Proteja sua instância do WordPress Lightsail com certificados SSL gratuitos do Let's Encrypt

dica

O Amazon Lightsail oferece um fluxo de trabalho guiado que automatiza a instalação e a configuração de um certificado Let's Encrypt na sua instância. WordPress É altamente recomendável que você use o fluxo de trabalho em vez de seguir as etapas manuais deste tutorial. Para obter mais informações, consulte Iniciar e configurar uma WordPress instância.

O Lightsail facilita a proteção de seus sites e aplicativos com SSL/TLS usando balanceadores de carga Lightsail. No entanto, usar um balanceador de carga Lightsail geralmente não é a escolha certa. Talvez seu site não precise da escalabilidade ou da tolerância a falhas que os balanceadores de carga fornecem, ou talvez você esteja otimizando para custo. No último caso, você pode considerar o uso do Let's Encrypt para obter um certificado SSL gratuito. Se esse for o caso, não há problema. Você pode integrar esses certificados às instâncias do Lightsail.

Com este guia, você aprenderá como solicitar um certificado curinga Let's Encrypt usando o Certbot e integrá-lo à sua WordPress instância usando o plug-in SSL Really Simple.

• A distribuição Linux usada por instâncias da Bitnami foi alterada de Ubuntu para Debian em julho de 2020. Devido a essa alteração, algumas das etapas neste tutorial serão diferentes dependendo da distribuição Linux de sua instância. Todas as instâncias de esquema Bitnam criadas após a alteração usam a distribuição Debian Linux. Instâncias criadas antes da alteração continuarão a usar a distribuição Ubuntu Linux. Para verificar a distribuição de sua instância, execute o uname -a comando. A resposta mostrará Ubuntu ou Debian como a distribuição Linux da sua instância.

• O Bitnami modificou a estrutura de arquivos de muitas de suas pilhas. Os caminhos de arquivo neste tutorial podem mudar dependendo de sua pilha Bitnami usar pacotes nativos do sistema Linux (Abordagem A) ou ser uma instalação autocontida (Abordagem B). Para identificar seu tipo de instalação Bitnami e qual abordagem seguir, execute o seguinte comando:

  test ! -f "/opt/bitnami/common/bin/openssl" && echo "Approach A: Using system packages." || echo "Approach B: Self-contained installation."

Índice

• Antes de começar

• Etapa 1: conclua os pré-requisitos

• Etapa 2: instalar o Certbot na sua instância do Lightsail

• Etapa 3: solicitar um certificado curinga SSL da Let’s Encrypt

• Etapa 4: adicionar registros TXT à zona DNS do domínio

• Etapa 5: confirme se os registros TXT foram propagadas

• Etapa 6: conclua a solicitação de certificado SSL da Let’s Encrypt

• Etapa 7: crie links para os arquivos do certificado da Let’s Encrypt no diretório do servidor Apache

• Etapa 8: Integre o certificado SSL ao seu WordPress site usando o plug-in SSL Really Simple

• Etapa 9: renovar os certificados da Let's Encrypt a cada 90 dias

Antes de começar

Avalie o seguinte antes de começar a seguir este tutorial:

Como alternativa, use a ferramenta de configuração Bitnami HTTPS (bncert)

As etapas descritas neste tutorial mostram como implementar um certificado SSL/TLS usando um processo manual. No entanto, o Bitnami oferece um processo mais automatizado que usa a ferramenta Bitnami HTTPS configuration (bncert), normalmente pré-instalada em instâncias no Lightsail. WordPress Recomendamos fortemente que você use essa ferramenta em vez de seguir as etapas manuais neste tutorial. Este tutorial foi escrito antes da disponibilização da ferramenta bncert. Para obter mais informações sobre o uso da bncert ferramenta, consulte Habilitar HTTPS em sua WordPress instância no Amazon Lightsail.

Identifique a distribuição Linux da sua WordPress instância

A distribuição Linux usada por instâncias da Bitnami foi alterada de Ubuntu para Debian em julho de 2020. Todas as instâncias de esquema Bitnam criadas após a alteração usam a distribuição Debian Linux. Instâncias criadas antes da alteração continuarão a usar a distribuição Ubuntu Linux. Devido a essa alteração, algumas das etapas neste tutorial serão diferentes dependendo da distribuição Linux de sua instância. É necessário identificar a distribuição do Linux da instância para que você saiba quais etapas deve usar neste tutorial. Para verificar a distribuição do Linux de sua instância, execute o comando uname -a . A resposta mostrará Ubuntu ou Debian como a distribuição Linux da sua instância.

