questo tutorial mostra come richiedere un certificato jolly Let's Encrypt tramite Certbot e integrarlo con l'istanza LAMP.
**Importante**
La distribuzione Linux usata dalle istanze Bitnami è stata modificata da Ubuntu a Debian nel luglio 2020. A causa di questa modifica, alcune fasi descritte in questo tutorial variano a seconda della distribuzione Linux dell'istanza. Tutte le istanze del progetto Bitnami create dopo tale modifica usano la distribuzione Debian di Linux. Le istanze create precedentemente, continueranno a utilizzare la distribuzione Ubuntu di Linux. Per verificare la distribuzione dell'istanza, esegui il comando `uname -a `. La risposta mostrerà Ubuntu o Debian come distribuzione Linux dell'istanza.
Bitnami sta modificando la struttura dei file per la maggior parte degli stack. I percorsi dei file in questo tutorial possono variare a seconda che lo stack Bitnami utilizzi pacchetti di sistema Linux nativi (Approccio A) o se si tratti di un'installazione autonoma (Approach B). Per identificare il tipo di installazione Bitnami e quale approccio seguire, eseguire il seguente comando:
`test ! -f "/opt/bitnami/common/bin/openssl" && echo "Approach A: Using system packages." || echo "Approach B: Self-contained installation."`
**Indice**
+ [Fase 1: completamento dei prerequisiti](#complete-the-prerequisites-lets-encrypt-lamp)
+ [Fase 2: installazione di Certbot sull'istanza](#install-certbot-on-your-instance-lamp)
+ [Fase 3: richiesta di un certificato jolly SSL Let's Encrypt](#request-a-lets-encrypt-certificate-lamp)
+ [Fase 4: Aggiunta di record TXT alla zona DNS del dominio](#add-a-text-record-to-your-domains-dns-zone-lets-encrypt-lamp)
+ [Fase 5: conferma che i registri TXT sono propagati](#confirm-the-text-records-have-propagated-lets-encrypt-lamp)
+ [Fase 6: completamento della richiesta di certificato SSL Let's Encrypt](#complete-the-lets-encrypt-certificate-request-lamp)
+ [Fase 7: creazione di collegamenti ai file del certificato Let's Encrypt nella directory del server Apache](#link-the-lets-encrypt-certificate-files-in-the-apache-directory-lamp)
+ [Fase 8: configurazione del reindirizzamento da HTTP a HTTPS per l'applicazione Web](#configure-http-to-https-redirection-lamp)
+ [Fase 9: rinnovo dei certificati Let's Encrypt ogni 90 giorni](#renew-a-lets-encrypt-certificate-lamp)
## Fase 1: completamento dei prerequisiti
Completa i seguenti prerequisiti qualora non siano già stati soddisfatti:
+ Crea un'istanza LAMP in Lightsail. Per ulteriori informazioni, consulta [Creazione di un'istanza](how-to-create-amazon-lightsail-instance-virtual-private-server-vps.md).
+ Registra un nome di dominio e ottieni l'accesso amministrativo per modificare i record DNS. Per ulteriori informazioni, consulta [Amazon Lightsail](understanding-dns-in-amazon-lightsail.md) DNS.
**Nota**
Ti consigliamo di gestire i record DNS del tuo dominio utilizzando una zona DNS Lightsail. Per ulteriori informazioni, consulta [Creazione di una zona DNS per gestire i record DNS del dominio](lightsail-how-to-create-dns-entry.md).
+ Utilizza il terminale SSH basato su browser nella console Lightsail per eseguire i passaggi di questo tutorial. Tuttavia, puoi anche utilizzare il tuo client SSH, ad esempio PuTTY. Per ulteriori informazioni su come configurare PuTTY, consulta [Download e configurazione di PuTTY per connettersi tramite SSH](lightsail-how-to-set-up-putty-to-connect-using-ssh.md).
Dopo aver completato i prerequisiti, procedi alla [prossima sezione](#install-certbot-on-your-instance-lamp) di questo tutorial.
## Fase 2: installazione di Certbot sull'istanza
Certbot è un client utilizzato per richiedere un certificato Let's Encrypt e distribuirlo in un server Web. Let's Encrypt utilizza il protocollo ACME per il rilascio di certificati e Certbot è un client abilitato per ACME che interagisce con Let's Encrypt.
**Per installare Certbot sulla tua istanza Lightsail**
1. Accedi alla console [Lightsail](https://lightsail.aws.amazon.com/).
1. Nel riquadro di navigazione a sinistra, scegli l'icona di connessione rapida SSH per l'istanza a cui desideri connetterti.
![\[Connessione rapida SSH sulla home page di Lightsail.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/amazon-lightsail-lamp-ssh-quick-connect.png)
1. Dopo aver connesso la sessione SSH basata su browser Lightsail, inserisci il seguente comando per aggiornare i pacchetti sull'istanza:
```
sudo apt-get update
```
![\[Aggiornamento dei pacchetti sull'istanza.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/amazon-lightsail-lamp-ssh-lets-encrypt-update-packages.png)
1. Immetti il seguente comando per installare il pacchetto delle proprietà del software. Gli sviluppatori Certbot utilizzano un Personal Package Archive (PPA) per distribuire Certbot. Il pacchetto delle proprietà del software lo rende più efficiente da usare. PPAs
```
sudo apt-get install software-properties-common
```
**Nota**
Se si verifica un errore `Could not get lock` durante l'esecuzione del comando `sudo apt-get install`, attendi circa 15 minuti e riprova. Questo errore potrebbe essere causato da un processo cron che utilizza lo strumento di gestione del pacchetto Apt per l'installazione automatica di aggiornamenti.
1. Immetti il seguente comando per aggiungere Certbot al repository apt locale:
**Nota**
La fase 5 si applica solo alle istanze che utilizzano la distribuzione Ubuntu di Linux. Salta questa fase se l'istanza usa la distribuzione Debian di Linux.
```
sudo apt-add-repository ppa:certbot/certbot -y
```
1. Immetti il seguente comando per aggiornare l'apt in modo da includere il nuovo repository:
```
sudo apt-get update -y
```
1. Immetti il seguente comando per installare Certbot:
```
sudo apt-get install certbot -y
```
Certbot è ora installato sulla tua istanza Lightsail.
1. Tieni aperta la finestra del terminale SSH basato su browser, a cui accederai nuovamente in una fase successiva di questo tutorial. Passa alla [prossima sezione](#request-a-lets-encrypt-certificate-lamp) di questo tutorial.
## Fase 3: richiesta di un certificato jolly SSL Let's Encrypt
Inizia il processo di richiesta di un certificato da Let's Encrypt. Tramite Certbot, richiedi un certificato jolly, che ti consente di utilizzare un unico certificato per un dominio e i relativi sottodomini. Ad esempio, un singolo certificato jolly funziona per il dominio `example.com` di primo livello, per `blog.example.com` e per i sottodomini `stuff.example.com`.
**Per richiedere un certificato jolly SSL Let's Encrypt**
1. Nella stessa finestra del terminale SSH basato su browser utilizzato nella [fase 2](#install-certbot-on-your-instance-lamp) di questo tutorial, immetti i seguenti comandi per impostare una variabile di ambiente per il dominio. È ora possibile copiare e incollare in modo più efficiente i comandi per ottenere il certificato.
```
DOMAIN=Domain
```
```
WILDCARD=*.$DOMAIN
```
Nel comando, sostituiscilo *Domain* con il tuo nome di dominio registrato.
Esempio:
```
DOMAIN=example.com
```
```
WILDCARD=*.$DOMAIN
```
1. Immetti il seguente comando per confermare che le variabili restituiscono i valori corretti:
```
echo $DOMAIN && echo $WILDCARD
```
Viene visualizzato un risultato simile a quello seguente:
![\[Conferma delle variabili di ambiente del dominio.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/bitnami-confirm-variables.png)
1. Immetti il seguente comando per avviare Certbot in modalità interattiva. Questo comando indica a Certbot di utilizzare un metodo di autorizzazione manuale con le richieste DNS di verifica della proprietà del dominio. Richiede un certificato jolly per il dominio di primo livello e per i relativi sottodomini.
```
sudo certbot -d $DOMAIN -d $WILDCARD --manual --preferred-challenges dns certonly
```
1. Quando richiesto, immetti l'indirizzo e-mail, che verrà utilizzato per le notifiche di rinnovo e di sicurezza.
1. Leggi i termini del servizio Let's Encrypt. Al termine, premi A in caso di accettazione. In caso contrario, non è possibile ottenere un certificato Let's Encrypt.
1. Rispondi di conseguenza alla richiesta di condivisione dell'indirizzo e-mail e all'avviso sulla registrazione dell'indirizzo IP.
1. Let's Encrypt richiede ora di verificare la proprietà del dominio specificato. Ciò avviene attraverso l'aggiunta di registri TXT ai record DNS per il dominio. Viene fornito un set di valori di registro TXT come nell'esempio seguente:
**Nota**
Let's Encrypt può fornire uno o più registri TXT necessario per la verifica. In questo esempio, sono stati forniti due registri TXT da utilizzare per la verifica.
![\[Registri TXT per i certificati Let's Encrypt.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/ssh/lets-encrypt-text-records.png)
1. Mantieni aperta la sessione SSH basata su browser Lightsail: tornerai ad essa più avanti in questo tutorial. Passa alla [prossima sezione](#add-a-text-record-to-your-domains-dns-zone-lets-encrypt-lamp) di questo tutorial.
## Fase 4: Aggiunta di record TXT alla zona DNS del dominio
L'aggiunta di un registro TXT alla zona DNS del dominio verifica la proprietà del dominio. A scopo dimostrativo, utilizziamo la zona DNS di Lightsail. Tuttavia, la procedura potrebbe essere simile per altre zone DNS generalmente ospitate da registrar di dominio.
**Nota**
Per ulteriori informazioni su come creare una zona DNS Lightsail per il tuo dominio, [consulta Creazione di una zona DNS per gestire i record DNS del tuo dominio in](lightsail-how-to-create-dns-entry.md) Lightsail.
**Per aggiungere record TXT alla zona DNS del tuo dominio in Lightsail**
1. **Nel riquadro di navigazione a sinistra, scegli Domini e DNS.**
1. Nella sezione **DNS zones (zone DNS)** della pagina, scegli la zona DNS per il dominio specificato nella richiesta di certificato Certbot.
1. Nell'editor della zona DNS, scegli la scheda **Record DNS**.
1. Scegli **Aggiungi record**.
1. Nel menu a discesa **Tipo di registro**, scegli **Registro TXT**.
1. Immetti i valori specificati dalla richiesta di certificato Let's Encrypt nei campi **Nome record** e **Risponde con**.
**Nota**
La console Lightsail precompila la parte di apice del dominio. Ad esempio, per aggiungere il sottodominio `_acme-challenge.example.com` è necessario semplicemente inserire `_acme-challenge` nella casella di testo, quindi Lightsail aggiunge automaticamente la parte `.example.com` durante il salvataggio del record.
1. Scegli **Save** (Salva).
1. Ripeti i passaggi da 4 a 7 per aggiungere il secondo set di registri TXT specificato dalla richiesta di certificato Let's Encrypt.
