CyberPanel está equipado con un mecanismo integrado para emitir certificados de seguridad. Utiliza la autoridad de certificación Let’s Encrypt para obtener un certificado SSL para tus sitios web. Tenemos un excelente tutorial sobre cómo crear/emir certificados SSL para tu dominio aquí.
Sin embargo, si CyberPanel no puede obtener un certificado para tu dominio, en su lugar genera un certificado autofirmado. Este certificado, sin embargo, no es aceptable para el navegador y muestra una advertencia de pantalla roja indicando que la conexión podría no ser segura.
En este tutorial, veremos algunos errores comunes que pueden ocurrir y cómo solucionarlos.
Principales problemas con los certificados SSL en CyberPanel
Problema con el Registro A o la Dirección IP
CyberPanel solo puede proporcionar certificados para los sitios web que están en el servidor y para el dominio que está conectado al servidor también.
Para verificar esto, puedes utilizar Whats My DNS para asegurarte de que el registro A de tu dominio apunte a la dirección IP del servidor que se muestra en la esquina superior izquierda del panel de control de CyberPanel, justo debajo del logotipo de CyberPanel.
Si eso no coincide, cambie el registro A a esta IP en la configuración DNS de su administrador de dominio.
Si está utilizando Cloudflare, es posible que vea una IP diferente en Whats My DNS, pero debe asegurarse de que la IP en la configuración de DNS sea la misma que la IP del servidor.
Verificación del cliente ACME
CyberPanel utiliza acme-client para la emisión y regeneración de certificados SSL cada 90 días.
A veces, el cliente está desactualizado o se elimina del servidor, lo que imposibilita todo el proceso.
Para verificar y actualizar el cliente ACME a la última versión, ejecute el siguiente comando
wget -O – https://get.acme.sh | sh
Ahora puede volver al menú y elegir Administrar SSL en el menú SSL para emitir SSL nuevamente.
Permisos de carpeta
Let’s Encrypt Authority verifica que usted sea efectivamente el propietario y tenga el control del dominio para el que desea obtener un certificado, por lo que ofrece algunas formas de verificación.
Desafío HTTP-01 (o desafío basado en archivos): este es el tipo de desafío más común actualmente.
Let’s Encrypt le da un token a su cliente ACME, y su cliente ACME coloca un archivo en su servidor web en http://<YOUR_DOMAIN>/.well-known/acme-challenge/<TOKEN>
Desafío DNS-01: este desafío le pide que demuestre que controla el DNS de su nombre de dominio ingresando un valor específico en un registro TXT bajo ese nombre de dominio.
Let’s Encrypt le da un token a su cliente ACME, su cliente creará un registro TXT derivado de ese token y su clave de cuenta, y colocará ese registro en _acme-challenge.<YOUR_DOMAIN>
CyberPanel utiliza la verificación basada en archivos porque es más fácil y los registros DNS pueden tardar mucho en propagarse.
A veces, los usuarios cambian los archivos y los permisos de las carpetas, lo que hace imposible que CyberPanel agregue el archivo requerido para la verificación y la verificación falla.
Para solucionar estos problemas, vaya a Sitios web->Listar sitios web donde verá algo como esto
Haga clic en el botón Administrar junto al sitio web para el que desea emitir SSL y aparecerá una pantalla como esta.
Utilice la opción Administrador de archivos para abrir el administrador de archivos de ese sitio web.
Una vez que el administrador de archivos esté abierto, haga clic en el botón Reparar permisos en la parte superior derecha.
CyberPanel arreglará los permisos por usted y luego podrá emitir un certificado SSL desde SSL->Administrar SSL como se muestra en el primer número.
Bloqueo de ModSecurity
CyberPanel viene con ModSecurity que mantiene su servidor y sitios web a salvo de una variedad de intentos de piratería y contenido spam; sin embargo, a veces, como falso positivo, puede bloquear el tráfico legítimo considerándolo spam o un ataque.
Lets Encrypt verifica la identidad del dominio comprobando si el archivo que proporciona está disponible en su dominio o no.
Lo hace accediendo a ese archivo desde múltiples servidores para confirmar que usted es efectivamente el propietario o la persona autorizada para ese dominio.
Como emiten millones de certificados por día, sus servidores generan mucho tráfico y, a veces, las empresas de lucha contra el spam ven mucho tráfico similar al spam y colocan las IP de los servidores de Lets Encrypt en sus listas negras.
Como resultado, ModSecurity bloquea todas las conexiones de esas IP y Let’s Encrypt no puede verificar el dominio, lo que provoca que no se pueda emitir un certificado SSL. Existe una solución sencilla para poder emitir certificados SSL en este caso.
Vaya a Seguridad-> ModSecurity Conf y será recibido con esta pantalla
Desactive ModSecurity y luego vaya a SSL -> Administrar SSL y emita un certificado SSL para su sitio web. Una vez que haya terminado, vuelva a activar ModSecurity.
Depuración con línea de comando
Si nada de lo anterior funcionó para usted, significa que tiene un problema diferente que debe depurarse y solucionarse.
Para hacer eso, vaya a su terminal y escriba lo siguiente.
/root/.acme.sh/acme.sh –issue -d <YOUR_DOMAIN> -d www.<YOUR_DOMAIN> –cert-file /etc/letsencrypt/live/<YOUR_DOMAIN>/cert.pem –key-file /etc/letsencrypt/live/<YOUR_DOMAIN>/privkey.pem –fullchain-file /etc/letsencrypt/live/<YOUR_DOMAIN>/fullchain.pem -w /home/<YOUR_DOMAIN>/public_html –force –debug
Este comando le brindará información detallada sobre dónde y por qué ocurrió el problema para que pueda solucionarlo.