Identifique a abordagem do tutorial aplicável à sua instância

O Bitnami está em processo modificação da estrutura de arquivos para muitas de suas pilhas. Os caminhos de arquivo neste tutorial podem mudar dependendo de sua pilha Bitnami usar pacotes nativos do sistema Linux (Abordagem A) ou ser uma instalação autocontida (Abordagem B). Para identificar seu tipo de instalação Bitnami e qual abordagem seguir, execute o seguinte comando:

test ! -f "/opt/bitnami/common/bin/openssl" && echo "Approach A: Using system packages." || echo "Approach B: Self-contained installation."

Etapa 1: Concluir os pré-requisitos

Conclua os seguintes pré-requisitos, se ainda não concluiu:

• Crie uma WordPress instância no Lightsail. Para saber mais, consulte Criar uma instância.

• Registre um nome de domínio e obtenha acesso administrativo para editar seus registros DNS. Para saber mais, consulte DNS.

  Recomendamos que você gerencie os registros DNS do seu domínio usando uma zona DNS do Lightsail. Para saber mais, consulte Criar uma zona DNS para gerenciar registros de DNS do domínio.

• Use o terminal SSH baseado em navegador no console do Lightsail para realizar as etapas deste tutorial. No entanto, você também pode usar seu próprio cliente SSH, como o PuTTY. Para saber mais sobre como configurar o PuTTY, consulte Baixar e configurar o PuTTY para se conectar usando SSH no Amazon Lightsail.

Depois de ter concluído os pré-requisitos, prossiga para a próxima seção deste tutorial.

Etapa 2: instalar o Certbot na sua instância do Lightsail

O Certbot é um cliente usado para solicitar um certificado do Let’s Encrypt e implante-o em um servidor web. O Let’s Encrypt usa o protocolo ACME para emitir certificados e o Certbot é um cliente habilitado para ACME que interage com o Let’s Encrypt.

Para instalar o Certbot em sua instância do Lightsail

1. Faça login no console do Lightsail.

2. Na página inicial do Lightsail, escolha o ícone de conexão rápida SSH para a instância à qual você deseja se conectar.

   

3. Depois que sua sessão SSH baseada no navegador Lightsail estiver conectada, insira o seguinte comando para atualizar os pacotes na sua instância:

   sudo apt-get update

   

4. Insira o comando a seguir para instalar o pacote de propriedades de software. Os desenvolvedores do Certbot usar um Personal Package Archive (PPA) para distribuir p Certbot. O pacote de propriedades de software torna o trabalho com PPAs mais eficiente.

   sudo apt-get install software-properties-common

   nota

   Se você encontrar o erro Could not get lock ao executar o comando sudo apt-get install, aguarde aproximadamente 15 minutos e tente novamente. Esse erro pode ser causado por um trabalho cron que está usando a ferramenta de gerenciamento de pacotes Apt para instalar atualizações automáticas.

5. Digite o seguinte comando para instalar o pacote GPG e adicione Certbot ao repositório apto local:

   nota

   A etapa 5 se aplica somente a instâncias que usam a distribuição Ubuntu Linux. Ignore este passo se a sua instância usa a distribuição Debian Linux.

   sudo apt-get install gpg -y

   sudo apt-add-repository ppa:certbot/certbot -y

6. Digite o seguinte comando a seguir para atualizar apt para incluir o novo repositório:

   sudo apt-get update -y

7. Insira o comando a seguir para instalar o Certbot:

   sudo apt-get install certbot -y

   O Certbot agora está instalado na sua instância do Lightsail.

8. Mantenha aberta a janela do terminal SSH com base em navegador — você retornará a ela mais tarde neste tutorial. Prossiga para a próxima seção deste tutorial.

Etapa 3: solicitar um certificado curinga SSL da Let’s Encrypt

Inicie o processo de solicitação de um certificado da Let’s Encrypt. Usando o Certbot, solicite um certificado curinga, que permite que você use um único certificado para um domínio e seus subdomínios. Por exemplo, um único certificado curinga funciona para o domínio de nível superior example.com e os subdomínios blog.example.com e stuff.example.com.

Para solicitar um certificado curinga SSL da Let’s Encrypt

1. Na mesma janela do terminal SSH baseado em navegador usada na etapa 2 deste tutorial, insira os comandos a seguir para definir uma variável de ambiente para o domínio. Agora, você pode copiar e colar comandos de forma mais eficiente para obter o certificado. Lembre-se de substituir domain pelo nome do seu registro registrado.