1. Tieni aperta la finestra del browser della console Lightsail: tornerai ad essa più avanti in questo tutorial. Passa alla [prossima sezione](#confirm-the-text-records-have-propagated-lets-encrypt-lamp) di questo tutorial.
## Fase 5: conferma che i registri TXT sono propagati
Utilizzate l' MxToolbox utilità per confermare che i record TXT si siano propagati al DNS di Internet. La propagazione dei record DNS potrebbe richiedere del tempo, a seconda del provider di hosting DNS e del TTL (Time-To-Live) configurato per i record DNS. È importante completare questa operazione e confermare che i registri TXT sono propagati, prima di continuare con la richiesta del certificato Certbot. In caso contrario, la richiesta di certificato ha esito negativo.
**Per confermare che i record TXT sono propagati nel DNS di Internet**
1. [Apri una nuova finestra del browser e vai a https://mxtoolbox.com /.aspx. TXTLookup](https://mxtoolbox.com/TXTLookup.aspx)
1. Immetti il testo seguente nella casella di testo.
```
_acme-challenge.Domain
```
*Domain*Sostituiscilo con il tuo nome di dominio registrato.
Esempio:
```
_acme-challenge.example.com
```
![\[MXToolbox Ricerca di record TXT.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/mxtoolbox-text-record-lookup.png)
1. Scegli **TXT Lookup (Ricerca TXT)** per eseguire il controllo.
1. Viene visualizzata una delle seguenti risposte:
+ Se i record TXT sono propagati nel DNS di Internet, è possibile visualizzare una risposta simile a quella mostrata nello screenshot seguente. Chiudi la finestra del browser e procedi alla [prossima sezione](#complete-the-lets-encrypt-certificate-request-lamp) di questo tutorial.
![\[Conferma che i registri TXT sono propagati.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/mxtoolbox-propagated-text-record-lookup.png)
+ Se i record TXT non sono propagati nel DNS di Internet, viene visualizzata la risposta **DNS Record not found (Record DNS non trovato)**. Conferma di aver aggiunto i record DNS corretti alla zona DNS del dominio. Se sono stati aggiunti i registri corretti, attendi finché i record DNS del dominio non vengono propagati ed esegui nuovamente la ricerca TXT.
## Fase 6: completamento della richiesta di certificato SSL Let's Encrypt
Torna alla sessione SSH basata su browser Lightsail per la tua istanza LAMP e completa la richiesta del certificato Let's Encrypt. Certbot salva i file di certificato SSL, chain e chiave in una directory specifica sull'istanza LAMP.
**Per completare la richiesta di certificato SSL Let's Encrypt**
1. Nella sessione SSH basata su browser Lightsail per la tua istanza LAMP, **premi Invio** per continuare la richiesta del certificato SSL Let's Encrypt. In caso di esito positivo, viene visualizzata una risposta simile a quella mostrata nello screenshot seguente:
![\[Esito positivo della richiesta di certificato Let's Encrypt.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/bitnami-certificate-request-success.png)
Il messaggio conferma che il certificato, la catena e i file chiave sono archiviati nella directory. `/etc/letsencrypt/live/Domain/` *Domain*sarà il tuo nome di dominio registrato, ad esempio`/etc/letsencrypt/live/example.com/`.
1. Annota la data di scadenza specificata nel messaggio. Verrà utilizzata per rinnovare il certificato entro tale data.
![\[Data di rinnovo del certificato Let's Encrypt.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/certificate-renewal-date.png)
1. Dopo aver installato il certificato di SSL Let's Encrypt, procedi alla [prossima sezione](#link-the-lets-encrypt-certificate-files-in-the-apache-directory-lamp) di questo tutorial.
## Fase 7: Creazione di collegamenti ai file del certificato Let's Encrypt nella directory del server Apache
Crea collegamenti ai file del certificato SSL Let's Encrypt nella directory del server Apache sull'istanza LAMP. Inoltre, esegui il backup dei certificati esistenti, in caso siano necessari in un secondo momento.
**Creare collegamenti ai file del certificato Let's Encrypt nella directory del server Apache**
1. Nella sessione SSH basata su browser Lightsail per la tua istanza LAMP, inserisci il seguente comando per interrompere i servizi dello stack LAMP sottostanti:
```
sudo /opt/bitnami/ctlscript.sh stop
```
Noterai una risposta simile alla seguente:
![\[Servizi dell'istanza interrotti.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/amazon-lightsail-ssh-stop-services.png)
1. Immetti il seguente comando per impostare una variabile di ambiente per il dominio.
```
DOMAIN=Domain
```
Nel comando, *Domain* sostituiscilo con il tuo nome di dominio registrato.
Esempio:
```
DOMAIN=example.com
```
1. Immetti il seguente comando per confermare che le variabili restituiscono i valori corretti:
```
echo $DOMAIN
```
Viene visualizzato un risultato simile a quello seguente:
![\[Conferma della variabile di ambiente del dominio.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/bitnami-confirm-domain-variable.png)
1. Immetti i seguenti comandi singolarmente per rinominare i file del certificato esistenti come backup. Fai riferimento a **Importante** blocca all'inizio di questo tutorial per informazioni sulle diverse distribuzioni e strutture di file.
+ Per le distribuzioni Debian Linux
Approccio A (installazioni Bitnami che utilizzano pacchetti di sistema):
```
sudo mv /opt/bitnami/apache2/conf/bitnami/certs/server.crt /opt/bitnami/apache2/conf/bitnami/certs/server.crt.old
```
```
sudo mv /opt/bitnami/apache2/conf/bitnami/certs/server.key /opt/bitnami/apache2/conf/bitnami/certs/server.key.old
```
Approach B (installazioni Bitnami autonome):
```
sudo mv /opt/bitnami/apache2/conf/server.crt /opt/bitnami/apache2/conf/server.crt.old
```
```
sudo mv /opt/bitnami/apache2/conf/server.key /opt/bitnami/apache2/conf/server.key.old
```
+ Per le istanze meno recenti che usano la distribuzione Ubuntu di Linux:
```
sudo mv /opt/bitnami/apache/conf/bitnami/certs/server.crt /opt/bitnami/apache/conf/bitnami/certs/server.crt.old
```
```
sudo mv /opt/bitnami/apache/conf/bitnami/certs/server.key /opt/bitnami/apache/conf/bitnami/certs/server.key.old
```
1. Immetti i seguenti comandi singolarmente per creare collegamenti ai file del certificato Let's Encrypt nella directory del server apache2. Fai riferimento a **Importante** blocca all'inizio di questo tutorial per informazioni sulle diverse distribuzioni e strutture di file.
+ Per le distribuzioni Debian Linux
Approccio A (installazioni Bitnami che utilizzano pacchetti di sistema):
```
sudo ln -sf /etc/letsencrypt/live/$DOMAIN/privkey.pem /opt/bitnami/apache2/conf/bitnami/certs/server.key
```
```
sudo ln -sf /etc/letsencrypt/live/$DOMAIN/fullchain.pem /opt/bitnami/apache2/conf/bitnami/certs/server.crt
```
Approach B (installazioni Bitnami autonome):
```
sudo ln -sf /etc/letsencrypt/live/$DOMAIN/privkey.pem /opt/bitnami/apache2/conf/server.key
```
```
sudo ln -sf /etc/letsencrypt/live/$DOMAIN/fullchain.pem /opt/bitnami/apache2/conf/server.crt
```
+ Per le istanze meno recenti che usano la distribuzione Ubuntu di Linux:
```
sudo ln -s /etc/letsencrypt/live/$DOMAIN/privkey.pem /opt/bitnami/apache/conf/bitnami/certs/server.key
```
```
sudo ln -s /etc/letsencrypt/live/$DOMAIN/fullchain.pem /opt/bitnami/apache/conf/bitnami/certs/server.crt
```
1. Immetti il seguente comando per avviare i servizi sottostanti dello stack LAMP interrotti in precedenza:
```
sudo /opt/bitnami/ctlscript.sh start
```
Viene visualizzato un risultato simile a quello seguente:
![\[Servizi dell'istanza avviati.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/amazon-lightsail-ssh-start-services.png)
L'istanza LAMP ora è configurata per utilizzare la crittografia SSL. Tuttavia, il traffico non viene automaticamente reindirizzato da HTTP a HTTPS.
1. Passa alla [prossima sezione](#configure-http-to-https-redirection-lamp) di questo tutorial.
## Fase 8: configurazione del reindirizzamento da HTTP a HTTPS per l'applicazione Web
È possibile configurare un reindirizzamento da HTTP a HTTPS per l'istanza LAMP. Il reindirizzamento automatico da HTTP a HTTPS rende il sito accessibile solo per i tuoi clienti tramite SSL, anche quando si connettono tramite HTTP.
**Configurazione del reindirizzamento da HTTP a HTTPS per l'applicazione Web**
1. Nella sessione SSH basata su browser Lightsail per la tua istanza LAMP, inserisci il seguente comando per modificare il file di configurazione del server web Apache utilizzando l'editor di testo Vim:
```
sudo vim /opt/bitnami/apache2/conf/bitnami/bitnami.conf
```
**Nota**
Questo tutorial impiega Vim a scopo dimostrativo; tuttavia, è possibile utilizzare qualsiasi editor di testo per eseguire questa fase.
1. Premi il tasto `i` per accedere alla modalità di inserimento nell'editor Vim.
1. Nel file, immetti il testo seguente tra `DocumentRoot "/opt/bitnami/apache2/htdocs"` e ``:
```
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^/(.*) https://%{SERVER_NAME}/$1 [R,L]
```
Il risultato sarà simile al seguente:
![\[File di configurazione Apache modificato per il reindirizzamento da HTTP ad HTTPS.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/amazon-lightsail-lamp-ssh-lets-encrypt-apache-config-file.png)
1. Premi il tasto **ESC**, immetti `:wq` per scrivere (salvare) le modifiche e chiudi Vim.
1. Immetti il seguente comando per riavviare i servizi sottostanti dello stack LAMP e applicare le modifiche:
```
sudo /opt/bitnami/ctlscript.sh restart
```
L'istanza LAMP è ora configurata per reindirizzare automaticamente le connessioni da HTTP a HTTPS. Quando un visitatore accede a `http://www.example.com`, viene automaticamente reindirizzato all'indirizzo `https://www.example.com` crittografato.
## Fase 9: Rinnovo dei certificati Let's Encrypt ogni 90 giorni
I certificati Let's Encrypt sono validi per 90 giorni. I certificati possono essere rinnovati 30 giorni prima della scadenza. Per rinnovare i certificati Let's Encrypt, esegui il comando utilizzato originariamente per ottenerli. Ripeti le fasi indicate nella sezione [Richiesta di un certificato jolly SSL Let's Encrypt](#request-a-lets-encrypt-certificate-lamp) di questo tutorial.
# Proteggi il tuo sito web Lightsail NGINX con Let's Encrypt SSL/TLS
Amazon Lightsail semplifica la protezione di siti Web e applicazioni SSL/TLS utilizzando i sistemi di bilanciamento del carico Lightsail. Tuttavia, l'utilizzo di un sistema di bilanciamento del carico Lightsail potrebbe non essere generalmente la scelta giusta. Il tuo sito potrebbe non necessitare della scalabilità e della tolleranza ai guasti forniti dai sistemi di bilanciamento del carico oppure potresti voler ottimizzare i costi.
