Checklist para configurar SSL Let's Encrypt no VPS Linux

10 min de leitura  ·  Guia técnico

Checklist para configurar SSL Let's Encrypt no VPS Linux é um processo sistemático que garante certificados SSL gratuitos e seguros para seus sites. Para implementar corretamente, você precisa de acesso root ao servidor, domínio apontado e portas 80/443 abertas. Este guia apresenta uma lista de verificação completa para configurar SSL Let's Encrypt em aproximadamente 15 minutos.

Pré-requisitos

• Acesso root ou sudo ao servidor VPS Linux
• Domínio configurado e apontando para o IP do servidor
• Servidor web Apache ou Nginx instalado e funcionando
• Portas 80 e 443 abertas no firewall
• Sistema operacional Ubuntu 20.04/22.04 LTS ou CentOS 7/8
• Conexão estável com a internet

Verificação inicial do ambiente SSL Let's Encrypt

Antes de iniciar a configuração SSL Let's Encrypt no VPS, é fundamental verificar se o ambiente está preparado. Esta etapa evita erros durante o processo de instalação.

1. Verifique se o domínio está resolvendo corretamente:

nslookup seudominio.com.br

Server:    8.8.8.8
Address:   8.8.8.8#53

Non-authoritative answer:
Name:   seudominio.com.br
Address: 192.168.1.100

2. Confirme se o servidor web está ativo:

systemctl status apache2

Para Nginx:

systemctl status nginx

3. Teste a conectividade HTTP:

curl -I http://seudominio.com.br

HTTP/1.1 200 OK
Server: Apache/2.4.52 (Ubuntu)
Content-Type: text/html

4. Verifique se as portas necessárias estão abertas:

netstat -tlnp | grep :80
netstat -tlnp | grep :443

Instalação e configuração do Certbot

O Certbot é a ferramenta oficial para gerenciar certificados Let's Encrypt no servidor Linux. A instalação varia conforme a distribuição do sistema operacional.

1. Atualize o sistema operacional:

apt update && apt upgrade -y

2. Instale o Certbot para Apache:

apt install certbot python3-certbot-apache -y

Para Nginx:

apt install certbot python3-certbot-nginx -y

3. Verifique a instalação do Certbot:

certbot --version

certbot 1.32.2

4. Configure o certificado SSL automaticamente:

certbot --apache -d seudominio.com.br -d www.seudominio.com.br

Para Nginx:

certbot --nginx -d seudominio.com.br -d www.seudominio.com.br

5. Durante a configuração, escolha as opções:

• Informe um email válido para notificações
• Aceite os termos de serviço
• Escolha redirecionar HTTP para HTTPS (opção 2)

Validação e teste do certificado SSL

Após a instalação, é essencial validar se o certificado SSL Let's Encrypt está funcionando corretamente no VPS Linux. Esta verificação garante que a configuração foi bem-sucedida.

1. Teste o acesso HTTPS:

curl -I https://seudominio.com.br

HTTP/2 200
server: Apache/2.4.52 (Ubuntu)
strict-transport-security: max-age=31536000

2. Verifique os detalhes do certificado:

openssl s_client -connect seudominio.com.br:443 -servername seudominio.com.br

3. Confirme a data de expiração:

certbot certificates

Certificate Name: seudominio.com.br
  Domains: seudominio.com.br www.seudominio.com.br
  Expiry Date: 2024-06-15 10:30:00+00:00 (VALID: 89 days)

4. Teste a renovação automática:

certbot renew --dry-run

Congratulations, all simulated renewals succeeded

5. Verifique o redirecionamento HTTP para HTTPS:

curl -I http://seudominio.com.br

HTTP/1.1 301 Moved Permanently
Location: https://seudominio.com.br/

Configuração da renovação automática

A renovação automática do certificado SSL é crucial para manter a segurança contínua do site. O Let's Encrypt emite certificados válidos por 90 dias, exigindo renovação regular.

1. Verifique se o cron job foi criado automaticamente:

systemctl status certbot.timer

● certbot.timer - Run certbot twice daily
   Loaded: loaded (/lib/systemd/system/certbot.timer; enabled; vendor preset: enabled)
   Active: active (waiting)

2. Se necessário, crie um cron job manual:

crontab -e

Adicione a linha:

0 12 * * * /usr/bin/certbot renew --quiet

3. Configure notificações por email:

certbot register --update-registration --email [email protected]

4. Teste a renovação com logs detalhados:

certbot renew --dry-run --verbose

Para configurações mais avançadas de servidor web, consulte nosso guia sobre Configurando um Servidor Linux para Hospedagem de Sites.

Otimização de segurança SSL

Após configurar o certificado básico, implemente configurações avançadas de segurança SSL para maximizar a proteção do servidor VPS Linux.

