Como gerar um certificado Let's Encrypt para o seu domínio

As aplicações que utilizam o protocolo HTTPS requerem um Digital Certificate. Ao direcionar seu tráfego para a Azion, você tem a opção de gerar um certificado Let’s Encrypt™, que é uma maneira gratuita e segura de criptografar dados para sua edge application. A Azion automatiza a emissão, renovação e desativação deste certificado TLS através de uma solução interna de gerenciamento de certificados.

Os certificados Let’s Encrypt assinados cruzadamente pela IdenTrust expirarão em 30 de setembro de 2024. Dispositivos e aplicações que usam o certificado Let’s Encrypt que usa IdenTrust se tornarão inválidos. Se você utiliza esse tipo de certificado, é necessário migrar para a nova tecnologia de assinatura Let’s Encrypt ou para um edge certificate da Azion. Isso pode impactar a funcionalidade de dispositivos e aplicações que utilizam esses certificados, principalmente usuários de dispositivos Android mais antigos (anterior ao 7.1). Será necessário tomar as seguintes ações:

Para usuários de Certificados Let’s Encrypt com IdenTrust: você deve migrar para a nova tecnologia de assinatura do Let’s Encrypt ou para um certificado edge da Azion.
Para usuários de outros tipos de Certificados Let’s Encrypt: nenhuma ação imediata é necessária, considerando que outros certificados não são afetados com esta atualização, uma vez que o problema é causado por cadeias de certificados desatualizadas no dispositivo.
Para usuários com aplicações usando Let’s Encrypt na Azion: nenhuma ação é necessária. Os certificados são atualizados automaticamente, embora um dispositivo afetado também deva ter seus CAs atualizados.

Antes de começar

A Azion gera certificados Let’s Encrypt para domínios e subdomínios registrados no Domain Name System (DNS). Os domínios podem ser adquiridos e registrados em zonas DNS por meio de um provedor de DNS de terceiros, como GoDaddy ou Amazon AWS.

Para os fins deste guia, suponha que o fully-qualified domain name (FQDN) para o qual você deseja gerar um certificado Let’s Encrypt seja um registro CNAME www.seudominio.org em uma zona DNS seudominio.org.

Gere um certificado Let’s Encrypt

Você pode optar por gerar um certificado Let’s Encrypt para registros de domínio hospedados no Edge DNS ou no provedor de DNS externo do seu domínio.

Para isso, você terá que preparar seu servidor DNS e criar registros para que a Azion possa criar e gerenciar seu certificado Let’s Encrypt.

Opção 1: Prepare a entrada de DNS no Azion Edge DNS

A Azion permite que você hospede zonas DNS redirecionando a resolução DNS de um domínio para o Edge DNS. Ao usar o Edge DNS, todas as configurações necessárias são feitas através da interface da Azion.

Para criar uma zona DNS para um registro de domínio www.seudominio.org no Edge DNS:

Acesse o Azion Console > Edge DNS.
Se você não tiver uma zona ativa, clique no botão + Zone.
Dê um nome fácil de lembrar à sua zona.
Indique o FQDN conforme registrado no DNS. Exemplo: seudominio.org.
Clique no botão Save.

Depois que sua resolução de DNS for redirecionada com sucesso e estiver hospedada no Edge DNS, você poderá criar um novo registro CNAME para o domínio seguindo as etapas:

Ainda na página do Edge DNS, selecione a zona desejada.
Navegue até a aba Records.
Clique no botão + Record.
Em Name, crie um hostname ou subdomínio.
Em Record Type, selecione CNAME - Canonical name.
Em Value, insira o endereço de domínio fornecido pela Azion no formato FQDN. Exemplo: xxxxxxxxxx.map.azionedge.net
- Se você não tiver um domínio, vá para a seção Criar um domínio para obter mais informações.
Defina o TTL e Policy conforme desejado.
Clique no botão Save.

Se a entrada CNAME listada em seu domínio Azion tiver sido criada em sua zona do Edge DNS, a Azion verificará automaticamente a autenticidade do domínio e o certificado Let’s Encrypt ficará ativo. Vá para a seção Verificar o status dos certificados Let’s Encrypt para obter mais informações sobre os status dos certificados.