In quest'ultimo caso, potresti considerare l'utilizzo di Let's Encrypt per ottenere un certificato SSL gratuito. Se così fosse, non c'è alcun problema. Puoi integrare questi certificati con le istanze Lightsail. Questo tutorial mostra come richiedere un certificato jolly Let's Encrypt tramite Certbot e integrarlo con l'istanza Nginx.
## Identifica il tuo fornitore di progetti Nginx
Ecco alcuni passaggi da eseguire per iniziare dopo che la tua istanza Nginx è attiva e funzionante su Amazon Lightsail. Prima di iniziare, identifica il fornitore del tuo blueprint nella pagina di gestione delle istanze:
![\[Fornitore del blueprint Nginx nella pagina di gestione delle istanze\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/headers/nginx-blueprint-vendor.png)
Seleziona la guida appropriata per la tua istanza Nginx:
------
#### [ Bitnami ]
**Importante**
La distribuzione Linux usata dalle istanze Bitnami è stata modificata da Ubuntu a Debian nel luglio 2020. A causa di questa modifica, alcune fasi descritte in questo tutorial variano a seconda della distribuzione Linux dell'istanza. Tutte le istanze del progetto Bitnami create dopo tale modifica usano la distribuzione Debian di Linux. Le istanze create precedentemente, continueranno a utilizzare la distribuzione Ubuntu di Linux. Per verificare la distribuzione dell'istanza, esegui il comando `uname -a `. La risposta mostrerà Ubuntu o Debian come distribuzione Linux dell'istanza.
Bitnami sta modificando la struttura dei file per la maggior parte degli stack. I percorsi dei file in questo tutorial possono variare a seconda che lo stack Bitnami utilizzi pacchetti di sistema Linux nativi (Approccio A) o se si tratti di un'installazione autonoma (Approach B). Per identificare il tipo di installazione Bitnami e quale approccio seguire, eseguire il seguente comando:
`test ! -f "/opt/bitnami/common/bin/openssl" && echo "Approach A: Using system packages." || echo "Approach B: Self-contained installation."`
**Indice**
+ [Fase 1: completamento dei prerequisiti](#complete-the-prerequisites-lets-encrypt-nginx)
+ [Passaggio 2: installa Certbot sulla tua istanza Lightsail](#install-certbot-on-your-instance-nginx)
+ [Fase 3: richiesta di un certificato jolly SSL Let's Encrypt](#request-a-lets-encrypt-certificate-nginx)
+ [Fase 4: Aggiunta di record TXT alla zona DNS del dominio](#add-a-text-record-to-your-domains-dns-zone-lets-encrypt-nginx)
+ [Fase 5: conferma che i registri TXT sono propagati](#confirm-the-text-records-have-propagated-lets-encrypt-nginx)
+ [Fase 6: completamento della richiesta di certificato SSL Let's Encrypt](#complete-the-lets-encrypt-certificate-request-nginx)
+ [Passaggio 7: Crea collegamenti ai file dei certificati Let's Encrypt nella directory del server NGINX](#link-the-lets-encrypt-certificate-files-in-the-nginx-directory-nginx)
+ [Fase 8: configurazione del reindirizzamento da HTTP a HTTPS per l'applicazione Web](#configure-http-to-https-redirection-nginx)
+ [Fase 9: rinnovo dei certificati Let's Encrypt ogni 90 giorni](#renew-a-lets-encrypt-certificate-nginx)
## Fase 1: completamento dei prerequisiti
Completa i seguenti prerequisiti qualora non siano già stati soddisfatti:
+ Crea un'istanza Nginx in Lightsail. Per ulteriori informazioni, consulta [Creazione di un'istanza](how-to-create-amazon-lightsail-instance-virtual-private-server-vps.md).
+ Registra un nome di dominio e ottieni l'accesso amministrativo per modificare i record DNS. Per ulteriori informazioni, consulta [DNS](understanding-dns-in-amazon-lightsail.md).
**Nota**
Ti consigliamo di gestire i record DNS del tuo dominio utilizzando una zona DNS Lightsail. Per ulteriori informazioni, consulta [Creazione di una zona DNS per gestire i record DNS del dominio](lightsail-how-to-create-dns-entry.md).
+ Utilizza il terminale SSH basato su browser nella console Lightsail per eseguire i passaggi di questo tutorial. Tuttavia, puoi anche utilizzare il tuo client SSH, ad esempio PuTTY. Per ulteriori informazioni sulla configurazione di PuTTY, [consulta Scaricare e configurare PuTTY per la connessione tramite SSH in Amazon Lightsail](lightsail-how-to-set-up-putty-to-connect-using-ssh.md).
Dopo aver completato i prerequisiti, procedi alla [prossima sezione](#install-certbot-on-your-instance-nginx) di questo tutorial.
## Passaggio 2: installa Certbot sulla tua istanza Lightsail
Certbot è un client utilizzato per richiedere un certificato Let's Encrypt e distribuirlo in un server Web. Let's Encrypt utilizza il protocollo ACME per il rilascio di certificati e Certbot è un client abilitato per ACME che interagisce con Let's Encrypt.
**Per installare Certbot sulla tua istanza Lightsail**
1. Accedi alla console [Lightsail](https://lightsail.aws.amazon.com/).
1. Nel riquadro di navigazione a sinistra, scegli l'icona di connessione rapida SSH per l'istanza a cui desideri connetterti.
![\[Connessione rapida SSH sulla home page di Lightsail.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/resource_cards/nginx-ssh-quick-connect.png)
1. Dopo aver connesso la sessione SSH basata su browser Lightsail, inserisci il seguente comando per aggiornare i pacchetti sull'istanza:
```
sudo apt-get update
```
![\[Aggiornamento dei pacchetti sull'istanza.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/bitnami-nginx-update-packages.png)
1. Immetti il seguente comando per installare il pacchetto delle proprietà del software. Gli sviluppatori Certbot utilizzano un Personal Package Archive (PPA) per distribuire Certbot. Il pacchetto delle proprietà del software lo rende più efficiente da usare. PPAs
```
sudo apt-get install software-properties-common
```
**Nota**
Se si verifica un errore `Could not get lock` durante l'esecuzione del comando `sudo apt-get install`, attendi circa 15 minuti e riprova. Questo errore potrebbe essere causato da un processo cron che utilizza lo strumento di gestione del pacchetto Apt per l'installazione automatica di aggiornamenti.
1. Immetti il seguente comando per aggiungere Certbot al repository apt locale:
**Nota**
La fase 5 si applica solo alle istanze che utilizzano la distribuzione Ubuntu di Linux. Salta questa fase se l'istanza usa la distribuzione Debian di Linux.
```
sudo apt-add-repository ppa:certbot/certbot -y
```
1. Immetti il seguente comando per aggiornare l'apt in modo da includere il nuovo repository:
```
sudo apt-get update -y
```
1. Immetti il seguente comando per installare Certbot:
```
sudo apt-get install certbot -y
```
Certbot è ora installato sulla tua istanza Lightsail.
1. Tieni aperta la finestra del terminale SSH basato su browser, a cui accederai nuovamente in una fase successiva di questo tutorial. Passa alla [prossima sezione](#request-a-lets-encrypt-certificate-nginx) di questo tutorial.
## Fase 3: richiesta di un certificato jolly SSL Let's Encrypt
Inizia il processo di richiesta di un certificato da Let's Encrypt. Tramite Certbot, richiedi un certificato jolly, che ti consente di utilizzare un unico certificato per un dominio e i relativi sottodomini. Ad esempio, un singolo certificato jolly funziona per il dominio `example.com` di primo livello, per `blog.example.com` e per i sottodomini `stuff.example.com`.
**Per richiedere un certificato jolly SSL Let's Encrypt**
1. Nella stessa finestra del terminale SSH basato su browser utilizzato nella [fase 2](#install-certbot-on-your-instance-nginx) di questo tutorial, immetti i seguenti comandi per impostare una variabile di ambiente per il dominio. È ora possibile copiare e incollare in modo più efficiente i comandi per ottenere il certificato. Assicurati di sostituire `domain` con il nome del dominio registrato.
```
DOMAIN=domain
```
```
WILDCARD=*.$DOMAIN
```
Esempio:
```
DOMAIN=example.com
```
```
WILDCARD=*.$DOMAIN
```
1. Immetti il seguente comando per confermare che le variabili restituiscono i valori corretti:
```
echo $DOMAIN && echo $WILDCARD
```
Viene visualizzato un risultato simile a quello seguente:
![\[Conferma delle variabili di ambiente del dominio.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/bitnami-confirm-variables.png)
1. Immetti il seguente comando per avviare Certbot in modalità interattiva. Questo comando indica a Certbot di utilizzare un metodo di autorizzazione manuale con le richieste DNS di verifica della proprietà del dominio. Richiede un certificato jolly per il dominio di primo livello e per i relativi sottodomini.
```
sudo certbot -d $DOMAIN -d $WILDCARD --manual --preferred-challenges dns certonly
```
1. Quando richiesto, immetti l'indirizzo e-mail, che verrà utilizzato per le notifiche di rinnovo e di sicurezza.
1. Leggi i termini del servizio Let's Encrypt. Al termine, premi A in caso di accettazione. In caso contrario, non è possibile ottenere un certificato Let's Encrypt.
1. Rispondi di conseguenza alla richiesta di condivisione dell'indirizzo e-mail e all'avviso sulla registrazione dell'indirizzo IP.
1. Let's Encrypt richiede ora di verificare la proprietà del dominio specificato. Ciò avviene attraverso l'aggiunta di registri TXT ai record DNS per il dominio. Viene fornito un set di valori di registro TXT come nell'esempio seguente:
**Nota**
Let's Encrypt può fornire uno o più registri TXT necessario per la verifica. In questo esempio, sono stati forniti due registri TXT da utilizzare per la verifica.
![\[Registri TXT per i certificati Let's Encrypt.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/ssh/lets-encrypt-text-records.png)
1. Mantieni aperta la sessione SSH basata su browser Lightsail: tornerai ad essa più avanti in questo tutorial. Passa alla [prossima sezione](#add-a-text-record-to-your-domains-dns-zone-lets-encrypt-nginx) di questo tutorial.
## Fase 4: Aggiunta di record TXT alla zona DNS del dominio
L'aggiunta di un registro TXT alla zona DNS del dominio verifica la proprietà del dominio. A scopo dimostrativo, utilizziamo la zona DNS di Lightsail. Tuttavia, la procedura potrebbe essere simile per altre zone DNS generalmente ospitate da registrar di dominio.
**Nota**
Per ulteriori informazioni su come creare una zona DNS Lightsail per il tuo dominio, [consulta Creazione di una zona DNS per gestire i record DNS del tuo dominio in](lightsail-how-to-create-dns-entry.md) Lightsail.
**Per aggiungere record TXT alla zona DNS del tuo dominio in Lightsail**
1. **Nel riquadro di navigazione a sinistra, scegli Domini e DNS.**
1. Nella sezione **DNS zones (zone DNS)** della pagina, scegli la zona DNS per il dominio specificato nella richiesta di certificato Certbot.