   DOMAIN=domain

   WILDCARD=*.$DOMAIN

   Exemplo:

   DOMAIN=example.com

   WILDCARD=*.$DOMAIN

2. Digite o seguinte comando para confirmar que as variáveis retornarão os valores corretos:

   echo $DOMAIN && echo $WILDCARD

   Será exibido um resultado semelhante ao seguinte:

   

3. Digite o seguinte comando para iniciar o Certbot no modo interativo. Esse comando informa ao Certbot para usar um método de autorização manual com desafios de DNS para verificar a propriedade do domínio. Ele solicita um certificado curinga para seu domínio de nível superior, bem como seus subdomínios.

   sudo certbot -d $DOMAIN -d $WILDCARD --manual --preferred-challenges dns certonly

4. Insira seu endereço de e-mail quando solicitado, porque ele é usado para renovação e notificações de segurança.

5. Leia os termos de serviço da Let’s Encrypt. Ao concluir, pressione A se você concorda. Se discordar, você não poderá obter um certificado da Let’s Encrypt.

6. Responda adequadamente à solicitação para compartilhar seu endereço de e-mail e o aviso sobre o registro do seu endereço IP.

7. A Let’s Encrypt agora solicitará que você verifique se é o proprietário do domínio especificado. Você pode fazer isso adicionando registros TXT para os registros DNS para seu domínio. Um conjunto de valores de registro TXT é fornecido conforme mostrado no seguinte exemplo:

   nota

   A Let's Encrypt pode fornecer um ou vários registros TXT que devem ser usados para verificação. Neste exemplo, recebemos dois registros TXT para usar na verificação.

   

8. Mantenha aberta a sessão SSH baseada no navegador Lightsail — você voltará a ela posteriormente neste tutorial. Prossiga para a próxima seção deste tutorial.

Etapa 4: adicionar registros TXT à zona DNS do domínio

A adição de um registro TXT à zona DNS do seu domínio verifica se você possui o domínio. Para fins de demonstração, usamos a zona DNS do Lightsail. No entanto, as etapas podem ser semelhantes para outras zonas de DNS normalmente hospedadas por registradores de domínios.

nota

Para saber mais sobre como criar uma zona DNS do Lightsail para seu domínio, consulte Criação de uma zona DNS para gerenciar os registros DNS do seu domínio no Lightsail.

Para adicionar registros TXT à zona DNS do seu domínio no Lightsail

1. Na página inicial do Lightsail, escolha a guia Domains & DNS (Domínios e DNS).

2. Na seção Zonas DNS da página, escolha a zona DNS para o domínio especificado na solicitação de certificado Certbot.

3. No editor de zonas DNS, escolha a guia DNS records (Registros DNS).

4. Escolha Adicionar registro.

5. No menu suspenso Record type (Tipo de registro), escolha TXT record (Registro TXT).

6. Insira os valores especificados pela solicitação de certificado Let's Encrypt nos campos Record name (Nome do registro) e Responds with (Responde com).

   nota

   O console Lightsail preenche previamente a parte do ápice do seu domínio. Por exemplo, se você deseja adicionar o _acme-challenge.example.com subdomínio, então você só precisa entrar _acme-challenge na caixa de texto e o Lightsail adiciona a .example.com porção para você quando você salvar o registro.

7. Escolha Salvar.

8. Repita as etapas de 4 a 7 para adicionar o segundo conjunto de registros TXT especificado pela solicitação de certificado Let's Encrypt.

9. Mantenha a janela do navegador do console Lightsail aberta — você voltará a ela posteriormente neste tutorial. Prossiga para a próxima seção deste tutorial.

Etapa 5: confirme se os registros TXT foram propagadas

Use o MxToolbox utilitário para confirmar se os registros TXT foram propagados para o DNS da Internet. A propagação de registro DNS pode demorar um pouco, dependendo do provedor de hospedagem de DNS configurado e a vida útil (TTL) para seus registros DNS. É importante que você conclua esta etapa e confirme se os registros TXT foram propagados antes de continuar sua solicitação de certificado Certbot. Caso contrário, a solicitação de certificado falhará.

Para confirmar que os registros TXT foram propagados para o DNS da Internet

1. Abra uma nova janela do navegador e acesse https://mxtoolbox.com/TXTLookup.aspx.

2. Insira o seguinte texto na caixa de texto. Substitua domain pelo seu domínio.

   _acme-challenge.domain

   Exemplo:

   _acme-challenge.example.com

   

3. Escolha Pesquisa de TXT para executar a verificação.

4. Uma das seguintes respostas ocorre:

   • Se os registros TXT tiverem sido propagados para o DNS da Internet, você verá uma resposta semelhante à mostrada na captura de tela a seguir. Feche a janela do navegador e prossiga para a próxima seção deste tutorial.