Opção 2: Prepare a entrada de DNS com um provedor de DNS externo

Se você tiver um domínio registrado em uma zona DNS externa, a Azion verificará a autenticidade do domínio em um provedor DNS externo, concluindo o método Let’s Encrypt chamado DNS-01 ACME client challenge para emitir o certificado.

Para permitir que o desafio DNS-01 ocorra:

Acesse o site do seu provedor de DNS.
Navegue até a área de gerenciamento de DNS.
Crie um registro CNAME para cada domínio que você deseja usar o certificado. Este deve ser o mesmo CNAME que você adicionará ao campo CNAME ao criar seu domínio mais tarde. Exemplo: seudominio.org
Adicione um novo registro ao seu domínio da seguinte forma:

Nome	Valor	Tipo
`_acme-challenge.<seu domínio>` Exemplo: `_acme-challenge.www.seudominio.org`	`<seu domínio>.letsencrypt.azion.com` Exemplo: `www.seudominio.org.letsencrypt.azion.com`	CNAME

Repita as etapas 3 e 4 para cada CNAME que você pretende adicionar ao seu Domain.
Salve suas alterações.

Agora que o desafio pode acontecer, o próximo passo é criar um domínio na Azion.

Crie um domínio

Para criar um domínio no Domain da Azion, você deve primeiro ter uma edge application. Se você ainda não criou uma edge application, vá para a documentação sobre criar uma aplicação.

Depois de ter uma edge application, você precisa criar um domínio e listar os CNAMEs que deseja proteger com o certificado Let’s Encrypt. Para fazer isso, siga os passos:

Acesse o Azion Console > Domains.
Clique no botão + Domain.
Dê um nome a seu domínio. Exemplo: Domínio.
Em Edge Application, selecione a aplicação que você criou.
Em CNAME, adicione o FQDN do domínio que você criou nas seções anteriores. Exemplo: www.seudominio.org
Em Digital Certificate, selecione a opção Let’s Encrypt.
Clique no botão Save.

Verifique o status do certificado Let’s Encrypt

Você pode verificar o status do seu certificado TLS Let’s Encrypt seguindo os passos:

Acesse o Azion Console > Digital Certificates.
Na sua lista de certificados digitais, você verá uma nova entrada no formato Domínio - Let's Encrypt <timestamp>.

O status à direita da lista mostra se o certificado foi emitido. Um certificado com o status Active foi verificado e emitido com sucesso. O status Pending significa que o certificado ainda está sendo verificado no gerenciador interno de certificados da Azion.

Gerencie um certificado Let’s Encrypt

Uma vez que o certificado é submetido à validação de DNS, ele não exigirá renovação manual após o vencimento, que ocorre após 90 dias. A desativação ocorrerá se o certificado for excluído ou se o domínio associado for excluído da Azion.

Aponte seu tráfego para a Azion

Depois de ter um certificado Let’s Encrypt ativo, você pode apontar seu tráfego para o Azion associando seu domínio fornecido pela Azion (xxxxxxxxxx.map.azionedge.net) ao registro CNAME do seu domínio. Para fazer isso:

Acesse o Azion Console > Domains.
Na lista de Domains, copie o endereço de domínio fornecido pelo Azion que você deseja associar ao domínio externo, que deve estar no formato xxxxxxxxxx.map.azionedge.net.
Em outra guia do navegador, acesse seu provedor de DNS.
Navegue até a área de gerenciamento de DNS.
Edite o registro CNAME de domínio que você associou ao certificado Let’s Encrypt da seguinte forma:

Nome	Valor	Tipo
`www.seudominio.org`	`xxxxxxxxxx.map.azionedge.net`	CNAME

Salve suas alterações.

Pode haver um atraso no tempo de propagação quando você acessa seu aplicativo. Se esse for o caso, você pode executar o comando DIG no seu terminal para verificar se o seu domínio está apontando para o endereço Azion.