1. Nell'editor della zona DNS, scegli la scheda **Record DNS**.
1. Scegli **Aggiungi record**.
1. Nel menu a discesa **Tipo di registro**, scegli **Registro TXT**.
1. Immetti i valori specificati dalla richiesta di certificato Let's Encrypt nei campi **Nome record** e **Risponde con**.
**Nota**
La console Lightsail precompila la parte di apice del dominio. Ad esempio, per aggiungere il sottodominio `_acme-challenge.example.com` è necessario semplicemente inserire `_acme-challenge` nella casella di testo, quindi Lightsail aggiunge automaticamente la parte `.example.com` durante il salvataggio del record.
1. Scegli **Save** (Salva).
1. Ripeti i passaggi da 4 a 7 per aggiungere il secondo set di registri TXT specificato dalla richiesta di certificato Let's Encrypt.
1. Tieni aperta la finestra del browser della console Lightsail: tornerai ad essa più avanti in questo tutorial. Passa alla [prossima sezione](#confirm-the-text-records-have-propagated-lets-encrypt-nginx) di questo tutorial.
## Fase 5: conferma che i registri TXT sono propagati
Utilizzate l' MxToolbox utilità per confermare che i record TXT si siano propagati al DNS di Internet. La propagazione dei record DNS potrebbe richiedere del tempo, a seconda del provider di hosting DNS e del TTL (Time-To-Live) configurato per i record DNS. È importante completare questa operazione e confermare che i registri TXT sono propagati, prima di continuare con la richiesta del certificato Certbot. In caso contrario, la richiesta di certificato ha esito negativo.
**Per confermare che i registri TXT sono propagati nel DNS di Internet**
1. [Apri una nuova finestra del browser e vai a https://mxtoolbox.com /.aspx. TXTLookup](https://mxtoolbox.com/TXTLookup.aspx)
1. Immetti il testo seguente nella casella di testo. Assicurati di sostituire `domain` con il tuo dominio.
```
_acme-challenge.domain
```
Esempio:
```
_acme-challenge.example.com
```
![\[MxToolbox Ricerca di record TXT.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/mxtoolbox-text-record-lookup.png)
1. Scegli **TXT Lookup (Ricerca TXT)** per eseguire il controllo.
1. Viene visualizzata una delle seguenti risposte:
+ Se i registri TXT sono propagati nel DNS di Internet, è possibile visualizzare una risposta simile a quella mostrata nello screenshot seguente. Chiudi la finestra del browser e procedi alla [prossima sezione](#complete-the-lets-encrypt-certificate-request-nginx) di questo tutorial.
![\[Conferma che i registri TXT sono propagati.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/mxtoolbox-propagated-text-record-lookup.png)
+ Se i registri TXT non sono propagati nel DNS di Internet, viene visualizzata la risposta **DNS Record not found** (Record DNS non trovato). Conferma di aver aggiunto i record DNS corretti alla zona DNS del dominio. Se sono stati aggiunti i registri corretti, attendi finché i record DNS del dominio non vengono propagati ed esegui nuovamente la ricerca TXT.
## Fase 6: completamento della richiesta di certificato SSL Let's Encrypt
Torna alla sessione SSH basata su browser Lightsail per la tua istanza Nginx e completa la richiesta del certificato Let's Encrypt. Certbot salva i file di certificato SSL, chain e chiave in una directory specifica sull'istanza Nginx.
**Per completare la richiesta di certificato SSL Let's Encrypt**
1. Nella sessione SSH basata su browser Lightsail per la tua istanza Nginx, **premi Invio per continuare la richiesta del certificato SSL Let's** Encrypt. In caso di esito positivo, viene visualizzata una risposta simile a quella mostrata nello screenshot seguente:
![\[Esito positivo della richiesta di certificato Let's Encrypt.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/bitnami-certificate-request-success.png)
Il messaggio conferma che i file di certificato, chain e chiave sono archiviati nella directory `/etc/letsencrypt/live/domain/`. Assicurati di sostituire `domain` con il tuo dominio, ad esempio `/etc/letsencrypt/live/example.com/`.
1. Annota la data di scadenza specificata nel messaggio. Verrà utilizzata per rinnovare il certificato entro tale data.
![\[Data di rinnovo del certificato Let's Encrypt.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/certificate-renewal-date.png)
1. Dopo aver installato il certificato di SSL Let's Encrypt, procedi alla [prossima sezione](#link-the-lets-encrypt-certificate-files-in-the-nginx-directory-nginx) di questo tutorial.
## Passaggio 7: crea collegamenti ai file dei certificati Let's Encrypt nella directory del server NGINX
Crea collegamenti ai file del certificato SSL Let's Encrypt nella directory del server NGINX sulla tua istanza Nginx. Inoltre, esegui il backup dei certificati esistenti, in caso siano necessari in un secondo momento.
**Per creare collegamenti ai file dei certificati Let's Encrypt nella directory del server NGINX**
1. Nella sessione SSH basata su browser Lightsail per la tua istanza Nginx, inserisci il seguente comando per interrompere i servizi sottostanti:
```
sudo /opt/bitnami/ctlscript.sh stop
```
Noterai una risposta simile alla seguente:
![\[Servizi dell'istanza interrotti.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/bitnami-nginx-stop-services.png)
1. Immetti il seguente comando per impostare una variabile di ambiente per il dominio. È possibile copiare e incollare in modo più efficiente i comandi per collegare i file del certificato. Assicurati di sostituire `domain` con il nome del dominio registrato.
```
DOMAIN=domain
```
Esempio:
```
DOMAIN=example.com
```
1. Immetti il seguente comando per confermare che le variabili restituiscono i valori corretti:
```
echo $DOMAIN
```
Viene visualizzato un risultato simile a quello seguente:
![\[Conferma della variabile di ambiente del dominio.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/bitnami-confirm-domain-variable.png)
1. Immetti i seguenti comandi singolarmente per rinominare i file del certificato esistenti come backup. Fai riferimento a **Importante** blocca all'inizio di questo tutorial per informazioni sulle diverse distribuzioni e strutture di file.
+ Per le distribuzioni Debian Linux
Approccio A (installazioni Bitnami che utilizzano pacchetti di sistema):
```
sudo mv /opt/bitnami/nginx/conf/bitnami/certs/server.crt /opt/bitnami/nginx/conf/bitnami/certs/server.crt.old
```
```
sudo mv /opt/bitnami/nginx/conf/bitnami/certs/server.key /opt/bitnami/nginx/conf/bitnami/certs/server.key.old
```
Approach B (installazioni Bitnami autonome):
```
sudo mv /opt/bitnami/nginx/conf/server.crt /opt/bitnami/nginx/conf/server.crt.old
```
```
sudo mv /opt/bitnami/nginx/conf/server.key /opt/bitnami/nginx/conf/server.key.old
```
+ Per le istanze meno recenti che usano la distribuzione Ubuntu di Linux:
```
sudo mv /opt/bitnami/nginx/conf/bitnami/certs/server.crt /opt/bitnami/nginx/conf/bitnami/certs/server.crt.old
```
```
sudo mv /opt/bitnami/nginx/conf/bitnami/certs/server.key /opt/bitnami/nginx/conf/bitnami/certs/server.key.old
```
1. Inserisci i seguenti comandi singolarmente per creare collegamenti ai tuoi file di certificato Let's Encrypt nella directory del server NGINX. Fare riferimento a **Importante** fermati all'inizio di questo tutorial per informazioni sulle diverse distribuzioni e strutture di file.
+ Per le distribuzioni Debian Linux
Approccio A (installazioni Bitnami che utilizzano pacchetti di sistema):
```
sudo ln -sf /etc/letsencrypt/live/$DOMAIN/privkey.pem /opt/bitnami/nginx/conf/bitnami/certs/server.key
```
```
sudo ln -sf /etc/letsencrypt/live/$DOMAIN/fullchain.pem /opt/bitnami/nginx/conf/bitnami/certs/server.crt
```
Approach B (installazioni Bitnami autonome):
```
sudo ln -sf /etc/letsencrypt/live/$DOMAIN/privkey.pem /opt/bitnami/nginx/conf/server.key
```
```
sudo ln -sf /etc/letsencrypt/live/$DOMAIN/fullchain.pem /opt/bitnami/nginx/conf/server.crt
```
+ Per le istanze meno recenti che usano la distribuzione Ubuntu di Linux:
```
sudo ln -s /etc/letsencrypt/live/$DOMAIN/privkey.pem /opt/bitnami/nginx/conf/bitnami/certs/server.key
```
```
sudo ln -s /etc/letsencrypt/live/$DOMAIN/fullchain.pem /opt/bitnami/nginx/conf/bitnami/certs/server.crt
```
1. Inserire il seguente comando per avviare i servizi sottostanti interrotti in precedenza:
```
sudo /opt/bitnami/ctlscript.sh start
```
Viene visualizzato un risultato simile a quello seguente:
![\[Servizi dell'istanza avviati.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/bitnami-nginx-start-services.png)
L'istanza Nginx ora è configurata per utilizzare la crittografia SSL. Tuttavia, il traffico non viene automaticamente reindirizzato da HTTP a HTTPS.
1. Passa alla [prossima sezione](#configure-http-to-https-redirection-nginx) di questo tutorial.
## Fase 8: configurazione del reindirizzamento da HTTP a HTTPS per l'applicazione Web
Si può configurare un reindirizzamento da HTTP a HTTPS per l'istanza Nginx. Il reindirizzamento automatico da HTTP a HTTPS rende il sito accessibile solo per i tuoi clienti tramite SSL, anche quando si connettono tramite HTTP. Fare riferimento al blocco “Importante” all'inizio di questo tutorial per avere informazioni sulle diverse distribuzioni e strutture di file.
Questo tutorial impiega Vim a scopo dimostrativo; tuttavia, è possibile utilizzare qualsiasi editor di testo per eseguire questa fase.
**Per distribuzioni Debian Linux: Configurazione del reindirizzamento da HTTP a HTTPS per l'applicazione Web**
**Approccio A (installazioni Bitnami che utilizzano pacchetti di sistema):**
1. Nella sessione SSH basata su browser Lightsail per la tua istanza Nginx, inserisci il seguente comando per modificare il file di configurazione del blocco del server. Sostituisci `` con il nome della tua applicazione.