1. Configure HSTS (HTTP Strict Transport Security) no Apache:

echo 'Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"' >> /etc/apache2/sites-available/000-default-le-ssl.conf

2. Para Nginx, adicione ao bloco server:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

3. Configure protocolos SSL seguros no Apache:

echo 'SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1' >> /etc/apache2/mods-available/ssl.conf

4. Reinicie o servidor web:

systemctl restart apache2

5. Teste a configuração SSL com ferramentas online:

• SSL Labs Server Test
• Mozilla SSL Configuration Generator
• Qualys SSL Server Test

Problemas comuns e como resolver

Erro: Challenge failed for domain

Causa: O domínio não está apontando corretamente para o servidor ou as portas 80/443 estão bloqueadas.
Solução: Verifique a configuração DNS com nslookup e confirme se o firewall permite tráfego nas portas 80 e 443. Execute ufw allow 80 e ufw allow 443 se necessário.

Certificado não renovando automaticamente

Causa: O serviço certbot.timer não está ativo ou há conflitos na configuração do servidor web.
Solução: Ative o timer com systemctl enable certbot.timer e verifique os logs em /var/log/letsencrypt/letsencrypt.log. Teste a renovação manual com certbot renew --force-renewal.

Erro: Too many certificates already issued

Causa: O Let's Encrypt tem limite de 50 certificados por domínio registrado por semana.
Solução: Aguarde uma semana antes de tentar novamente ou use o ambiente de staging para testes com certbot --staging. Para produção, planeje cuidadosamente as emissões de certificados.

Site não carrega após instalação SSL

Causa: Configuração incorreta do virtual host ou conflitos entre HTTP e HTTPS.
Solução: Verifique a configuração do Apache com apache2ctl configtest ou Nginx com nginx -t. Certifique-se de que o virtual host SSL está ativo e as configurações de redirecionamento estão corretas.

Monitoramento e manutenção contínua

O monitoramento regular do certificado SSL garante que o site permaneça seguro e acessível. Implemente verificações automáticas para detectar problemas antes que afetem os usuários.

1. Configure alertas de expiração:

echo '#!/bin/bash
DAYS=$(certbot certificates | grep "VALID" | grep -o "[0-9]* days" | cut -d" " -f1)
if [ $DAYS -lt 30 ]; then
  echo "Certificado SSL expira em $DAYS dias" | mail -s "Alerta SSL" [email protected]
fi' > /usr/local/bin/ssl-check.sh

2. Torne o script executável:

chmod +x /usr/local/bin/ssl-check.sh

3. Adicione ao crontab para execução semanal:

0 9 * * 1 /usr/local/bin/ssl-check.sh

4. Monitore logs de renovação:

tail -f /var/log/letsencrypt/letsencrypt.log

5. Verifique regularmente a validade:

echo | openssl s_client -servername seudominio.com.br -connect seudominio.com.br:443 2>/dev/null | openssl x509 -noout -dates

Para gerenciar múltiplos domínios em seu VPS, consulte nosso artigo sobre Como gerenciar um domínio.

Perguntas frequentes sobre SSL Let's Encrypt no VPS

Quanto tempo demora para configurar SSL Let's Encrypt no VPS?

A configuração completa do SSL Let's Encrypt no VPS Linux leva entre 10 a 20 minutos. Isso inclui a instalação do Certbot, geração do certificado e configuração do servidor web. A renovação automática é configurada durante o processo inicial.

O certificado Let's Encrypt funciona com qualquer servidor web?

Sim, o Let's Encrypt funciona com Apache, Nginx, Lighttpd e outros servidores web populares. O Certbot possui plugins específicos para cada servidor, facilitando a configuração automática. Para servidores não suportados, você pode usar o modo manual.

É necessário renovar manualmente o certificado Let's Encrypt?

Não, a renovação é automática quando configurada corretamente. O Certbot instala um cron job que renova os certificados automaticamente 30 dias antes do vencimento. Você pode testar a renovação com o comando certbot renew --dry-run.

Posso usar Let's Encrypt para certificados wildcard?

Sim, o Let's Encrypt suporta certificados wildcard desde 2018. Para gerar um certificado wildcard, você precisa usar validação DNS com o comando certbot certonly --manual --preferred-challenges dns. Isso requer configuração manual dos registros DNS.

O que fazer se o certificado Let's Encrypt não for reconhecido?

Verifique se o certificado foi instalado corretamente no servidor web e se as configurações de SSL estão ativas. Teste a configuração com ferramentas como SSL Labs ou openssl s_client. Certifique-se de que as portas 80 e 443 estão abertas no firewall.

Conclusão

• Siga o checklist completo para garantir configuração SSL segura e funcional no VPS Linux
• Implemente monitoramento automático para detectar problemas de certificado antes da expiração
• Mantenha as configurações de segurança atualizadas com protocolos TLS modernos e HSTS ativo

Precisa de ajuda com configuração SSL no seu VPS?

Nossa equipe técnica especializada pode auxiliar na implementação completa de certificados SSL Let's Encrypt, incluindo configurações avançadas de segurança e monitoramento automático. Oferecemos suporte técnico especializado para otimizar a segurança do seu servidor.

Conheça nossos planos de VPS Linux