     

   • Se os registros TXT não tiverem sido propagados para o DNS da Internet, você verá uma resposta DNS Record not found (Registro DNS não encontrado). Confirme se você adicionou os registros DNS corretos para a zona DNS dos seus domínios. Se você adicionou os registros corretos, aguarde um pouco mais tempo para permitir que os registros de DNS do seu domínio TXT sejam propagados e execute a pesquisa novamente.

Etapa 6: conclua a solicitação de certificado SSL da Let’s Encrypt

Volte para a sessão SSH baseada no navegador Lightsail para WordPress sua instância e conclua a solicitação de certificado Let's Encrypt. O Certbot salva seus arquivos de certificado, cadeia e chave SSL em um diretório específico na sua instância. WordPress

Para concluir a solicitação de certificado SSL da Let’s Encrypt

1. Na sessão SSH baseada no navegador Lightsail para WordPress sua instância, pressione Enter para continuar sua solicitação de certificado SSL Let's Encrypt. Se bem-sucedido, uma resposta semelhante à mostrada na captura de tela a seguir aparecerá:

   

   A mensagem confirma que os arquivos de certificado, de cadeia e de chave estão armazenados no diretório /etc/letsencrypt/live/domain/. Substitua domain pelo seu domínio, como /etc/letsencrypt/live/example.com/.

2. Anote a data de expiração especificada na mensagem. Você pode usá-la para renovar seu certificado até essa data.

   

3. Agora que você tem o certificado SSL da Let’s Encrypt, prossiga para a próxima seção deste tutorial.

Etapa 7: crie links para os arquivos do certificado da Let’s Encrypt no diretório do servidor Apache

Crie links para os arquivos de certificado SSL do Let's Encrypt no diretório do servidor Apache na sua instância. WordPress Além disso, faça backup de seus certificados existentes, caso precise deles mais tarde.

Criar links para os arquivos do certificado da Let’s Encrypt no diretório do servidor Apache

1. Na sessão SSH baseada no navegador Lightsail para WordPress sua instância, digite o seguinte comando para interromper os serviços subjacentes:

   sudo /opt/bitnami/ctlscript.sh stop

   Você verá uma resposta semelhante à seguinte:

   

2. Digite o comando a seguir para definir uma variável de ambiente para o seu domínio. Você pode copiar e colar comandos de forma mais eficiente para vincular os arquivos de certificado. Lembre-se de substituir domain pelo nome do seu nome de registro registrado.

   DOMAIN=domain

   Exemplo:

   DOMAIN=example.com

3. Digite o seguinte comando para confirmar que as variáveis retornarão os valores corretos:

   echo $DOMAIN

   Será exibido um resultado semelhante ao seguinte:

   

4. Insira os seguintes comandos individualmente para renomear seus arquivos de certificado existentes como backups. Consulte o bloco Important (Importante) no início deste tutorial para obter informações sobre as diferentes distribuições e estruturas de arquivos.

   • Para distribuições Debian Linux

     Abordagem A (instalações Bitnami usando pacotes do sistema):

     sudo mv /opt/bitnami/apache2/conf/bitnami/certs/server.crt /opt/bitnami/apache2/conf/bitnami/certs/server.crt.old

     sudo mv /opt/bitnami/apache2/conf/bitnami/certs/server.key /opt/bitnami/apache2/conf/bitnami/certs/server.key.old

     Abordagem B (instalações Bitnami autocontidas):

     sudo mv /opt/bitnami/apache2/conf/server.crt /opt/bitnami/apache2/conf/server.crt.old

     sudo mv /opt/bitnami/apache2/conf/server.key /opt/bitnami/apache2/conf/server.key.old

   • Para instâncias mais antigas que usam a distribuição Ubuntu Linux:

     sudo mv /opt/bitnami/apache/conf/bitnami/certs/server.crt /opt/bitnami/apache/conf/bitnami/certs/server.crt.old

     sudo mv /opt/bitnami/apache/conf/bitnami/certs/server.key /opt/bitnami/apache/conf/bitnami/certs/server.key.old

     sudo mv /opt/bitnami/apache/conf/bitnami/certs/server.csr /opt/bitnami/apache/conf/bitnami/certs/server.csr.old

5. Insira os seguintes comandos individualmente para criar links para os arquivos do certificado Let’s Encrypt no diretório do Apache. Consulte o bloco Important (Importante) no início deste tutorial para obter informações sobre as diferentes distribuições e estruturas de arquivos.