```
sudo vim /opt/bitnami/nginx/conf/server_blocks/-server-block.conf
```
1. Premi il tasto `i` per accedere alla modalità di inserimento nell'editor Vim.
1. Modifica il file con le informazioni del seguente esempio:
![\[File di configurazione del blocco del server applicazioni.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/using-le-certs-1.png)
1. Premi il tasto **ESC**, immetti `:wq` per scrivere (salvare) le modifiche e chiudi Vim.
1. Inserisci il seguente comando per modificare la sezione server del file di configurazione NGINX:
```
sudo vim /opt/bitnami/nginx/conf/nginx.conf
```
1. Premi il tasto `i` per accedere alla modalità di inserimento nell'editor Vim.
1. Modifica il file con le informazioni del seguente esempio:
![\[File di configurazione NGINX.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/using-le-certs-2.png)
1. Premi il tasto **ESC**, immetti `:wq` per scrivere (salvare) le modifiche e chiudi Vim.
1. Inserire il seguente comando per riavviare i servizi sottostanti e applicare le modifiche:
```
sudo /opt/bitnami/ctlscript.sh restart
```
**Approach B (installazioni Bitnami autonome):**
1. Nella sessione SSH basata su browser Lightsail per la tua istanza Nginx, inserisci il seguente comando per modificare la sezione server del file di configurazione NGINX:
```
sudo vim /opt/bitnami/nginx/conf/nginx.conf
```
1. Premi il tasto `i` per accedere alla modalità di inserimento nell'editor Vim.
1. Modifica il file con le informazioni del seguente esempio:
![\[File di configurazione NGINX.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/using-le-certs-2.png)
1. Premi il tasto **ESC**, immetti `:wq` per scrivere (salvare) le modifiche e chiudi Vim.
1. Inserire il seguente comando per riavviare i servizi sottostanti e applicare le modifiche:
```
sudo /opt/bitnami/ctlscript.sh restart
```
**Per istanze più vecchie che utilizzano la distribuzione Ubuntu Linux: Configurazione del reindirizzamento da HTTP a HTTPS per l'applicazione Web**
1. Nella sessione SSH basata su browser Lightsail per la tua istanza Nginx, inserisci il seguente comando per modificare il file di configurazione del server web NGINX utilizzando l'editor di testo Vim:
```
sudo vim /opt/bitnami/nginx/conf/bitnami/bitnami.conf
```
1. Premi il tasto `i` per accedere alla modalità di inserimento nell'editor Vim.
1. Nel file, immetti il testo seguente tra `server_name localhost;` e `include "/opt/bitnami/nginx/conf/bitnami/bitnami-apps-prefix.conf";`:
```
return 301 https://$host$request_uri;
```
Il risultato sarà simile al seguente:
![\[File di configurazione NGINX modificato per il reindirizzamento da HTTP a HTTPS.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/bitnami-nginx-config-file.png)
1. Premi il tasto **ESC**, immetti `:wq` per scrivere (salvare) le modifiche e chiudi Vim.
1. Inserire il seguente comando per riavviare i servizi sottostanti e applicare le modifiche:
```
sudo /opt/bitnami/ctlscript.sh restart
```
L'istanza di Nginx ora è configurata per reindirizzare automaticamente le connessioni da HTTP a HTTPS. Quando un visitatore accede a `http://www.example.com`, viene automaticamente reindirizzato all'indirizzo `https://www.example.com` crittografato.
## Fase 9: Rinnovo dei certificati Let's Encrypt ogni 90 giorni
I certificati Let's Encrypt sono validi per 90 giorni. I certificati possono essere rinnovati 30 giorni prima della scadenza. Per rinnovare i certificati Let's Encrypt, esegui il comando utilizzato originariamente per ottenerli. Ripeti le fasi indicate nella sezione [Richiesta di un certificato jolly SSL Let's Encrypt](#request-a-lets-encrypt-certificate-nginx) di questo tutorial.
------
#### [ Lightsail ]
**Indice**
+ [Fase 1: Completare i prerequisiti](#complete-the-prerequisites)
+ [Passaggio 2: installa Certbot sulla tua istanza Lightsail](#install-certbot-on-your-instance)
+ [Fase 3: Richiedi un certificato wildcard SSL Let's Encrypt](#request-a-lets-encrypt-certificate)
+ [Passaggio 4: aggiungi i record TXT alla zona DNS del tuo dominio](#add-a-text-record-to-your-domains-dns-zone-lets-encrypt)
+ [Passaggio 5: Conferma che i record TXT si siano propagati](#confirm-the-text-records-have-propagated-lets-encrypt)
+ [Passaggio 6: Completa la richiesta del certificato SSL Let's Encrypt](#complete-the-lets-encrypt-certificate-request)
+ [Passaggio 7: aggiorna la configurazione SSL in NGINX e reindirizza il traffico da HTTP a HTTPS](#update-ssl-configuration)
+ [Passaggio 8: rinnova i certificati Let's Encrypt ogni 90 giorni](#renew-a-lets-encrypt-certificate)
## Fase 1: completamento dei prerequisiti
Completa i seguenti prerequisiti qualora non siano già stati soddisfatti:
+ Crea un'istanza Nginx in Lightsail. [Per saperne di più, consulta Creare un'istanza.](how-to-create-amazon-lightsail-instance-virtual-private-server-vps.md)
+ Registra un nome di dominio e ottieni l'accesso amministrativo per modificare i record DNS. Per ulteriori informazioni, consulta [DNS](understanding-dns-in-amazon-lightsail.md).
**Nota**
Ti consigliamo di gestire i record DNS del tuo dominio utilizzando una zona DNS Lightsail. Per ulteriori informazioni, consulta [Creare una zona DNS per gestire i record DNS del dominio](lightsail-how-to-create-dns-entry.md).
+ Utilizza il terminale SSH basato su browser nella console Lightsail per eseguire i passaggi descritti in questo tutorial:
![\[Connessione rapida SSH sulla home page di Lightsail.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/resource_cards/nginx-ssh-quick-connect.png)
**Nota**
Puoi anche usare il tuo client SSH, come PuTTY. Per ulteriori informazioni sulla configurazione di PuTTY, [consulta Scaricare e configurare PuTTY per la connessione tramite SSH in Amazon Lightsail](lightsail-how-to-set-up-putty-to-connect-using-ssh.md).
## Passaggio 2: installa Certbot sulla tua istanza Lightsail
Certbot è un client utilizzato per richiedere un certificato Let's Encrypt e distribuirlo in un server Web. Let's Encrypt utilizza il protocollo ACME per emettere certificati e Certbot è un client abilitato per ACME che interagisce con Let's Encrypt.
**Per installare Certbot sulla tua istanza Lightsail**
1. Connect alla tua istanza utilizzando un client SSH, ad esempio il terminale SSH basato su browser Lightsail. Inserisci il seguente comando per aggiornare i pacchetti sulla tua istanza:
```
sudo apt-get update
```
1. Immetti il seguente comando per installare il pacchetto delle proprietà del software. Gli sviluppatori Certbot utilizzano un Personal Package Archive (PPA) per distribuire Certbot. Il pacchetto delle proprietà del software lo rende più efficiente da usare PPAs.
```
sudo apt-get install software-properties-common -y
```
1. Immetti il seguente comando per aggiornare l'apt in modo da includere il nuovo repository:
```
sudo apt-get update -y
```
1. Immetti il seguente comando per installare Certbot:
```
sudo apt-get install certbot -y
```
Certbot è ora installato sulla tua istanza Lightsail.
## Fase 3: richiesta di un certificato jolly SSL Let's Encrypt
Inizia il processo di richiesta di un certificato da Let's Encrypt. Tramite Certbot, richiedi un certificato jolly, che ti consente di utilizzare un unico certificato per un dominio e i relativi sottodomini. Ad esempio, un singolo certificato jolly funziona per il dominio `example.com` di primo livello, per `blog.example.com` e per i sottodomini `stuff.example.com`.
**Per richiedere un certificato jolly SSL Let's Encrypt**
1. Nella stessa finestra del terminale SSH basato su browser utilizzato nella [fase 2](#install-certbot-on-your-instance) di questo tutorial, immetti i seguenti comandi per impostare una variabile di ambiente per il dominio. È ora possibile copiare e incollare in modo più efficiente i comandi per ottenere il certificato. Assicurati di sostituire `domain` con il nome del dominio registrato.
```
DOMAIN=domain
WILDCARD=*.$DOMAIN
```
Esempio:
```
DOMAIN=example.com
WILDCARD=*.$DOMAIN
```
1. Immetti il seguente comando per confermare che le variabili restituiscono i valori corretti:
```
echo $DOMAIN && echo $WILDCARD
```
Viene visualizzato un risultato simile a quello seguente:
![\[Conferma delle variabili di ambiente del dominio.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/confirm-variables.png)
1. Immetti il seguente comando per avviare Certbot in modalità interattiva. Questo comando indica a Certbot di utilizzare un metodo di autorizzazione manuale con le richieste DNS di verifica della proprietà del dominio. Richiede un certificato jolly per il dominio di primo livello e per i relativi sottodomini.
```
sudo certbot -d $DOMAIN -d $WILDCARD --manual --preferred-challenges dns certonly
```
1. Quando richiesto, immetti l'indirizzo e-mail, che verrà utilizzato per le notifiche di rinnovo e di sicurezza.
1. Leggi i termini del servizio Let's Encrypt. Al termine, premi Y se sei d'accordo. In caso contrario, non è possibile ottenere un certificato Let's Encrypt.
1. Rispondi di conseguenza alla richiesta di condivisione dell'indirizzo e-mail e all'avviso sulla registrazione dell'indirizzo IP.
1. Let's Encrypt richiede ora di verificare la proprietà del dominio specificato. Ciò avviene attraverso l'aggiunta di registri TXT ai record DNS per il dominio. Viene fornito un set di valori di registro TXT come nell'esempio seguente:
**Nota**
Let's Encrypt può fornire uno o più record TXT da utilizzare per la verifica. In questo esempio, sono stati forniti due registri TXT da utilizzare per la verifica.
![\[Record TXT per i certificati Let's Encrypt.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/get-TXT-records.png)
1. Mantieni aperta la sessione SSH basata su browser Lightsail: tornerai ad essa più avanti in questo tutorial. [Passa alla sezione successiva di questo tutorial.](#add-a-text-record-to-your-domains-dns-zone-lets-encrypt)
## Fase 4: Aggiunta di record TXT alla zona DNS del dominio
L'aggiunta di un registro TXT alla zona DNS del dominio verifica la proprietà del dominio. A scopo dimostrativo, utilizziamo la zona DNS di Lightsail. Tuttavia, la procedura potrebbe essere simile per altre zone DNS generalmente ospitate da registrar di dominio.
**Nota**
Per ulteriori informazioni su come creare una zona DNS Lightsail per il tuo dominio, [consulta Creazione di una zona DNS per gestire i record DNS del tuo dominio in](lightsail-how-to-create-dns-entry.md) Lightsail.
**Per aggiungere record TXT alla zona DNS del tuo dominio in Lightsail**
1. **Nel riquadro di navigazione a sinistra, scegli Domini e DNS.**
1. Nella sezione **DNS zones (zone DNS)** della pagina, scegli la zona DNS per il dominio specificato nella richiesta di certificato Certbot.
1. Nell'editor della zona DNS, scegli la scheda **Record DNS**.
1. Scegli **Aggiungi record**.
1. Nel menu a discesa **Tipo di registro**, scegli **Registro TXT**.
1. Immetti i valori specificati dalla richiesta di certificato Let's Encrypt nei campi **Nome record** e **Risponde con**.
**Nota**
La console Lightsail precompila la parte di apice del dominio. Ad esempio, per aggiungere il sottodominio `_acme-challenge.example.com` è necessario semplicemente inserire `_acme-challenge` nella casella di testo, quindi Lightsail aggiunge automaticamente la parte `.example.com` durante il salvataggio del record.
1. Scegli **Save** (Salva).
1. Ripeti i passaggi da 4 a 7 per aggiungere il secondo set di registri TXT specificato dalla richiesta di certificato Let's Encrypt.
1. Tieni aperta la finestra del browser della console Lightsail: tornerai ad essa più avanti in questo tutorial. Passa alla [sezione successiva](#confirm-the-text-records-have-propagated-lets-encrypt) di questo tutorial.
## Fase 5: conferma che i registri TXT sono propagati
Utilizzate l' MxToolbox utilità per confermare che i record TXT si siano propagati al DNS di Internet. La propagazione dei record DNS potrebbe richiedere del tempo, a seconda del provider di hosting DNS e del TTL (Time-To-Live) configurato per i record DNS. È importante completare questa operazione e confermare che i registri TXT sono propagati, prima di continuare con la richiesta del certificato Certbot. In caso contrario, la richiesta di certificato ha esito negativo.
**Per confermare che i registri TXT sono propagati nel DNS di Internet**
1. [Apri una nuova finestra del browser e vai a https://mxtoolbox.com /.aspx. TXTLookup](https://mxtoolbox.com/TXTLookup.aspx)
1. Immetti il testo seguente nella casella di testo. Assicurati di sostituire `domain` con il tuo dominio.
```
_acme-challenge.domain
```
Esempio:
```
_acme-challenge.example.com
```
![\[MxToolbox Ricerca di record TXT.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/mxtoolbox-text-record-lookup.png)
1. Scegli **TXT Lookup (Ricerca TXT)** per eseguire il controllo.
1. Viene visualizzata una delle seguenti risposte:
+ Se i registri TXT sono propagati nel DNS di Internet, è possibile visualizzare una risposta simile a quella mostrata nello screenshot seguente. Chiudi la finestra del browser e procedi alla [prossima sezione](#complete-the-lets-encrypt-certificate-request-nginx) di questo tutorial.
![\[Conferma che i registri TXT sono propagati.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/mxtoolbox-propagated-text-record-lookup.png)
+ Se i registri TXT non sono propagati nel DNS di Internet, viene visualizzata la risposta **DNS Record not found** (Record DNS non trovato). Conferma di aver aggiunto i record DNS corretti alla zona DNS del dominio. Se sono stati aggiunti i registri corretti, attendi finché i record DNS del dominio non vengono propagati ed esegui nuovamente la ricerca TXT.
## Fase 6: completamento della richiesta di certificato SSL Let's Encrypt
Torna alla sessione SSH basata su browser Lightsail per la tua istanza e completa la richiesta del certificato Let's Encrypt. Certbot salva il certificato SSL, la catena e i file chiave in una directory specifica dell'istanza.
**Per completare la richiesta di certificato SSL Let's Encrypt**
1. Nella sessione SSH basata su browser Lightsail per la tua istanza, **premi Invio** per continuare la richiesta del certificato SSL Let's Encrypt. In caso di esito positivo, viene visualizzata una risposta simile a quella mostrata nello screenshot seguente:
![\[Richiesta di certificato Let's Encrypt riuscita.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/certificate-request-success.png)
Il messaggio conferma che i file di certificato, chain e chiave sono archiviati nella directory `/etc/letsencrypt/live/domain/`. Assicurati di sostituire `domain` con il tuo dominio, ad esempio `/etc/letsencrypt/live/example.com/`.
1. Annota la data di scadenza specificata nel messaggio. Verrà utilizzata per rinnovare il certificato entro tale data.
![\[Data di rinnovo del certificato Let's Encrypt.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/certificate-renewal-date.png)
## Passaggio 7: aggiorna la configurazione SSL in NGINX e reindirizza il traffico da HTTP a HTTPS
**Per aggiornare la configurazione SSL nel file default.conf di NGINX**
1. Nella sessione SSH per la tua istanza Nginx, inserisci il seguente comando per interrompere i servizi sottostanti:
```
sudo systemctl stop nginx
sudo systemctl stop mariadb
sudo systemctl stop php8.2-fpm
```
Noterai una risposta simile alla seguente:
![\[I servizi di istanza Nginx sono stati interrotti.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/nginx-stop-services.png)
1. Immetti il seguente comando per impostare una variabile di ambiente per il dominio. È possibile copiare e incollare in modo più efficiente i comandi per collegare i file del certificato. Assicurati di sostituire `domain` con il nome del dominio registrato.
```
DOMAIN=domain
```
Esempio:
```
DOMAIN=example.com
```
1. Immetti il seguente comando per confermare che le variabili restituiscono i valori corretti:
```
echo $DOMAIN
```
Viene visualizzato un risultato simile a quello seguente:
![\[Conferma della variabile di ambiente del dominio.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/confirm-domain-variable.png)
1. Esegui il comando seguente per modificare la configurazione SSL:
```
sudo sed \
-i -e "s|ssl_certificate /etc/ssl/certs/ssl-cert-snakeoil.pem|ssl_certificate /etc/letsencrypt/live/$DOMAIN/fullchain.pem|g" \
-i -e "s|ssl_certificate_key /etc/ssl/private/ssl-cert-snakeoil.key|ssl_certificate_key /etc/letsencrypt/live/$DOMAIN/privkey.pem|g" \
/etc/nginx/conf.d/default.conf
```
1. Dopo aver sovrascritto il `default.conf` file, esegui i comandi seguenti per verificare la configurazione e riavviare NGINX
```
sudo nginx -t
sudo systemctl restart nginx
sudo systemctl restart mariadb
sudo systemctl restart php8.2-fpm
```
Viene visualizzato un risultato simile a quello seguente:
![\[I servizi di istanza Nginx sono stati avviati.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/nginx-start-services.png)
La tua istanza Nginx è ora configurata per utilizzare la crittografia SSL e il traffico viene reindirizzato da HTTP a HTTPS
## Passaggio 8: rinnova i certificati Let's Encrypt ogni 90 giorni
I certificati Let's Encrypt sono validi per 90 giorni. I certificati possono essere rinnovati 30 giorni prima della scadenza. Per rinnovare il certificato Let's Encrypt, ripeti il [Passaggio 3: Richiedi un certificato wildcard SSL Let's Encrypt](#request-a-lets-encrypt-certificate-nginx).
------
# Proteggi la tua istanza WordPress Lightsail con i certificati SSL Let's Encrypt gratuiti
**Suggerimento**
Amazon Lightsail offre un flusso di lavoro guidato che automatizza l'installazione e la configurazione di un certificato Let's Encrypt sulla tua istanza. WordPress Ti consigliamo vivamente di utilizzare il flusso di lavoro invece di seguire i passaggi manuali di questo tutorial. Per ulteriori informazioni, consulta [Avviare e configurare un' WordPress istanza](amazon-lightsail-tutorial-launching-and-configuring-wordpress.md).
Lightsail semplifica la protezione di siti Web e applicazioni SSL/TLS utilizzando i sistemi di bilanciamento del carico Lightsail. Tuttavia, l'utilizzo di un sistema di bilanciamento del carico Lightsail potrebbe non essere generalmente la scelta giusta. Il tuo sito potrebbe non necessitare della scalabilità e della tolleranza ai guasti forniti dai sistemi di bilanciamento del carico oppure potresti voler ottimizzare i costi. In quest'ultimo caso, potresti considerare l'utilizzo di Let's Encrypt per ottenere un certificato SSL gratuito. Se così fosse, non c'è alcun problema. Puoi integrare questi certificati con le istanze Lightsail.
Con questa guida, imparerai come richiedere un certificato wildcard Let's Encrypt utilizzando Certbot e come integrarlo con la tua WordPress istanza utilizzando il plug-in Really Simple SSL.
+ La distribuzione Linux usata dalle istanze Bitnami è stata modificata da Ubuntu a Debian nel luglio 2020. A causa di questa modifica, alcune fasi descritte in questo tutorial variano a seconda della distribuzione Linux dell'istanza. Tutte le istanze del progetto Bitnami create dopo tale modifica usano la distribuzione Debian di Linux. Le istanze create precedentemente, continueranno a utilizzare la distribuzione Ubuntu di Linux. Per verificare la distribuzione dell'istanza, esegui il comando `uname -a `. La risposta mostrerà Ubuntu o Debian come distribuzione Linux dell'istanza.
+ Bitnami ha modificato la struttura dei file per molti dei suoi stack. I percorsi dei file in questo tutorial possono variare a seconda che lo stack Bitnami utilizzi pacchetti di sistema Linux nativi (Approccio A) o se si tratti di un'installazione autonoma (Approach B). Per identificare il tipo di installazione Bitnami e quale approccio seguire, eseguire il seguente comando:
`test ! -f "/opt/bitnami/common/bin/openssl" && echo "Approach A: Using system packages." || echo "Approach B: Self-contained installation."`
**Indice**
+ [Prima di iniziare](#lets-encrypt-certificates-wordpress-before-getting-started)
+ [Fase 1: completamento dei prerequisiti](#complete-the-prerequisites-lets-encrypt-wordpress)
+ [Passaggio 2: installa Certbot sulla tua istanza Lightsail](#install-certbot-on-your-instance-wordpress)
+ [Fase 3: richiesta di un certificato jolly SSL Let's Encrypt](#request-a-lets-encrypt-certificate-wordpress)
+ [Fase 4: Aggiunta di record TXT alla zona DNS del dominio](#add-a-text-record-to-your-domains-dns-zone-lets-encrypt-wordpress)
+ [Fase 5: conferma che i registri TXT sono propagati](#confirm-the-text-records-have-propagated-lets-encrypt-wordpress)
+ [Fase 6: completamento della richiesta di certificato SSL Let's Encrypt](#complete-the-lets-encrypt-certificate-request-wordpress)
+ [Fase 7: creazione di collegamenti ai file del certificato Let's Encrypt nella directory del server Apache](#link-the-lets-encrypt-certificate-files-in-the-apache-directory-wordpress)
+ [Passaggio 8: integra il certificato SSL con il tuo WordPress sito utilizzando il plug-in Really Simple SSL](#integrate-certificates-with-wordpress-using-really-simple-ssl-plugin)
+ [Fase 9: rinnovo dei certificati Let's Encrypt ogni 90 giorni](#renew-a-lets-encrypt-certificate-wordpress)
## Prima di iniziare
È opportuno considerare quanto segue prima di iniziare con questo tutorial:
**Usa lo strumento di configurazione HTTPS di Bitnami (`bncert`)**
I passaggi descritti in questo tutorial mostrano come implementare un SSL/TLS certificato utilizzando un processo manuale. Tuttavia, Bitnami offre un processo più automatizzato che utilizza lo strumento di configurazione Bitnami HTTPS (`bncert`), in genere preinstallato sulle istanze di Lightsail. WordPress Consigliamo vivamente di utilizzare tale strumento invece di seguire i passaggi manuali di questo tutorial. Questo tutorial è stato scritto prima che lo strumento `bncert` diventasse disponibile. Per ulteriori informazioni sull'utilizzo dello `bncert` strumento, consulta [Abilitazione di HTTPS sulla tua WordPress istanza in Amazon Lightsail](amazon-lightsail-enabling-https-on-wordpress.md).