   • Para distribuições Debian Linux

     Abordagem A (instalações Bitnami usando pacotes do sistema):

     sudo ln -sf /etc/letsencrypt/live/$DOMAIN/privkey.pem /opt/bitnami/apache2/conf/bitnami/certs/server.key

     sudo ln -sf /etc/letsencrypt/live/$DOMAIN/fullchain.pem /opt/bitnami/apache2/conf/bitnami/certs/server.crt

     Abordagem B (instalações Bitnami autocontidas):

     sudo ln -sf /etc/letsencrypt/live/$DOMAIN/privkey.pem /opt/bitnami/apache2/conf/server.key

     sudo ln -sf /etc/letsencrypt/live/$DOMAIN/fullchain.pem /opt/bitnami/apache2/conf/server.crt

   • Para instâncias mais antigas que usam a distribuição Ubuntu Linux:

     sudo ln -s /etc/letsencrypt/live/$DOMAIN/privkey.pem /opt/bitnami/apache/conf/bitnami/certs/server.key

     sudo ln -s /etc/letsencrypt/live/$DOMAIN/fullchain.pem /opt/bitnami/apache/conf/bitnami/certs/server.crt

6. Digite o seguinte comando para iniciar os serviços subjacentes que você tinha interrompido anteriormente:

   sudo /opt/bitnami/ctlscript.sh start

   Será exibido um resultado semelhante ao seguinte:

   

   Os arquivos do certificado SSL da sua WordPress instância agora estão no diretório correto.

7. Prossiga para a próxima seção deste tutorial.

Etapa 8: Integre o certificado SSL ao seu WordPress site usando o plug-in SSL Really Simple

Instale o plug-in SSL Really Simple em seu WordPress site e use-o para integrar o certificado SSL. O Really Simple SSL também configura o redirecionamento HTTP para HTTPS para garantir que os usuários que acessam seu site sempre estejam na conexão HTTPS.

Para integrar o certificado SSL ao seu WordPress site usando o plug-in SSL Really Simple

1. Na sessão SSH baseada no navegador Lightsail para WordPress sua instância, insira o comando a seguir para definir wp-config.php que seus arquivos e sejam graváveis. htaccess.conf O plugin Really Simple SSL gravará no arquivo wp-config.php para configurar seus certificados.

   • Para instâncias mais recentes que usam a distribuição Debian Linux:

     sudo chmod 666 /opt/bitnami/wordpress/wp-config.php && sudo chmod 666 /opt/bitnami/apache/conf/vhosts/htaccess/wordpress-htaccess.conf

   • Para instâncias mais antigas que usam a distribuição Ubuntu Linux:

     sudo chmod 666 /opt/bitnami/apps/wordpress/htdocs/wp-config.php && sudo chmod 666 /opt/bitnami/apps/wordpress/conf/htaccess.conf

2. Abra uma nova janela do navegador e faça login no painel de administração da sua WordPress instância.

   nota

   Para obter mais informações, consulte Obter o nome de usuário e a senha do aplicativo para sua instância Bitnami no Amazon Lightsail.

3. Escolha Plug-ins no painel de navegação esquerdo.

4. Escolha Adicionar Novo na parte inferior da página Plug-ins.

   

5. Procure Really Simple SSL.

6. Escolha Install Now (Instalar Agora) ao lado do plugin Really Simple SSL nos resultados da pesquisa.

   

7. Depois de concluída a instalação, escolha Ativar.

8. No prompt exibido, escolha Go ahead, activate SSL! (Vamos lá, ative o SSL!) Você pode ser redirecionado para a página de login do painel de administração da sua WordPress instância.

   Sua WordPress instância agora está configurada para usar criptografia SSL. Além disso, sua WordPress instância agora está configurada para redirecionar automaticamente as conexões de HTTP para HTTPS. Quando um visitante vai para http://example.com, ele é automaticamente redirecionado para a conexão HTTPS criptografada (ou seja, https://example.com).

Etapa 9: renovar os certificados da Let's Encrypt a cada 90 dias

Os certificados da Let's Encrypt são válidos por 90 dias. Os certificados podem ser renovados 30 dias antes da data de expiração. Para renovar os certificados Let's Encrypt, execute o comando original usado para obtê-los. Repita as etapas da seção Solicitar um certificado curinga SSL da Let’s Encrypt deste tutorial.