**Identifica la distribuzione Linux della tua istanza WordPress**
La distribuzione Linux usata dalle istanze Bitnami è stata modificata da Ubuntu a Debian nel luglio 2020. Tutte le istanze blueprint Bitnami create dopo tale modifica usano la distribuzione Debian di Linux. Le istanze create precedentemente, continueranno a utilizzare la distribuzione Ubuntu di Linux. A causa di questa modifica, alcune fasi descritte in questo tutorial variano a seconda della distribuzione Linux dell'istanza. È necessario identificare la distribuzione Linux dell'istanza in modo da sapere quali passaggi di questo tutorial utilizzare. Per verificare la distribuzione dell'istanza, eseguire il comando `uname -a `. La risposta mostrerà Ubuntu o Debian come distribuzione Linux dell'istanza.
**Identificare l'approccio tutorial che si applica alla propria istanza**
Bitnami sta modificando la struttura dei file per la maggior parte degli stack. I percorsi dei file in questo tutorial possono variare a seconda che lo stack Bitnami utilizzi pacchetti di sistema Linux nativi (Approccio A) o se si tratti di un'installazione autonoma (Approach B). Per identificare il tipo di installazione Bitnami e quale approccio seguire, eseguire il seguente comando:
`test ! -f "/opt/bitnami/common/bin/openssl" && echo "Approach A: Using system packages." || echo "Approach B: Self-contained installation."`
## Fase 1: completamento dei prerequisiti
Completa i seguenti prerequisiti qualora non siano già stati soddisfatti:
+ Crea un' WordPress istanza in Lightsail. Per ulteriori informazioni, consulta [Creazione di un'istanza](how-to-create-amazon-lightsail-instance-virtual-private-server-vps.md).
+ Registra un nome di dominio e ottieni l'accesso amministrativo per modificare i record DNS. Per ulteriori informazioni, consulta [DNS](understanding-dns-in-amazon-lightsail.md).
Ti consigliamo di gestire i record DNS del tuo dominio utilizzando una zona DNS Lightsail. Per ulteriori informazioni, consulta [Creazione di una zona DNS per gestire i record DNS del dominio](lightsail-how-to-create-dns-entry.md).
+ Utilizza il terminale SSH basato su browser nella console Lightsail per eseguire i passaggi di questo tutorial. Tuttavia, puoi anche utilizzare il tuo client SSH, ad esempio PuTTY. Per ulteriori informazioni sulla configurazione di PuTTY, [consulta Scaricare e configurare PuTTY per la connessione tramite SSH in Amazon Lightsail](lightsail-how-to-set-up-putty-to-connect-using-ssh.md).
Dopo aver completato i prerequisiti, procedi alla [prossima sezione](#install-certbot-on-your-instance-wordpress) di questo tutorial.
## Passaggio 2: installa Certbot sulla tua istanza Lightsail
Certbot è un client utilizzato per richiedere un certificato Let's Encrypt e distribuirlo in un server Web. Let's Encrypt utilizza il protocollo ACME per il rilascio di certificati e Certbot è un client abilitato per ACME che interagisce con Let's Encrypt.
**Per installare Certbot sulla tua istanza Lightsail**
1. Accedi alla console [Lightsail](https://lightsail.aws.amazon.com/).
1. Nel riquadro di navigazione a sinistra, scegli l'icona di connessione rapida SSH per l'istanza a cui desideri connetterti.
![\[Connessione rapida SSH sulla home page di Lightsail.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/amazon-lightsail-wordpress-ssh-quick-connect.png)
1. Dopo aver connesso la sessione SSH basata su browser Lightsail, inserisci il seguente comando per aggiornare i pacchetti sull'istanza:
```
sudo apt-get update
```
![\[Aggiornamento dei pacchetti sull'istanza.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/amazon-lightsail-wordpress-ssh-lets-encrypt-update-packages.png)
1. Immetti il seguente comando per installare il pacchetto delle proprietà del software. Gli sviluppatori Certbot utilizzano un Personal Package Archive (PPA) per distribuire Certbot. Il pacchetto delle proprietà del software lo rende più efficiente da usare. PPAs
```
sudo apt-get install software-properties-common
```
**Nota**
Se si verifica un errore `Could not get lock` durante l'esecuzione del comando `sudo apt-get install`, attendi circa 15 minuti e riprova. Questo errore potrebbe essere causato da un processo cron che utilizza lo strumento di gestione del pacchetto Apt per l'installazione automatica di aggiornamenti.
1. Immetti i comandi seguenti per installare il pacchetto GPG e aggiungere Certbot al repository apt locale:
**Nota**
La fase 5 si applica solo alle istanze che utilizzano la distribuzione Ubuntu di Linux. Salta questa fase se l'istanza usa la distribuzione Debian di Linux.
```
sudo apt-get install gpg -y
```
```
sudo apt-add-repository ppa:certbot/certbot -y
```
1. Immetti il seguente comando per aggiornare l'apt in modo da includere il nuovo repository:
```
sudo apt-get update -y
```
1. Immetti il seguente comando per installare Certbot:
```
sudo apt-get install certbot -y
```
Certbot è ora installato sulla tua istanza Lightsail.
1. Tieni aperta la finestra del terminale SSH basato su browser, a cui accederai nuovamente in una fase successiva di questo tutorial. Passa alla [prossima sezione](#request-a-lets-encrypt-certificate-wordpress) di questo tutorial.
## Fase 3: richiesta di un certificato jolly SSL Let's Encrypt
Inizia il processo di richiesta di un certificato da Let's Encrypt. Tramite Certbot, richiedi un certificato jolly, che ti consente di utilizzare un unico certificato per un dominio e i relativi sottodomini. Ad esempio, un singolo certificato jolly funziona per il dominio `example.com` di primo livello, per `blog.example.com` e per i sottodomini `stuff.example.com`.
**Per richiedere un certificato jolly SSL Let's Encrypt**
1. Nella stessa finestra del terminale SSH basato su browser utilizzato nella [fase 2](#install-certbot-on-your-instance-wordpress) di questo tutorial, immetti i seguenti comandi per impostare una variabile di ambiente per il dominio. È ora possibile copiare e incollare in modo più efficiente i comandi per ottenere il certificato. Assicurati di sostituire `domain` con il nome del dominio registrato.
```
DOMAIN=domain
```
```
WILDCARD=*.$DOMAIN
```
Esempio:
```
DOMAIN=example.com
```
```
WILDCARD=*.$DOMAIN
```
1. Immetti il seguente comando per confermare che le variabili restituiscono i valori corretti:
```
echo $DOMAIN && echo $WILDCARD
```
Viene visualizzato un risultato simile a quello seguente:
![\[Conferma delle variabili di ambiente del dominio.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/bitnami-confirm-variables.png)
1. Immetti il seguente comando per avviare Certbot in modalità interattiva. Questo comando indica a Certbot di utilizzare un metodo di autorizzazione manuale con le richieste DNS di verifica della proprietà del dominio. Richiede un certificato jolly per il dominio di primo livello e per i relativi sottodomini.
```
sudo certbot -d $DOMAIN -d $WILDCARD --manual --preferred-challenges dns certonly
```
1. Quando richiesto, immetti l'indirizzo e-mail, che verrà utilizzato per le notifiche di rinnovo e di sicurezza.
1. Leggi i termini del servizio Let's Encrypt. Al termine, premi A in caso di accettazione. In caso contrario, non è possibile ottenere un certificato Let's Encrypt.
1. Rispondi di conseguenza alla richiesta di condivisione dell'indirizzo e-mail e all'avviso sulla registrazione dell'indirizzo IP.
1. Let's Encrypt richiede ora di verificare la proprietà del dominio specificato. Ciò avviene attraverso l'aggiunta di registri TXT ai record DNS per il dominio. Viene fornito un set di valori di registro TXT come nell'esempio seguente:
**Nota**
Let's Encrypt può fornire uno o più registri TXT necessario per la verifica. In questo esempio, sono stati forniti due registri TXT da utilizzare per la verifica.
![\[Registri TXT per i certificati Let's Encrypt.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/ssh/lets-encrypt-text-records.png)
1. Mantieni aperta la sessione SSH basata su browser Lightsail: tornerai ad essa più avanti in questo tutorial. Passa alla [prossima sezione](#add-a-text-record-to-your-domains-dns-zone-lets-encrypt-wordpress) di questo tutorial.
## Fase 4: Aggiunta di record TXT alla zona DNS del dominio
L'aggiunta di un registro TXT alla zona DNS del dominio verifica la proprietà del dominio. A scopo dimostrativo, utilizziamo la zona DNS di Lightsail. Tuttavia, la procedura potrebbe essere simile per altre zone DNS generalmente ospitate da registrar di dominio.
**Nota**
Per ulteriori informazioni su come creare una zona DNS Lightsail per il tuo dominio, [consulta Creazione di una zona DNS per gestire i record DNS del tuo dominio in](lightsail-how-to-create-dns-entry.md) Lightsail.
**Per aggiungere record TXT alla zona DNS del tuo dominio in Lightsail**
1. **Nel riquadro di navigazione a sinistra, scegli Domini e DNS.**
1. Nella sezione **DNS zones (zone DNS)** della pagina, scegli la zona DNS per il dominio specificato nella richiesta di certificato Certbot.
1. Nell'editor della zona DNS, scegli la scheda **Record DNS**.
1. Scegli **Aggiungi record**.
1. Nel menu a discesa **Tipo di registro**, scegli **Registro TXT**.
1. Immetti i valori specificati dalla richiesta di certificato Let's Encrypt nei campi **Nome record** e **Risponde con**.
**Nota**
La console Lightsail precompila la parte di apice del dominio. Ad esempio, per aggiungere il sottodominio `_acme-challenge.example.com` è necessario semplicemente inserire `_acme-challenge` nella casella di testo, quindi Lightsail aggiunge automaticamente la parte `.example.com` durante il salvataggio del record.
1. Scegli **Save** (Salva).
1. Ripeti i passaggi da 4 a 7 per aggiungere il secondo set di registri TXT specificato dalla richiesta di certificato Let's Encrypt.
1. Tieni aperta la finestra del browser della console Lightsail: tornerai ad essa più avanti in questo tutorial. Passa alla [prossima sezione](amazon-lightsail-using-lets-encrypt-certificates-with-lamp.md#confirm-the-text-records-have-propagated-lets-encrypt-lamp) di questo tutorial.
## Fase 5: conferma che i registri TXT sono propagati
Utilizzate l' MxToolbox utilità per confermare che i record TXT si siano propagati al DNS di Internet. La propagazione dei record DNS potrebbe richiedere del tempo, a seconda del provider di hosting DNS e del TTL (Time-To-Live) configurato per i record DNS. È importante completare questa operazione e confermare che i registri TXT sono propagati, prima di continuare con la richiesta del certificato Certbot. In caso contrario, la richiesta di certificato ha esito negativo.
**Per confermare che i registri TXT sono propagati nel DNS di Internet**
1. [Apri una nuova finestra del browser e vai a https://mxtoolbox.com /.aspx. TXTLookup](https://mxtoolbox.com/TXTLookup.aspx)
1. Immetti il testo seguente nella casella di testo. Assicurati di sostituire `domain` con il tuo dominio.
```
_acme-challenge.domain
```
Esempio:
```
_acme-challenge.example.com
```
![\[MXToolbox Ricerca di record TXT.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/mxtoolbox-text-record-lookup.png)
1. Scegli **TXT Lookup (Ricerca TXT)** per eseguire il controllo.
1. Viene visualizzata una delle seguenti risposte:
+ Se i registri TXT sono propagati nel DNS di Internet, è possibile visualizzare una risposta simile a quella mostrata nello screenshot seguente. Chiudi la finestra del browser e procedi alla [prossima sezione](#complete-the-lets-encrypt-certificate-request-wordpress) di questo tutorial.
![\[Conferma che i registri TXT sono propagati.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/mxtoolbox-propagated-text-record-lookup.png)
+ Se i registri TXT non sono propagati nel DNS di Internet, viene visualizzata la risposta **DNS Record not found** (Record DNS non trovato). Conferma di aver aggiunto i record DNS corretti alla zona DNS del dominio. Se sono stati aggiunti i registri corretti, attendi finché i record DNS del dominio non vengono propagati ed esegui nuovamente la ricerca TXT.
## Fase 6: completamento della richiesta di certificato SSL Let's Encrypt
Torna alla sessione SSH basata su browser Lightsail per la WordPress tua istanza e completa la richiesta del certificato Let's Encrypt. Certbot salva il certificato SSL, la catena e i file chiave in una directory specifica dell'istanza. WordPress
**Per completare la richiesta di certificato SSL Let's Encrypt**
1. Nella sessione SSH basata su browser Lightsail per la WordPress tua istanza, **premi Invio** per continuare la richiesta del certificato SSL Let's Encrypt. In caso di esito positivo, viene visualizzata una risposta simile a quella mostrata nello screenshot seguente:
![\[Esito positivo della richiesta di certificato Let's Encrypt.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/bitnami-certificate-request-success.png)
Il messaggio conferma che i file di certificato, chain e chiave sono archiviati nella directory `/etc/letsencrypt/live/domain/`. Assicurati di sostituire `domain` con il tuo dominio, ad esempio `/etc/letsencrypt/live/example.com/`.
1. Annota la data di scadenza specificata nel messaggio. Verrà utilizzata per rinnovare il certificato entro tale data.
![\[Data di rinnovo del certificato Let's Encrypt.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/certificate-renewal-date.png)
1. Dopo aver installato il certificato di SSL Let's Encrypt, procedi alla [prossima sezione](#link-the-lets-encrypt-certificate-files-in-the-apache-directory-wordpress) di questo tutorial.
## Fase 7: Creazione dei collegamenti ai file del certificato Let's Encrypt nella directory del server Apache
Crea link ai file del certificato SSL Let's Encrypt nella directory del server Apache sulla tua istanza. WordPress Inoltre, esegui il backup dei certificati esistenti, in caso siano necessari in un secondo momento.
**Creare collegamenti ai file del certificato Let's Encrypt nella directory del server Apache**
1. Nella sessione SSH basata su browser Lightsail per la WordPress tua istanza, inserisci il seguente comando per interrompere i servizi sottostanti:
```
sudo /opt/bitnami/ctlscript.sh stop
```
Noterai una risposta simile alla seguente:
![\[Servizi dell'istanza interrotti.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/amazon-lightsail-ssh-stop-services.png)
1. Immetti il seguente comando per impostare una variabile di ambiente per il dominio. È possibile copiare e incollare in modo più efficiente i comandi per collegare i file del certificato. Assicurati di sostituire `domain` con il nome del dominio registrato.
```
DOMAIN=domain
```
Esempio:
```
DOMAIN=example.com
```
1. Immetti il seguente comando per confermare che le variabili restituiscono i valori corretti:
```
echo $DOMAIN
```
Viene visualizzato un risultato simile a quello seguente:
![\[Conferma della variabile di ambiente del dominio.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/instances/lets-encrypt/bitnami-confirm-domain-variable.png)
1. Immetti i seguenti comandi singolarmente per rinominare i file del certificato esistenti come backup. Fai riferimento a **Importante** blocca all'inizio di questo tutorial per informazioni sulle diverse distribuzioni e strutture di file.
+ Per le distribuzioni Debian Linux
Approccio A (installazioni Bitnami che utilizzano pacchetti di sistema):
```
sudo mv /opt/bitnami/apache2/conf/bitnami/certs/server.crt /opt/bitnami/apache2/conf/bitnami/certs/server.crt.old
```
```
sudo mv /opt/bitnami/apache2/conf/bitnami/certs/server.key /opt/bitnami/apache2/conf/bitnami/certs/server.key.old
```
Approach B (installazioni Bitnami autonome):
```
sudo mv /opt/bitnami/apache2/conf/server.crt /opt/bitnami/apache2/conf/server.crt.old
```
```
sudo mv /opt/bitnami/apache2/conf/server.key /opt/bitnami/apache2/conf/server.key.old
```
+ Per le istanze meno recenti che usano la distribuzione Ubuntu di Linux:
```
sudo mv /opt/bitnami/apache/conf/bitnami/certs/server.crt /opt/bitnami/apache/conf/bitnami/certs/server.crt.old
```
```
sudo mv /opt/bitnami/apache/conf/bitnami/certs/server.key /opt/bitnami/apache/conf/bitnami/certs/server.key.old
```
```
sudo mv /opt/bitnami/apache/conf/bitnami/certs/server.csr /opt/bitnami/apache/conf/bitnami/certs/server.csr.old
```
1. Immetti i seguenti comandi singolarmente per creare collegamenti ai file del certificato Let's Encrypt nella directory di Apache: Fai riferimento a **Importante** blocca all'inizio di questo tutorial per informazioni sulle diverse distribuzioni e strutture di file.
+ Per le distribuzioni Debian Linux
Approccio A (installazioni Bitnami che utilizzano pacchetti di sistema):
```
sudo ln -sf /etc/letsencrypt/live/$DOMAIN/privkey.pem /opt/bitnami/apache2/conf/bitnami/certs/server.key
```
```
sudo ln -sf /etc/letsencrypt/live/$DOMAIN/fullchain.pem /opt/bitnami/apache2/conf/bitnami/certs/server.crt
```
Approach B (installazioni Bitnami autonome):
```
sudo ln -sf /etc/letsencrypt/live/$DOMAIN/privkey.pem /opt/bitnami/apache2/conf/server.key
```
```
sudo ln -sf /etc/letsencrypt/live/$DOMAIN/fullchain.pem /opt/bitnami/apache2/conf/server.crt
```
+ Per le istanze meno recenti che usano la distribuzione Ubuntu di Linux:
```
sudo ln -s /etc/letsencrypt/live/$DOMAIN/privkey.pem /opt/bitnami/apache/conf/bitnami/certs/server.key
```
```
sudo ln -s /etc/letsencrypt/live/$DOMAIN/fullchain.pem /opt/bitnami/apache/conf/bitnami/certs/server.crt
```
1. Inserire il seguente comando per avviare i servizi sottostanti interrotti in precedenza:
```
sudo /opt/bitnami/ctlscript.sh start
```
Viene visualizzato un risultato simile a quello seguente:
![\[Servizi dell'istanza avviati.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/amazon-lightsail-ssh-start-services.png)
I file del certificato SSL per l' WordPress istanza si trovano ora nella directory corretta.
1. Passa alla [prossima sezione](#integrate-certificates-with-wordpress-using-really-simple-ssl-plugin) di questo tutorial.
## Passaggio 8: integra il certificato SSL con il tuo WordPress sito utilizzando il plug-in Really Simple SSL
Installa il plug-in Really Simple SSL WordPress sul tuo sito e utilizzalo per integrare il certificato SSL. Really Simple SSL configura anche il reindirizzamento da HTTP a HTTPS, per garantire che gli utenti che visitano il sito siano sempre su una connessione HTTPS.
**Per integrare il certificato SSL con il tuo WordPress sito, utilizza il plug-in Really Simple SSL**
1. Nella sessione SSH basata su browser Lightsail per la WordPress tua istanza, inserisci il comando seguente per impostare `wp-config.php` la possibilità di scrivere i tuoi file e. `htaccess.conf` Il plugin Really Simple SSL scrive sul file wp-config.php per configurare i certificati.
+ Per le istanze più recenti che usano la distribuzione Debian di Linux:
```
sudo chmod 666 /opt/bitnami/wordpress/wp-config.php && sudo chmod 666 /opt/bitnami/apache/conf/vhosts/htaccess/wordpress-htaccess.conf
```
+ Per le istanze meno recenti che usano la distribuzione Ubuntu di Linux:
```
sudo chmod 666 /opt/bitnami/apps/wordpress/htdocs/wp-config.php && sudo chmod 666 /opt/bitnami/apps/wordpress/conf/htaccess.conf
```
1. Apri una nuova finestra del browser e accedi alla dashboard di amministrazione dell'istanza. WordPress
**Nota**
Per ulteriori informazioni, consulta [Ottenere il nome utente e la password dell'applicazione per la tua istanza Bitnami in Amazon Lightsail](log-in-to-your-bitnami-application-running-on-amazon-lightsail.md).
1. Nel riquadro di navigazione sinistro, scegliere **Plugins (Plugin)**.
1. Nella parte superiore della pagina dei plugin, scegliere **Add New (Aggiungi nuovo)**.
![\[Aggiungi un nuovo plug-in. WordPress\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/amazon-lightsail-wordpress-add-new-plugin.png)
1. Cercare **Really Simple SSL**.
1. Scegli **Install Now (Installa ora)** accanto al plugin Really Simple SSL dai risultati di ricerca.
![\[Il plug-in SSL Really Simple per WordPress.\]](http://docs.aws.amazon.com/it_it/lightsail/latest/userguide/images/amazon-lightsail-wordpress-really-simple-ssl-plugin.png)
1. Una volta completata l'installazione, scegliere **Activate (Attiva)**.
1. Nel prompt visualizzato, scegliere **Go ahead, activate SSL\$1 (Procedi, attiva SSL\$1)** Potresti essere reindirizzato alla pagina di accesso della dashboard di amministrazione della tua WordPress istanza.
L' WordPress istanza è ora configurata per utilizzare la crittografia SSL. Inoltre, l' WordPress istanza è ora configurata per reindirizzare automaticamente le connessioni da HTTP a HTTPS. Quando un visitatore accede a `http://example.com`, viene automaticamente reindirizzato alla connessione HTTPS crittografata (ad esempio, `https://example.com`).
## Fase 9: Rinnovo dei certificati Let's Encrypt ogni 90 giorni
I certificati Let's Encrypt sono validi per 90 giorni. I certificati possono essere rinnovati 30 giorni prima della scadenza. Per rinnovare i certificati Let's Encrypt, esegui il comando utilizzato originariamente per ottenerli. Ripeti le fasi indicate nella sezione [Richiesta di un certificato jolly SSL Let's Encrypt](#request-a-lets-encrypt-certificate-wordpress) di questo tutorial.
Segui le istruzioni per il tipo di istanza step-by-step specifico. Ogni argomento fornisce comandi dettagliati e passaggi di configurazione personalizzati in base alla distribuzione Linux (Ubuntu o Debian) e al tipo di installazione Bitnami (pacchetti di sistema o autonomi) dell'istanza. Seguendo questo argomento, puoi proteggere i tuoi siti Web e le tue applicazioni Lightsail con certificati SSL/TLS gratuiti di Let's Encrypt, garantendo comunicazioni crittografate e una maggiore sicurezza per i tuoi visitatori.