Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Proteja su instancia LAMP de Lightsail con los certificados SSL de Let's Encrypt
<a name="amazon-lightsail-using-lets-encrypt-certificates-with-lamp"></a>

Amazon Lightsail facilita la protección de sus sitios web y aplicaciones con el SSL/TLS uso de los balanceadores de carga de Lightsail. Sin embargo, utilizar un balanceador de carga de Lightsail no suele ser la elección correcta. Quizás su sitio no necesita la escalabilidad o la tolerancia a errores que proporcionan los balanceadores de carga, o quizás necesita optimizar costos.

En este último caso, puede considerar el uso de Let's Encrypt para obtener un certificado SSL gratuito. Si es así, no hay ningún problema. Puede integrar esos certificados con las instancias de Lightsail. Este tutorial muestra cómo solicitar un certificado comodín de Let’s Encrypt mediante Certbot e integrarlo con su instancia de LAMP.

**importante**  
La distribución de Linux utilizada por las instancias de Bitnami cambió de Ubuntu a Debian en julio de 2020. Debido a este cambio, algunos de los pasos de este tutorial variarán dependiendo de la distribución de Linux de su instancia. Todas las instancias de esquema de Bitnami creadas después del cambio utilizan la distribución Debian Linux. Las instancias creadas antes del cambio seguirán utilizando la distribución Ubuntu Linux. Para comprobar la distribución de la instancia, ejecute el comando `uname -a `. La respuesta mostrará Ubuntu o Debian como la distribución Linux de su instancia.
Bitnami está en proceso de modificar la estructura de archivos de muchos de sus pilas. Las rutas de los archivos en este tutorial pueden cambiar dependiendo de si la pila de Bitnami utiliza paquetes nativos del sistema Linux (Enfoque A), o si es una instalación autónoma (Enfoque B). Para identificar su tipo de instalación de Bitnami y qué método debe seguir, ejecute el siguiente comando:  
`test ! -f "/opt/bitnami/common/bin/openssl" && echo "Approach A: Using system packages." || echo "Approach B: Self-contained installation."`

**Contenido**
+ [Paso 1: completar los requisitos previos](#complete-the-prerequisites-lets-encrypt-lamp)
+ [Paso 2: instalar Certbot en la instancia](#install-certbot-on-your-instance-lamp)
+ [Paso 3: Solicitar un certificado comodín de SSL de Let's Encrypt](#request-a-lets-encrypt-certificate-lamp)
+ [Paso 4: agregar registros TXT a la zona de DNS del dominio](#add-a-text-record-to-your-domains-dns-zone-lets-encrypt-lamp)
+ [Paso 5: Confirmar que los registros TXT se han propagado](#confirm-the-text-records-have-propagated-lets-encrypt-lamp)
+ [Paso 6: Finalizar la solicitud del certificado de SSL de Let's Encrypt](#complete-the-lets-encrypt-certificate-request-lamp)
+ [Paso 7: Crear enlaces a los archivos de certificados de Let's Encrypt del directorio del servidor Apache](#link-the-lets-encrypt-certificate-files-in-the-apache-directory-lamp)
+ [Paso 8: Configurar el redireccionamiento HTTP a HTTPS de una aplicación web](#configure-http-to-https-redirection-lamp)
+ [Paso 9: Renovar los certificados de Let's Encrypt cada 90 días](#renew-a-lets-encrypt-certificate-lamp)

## Paso 1: completar los requisitos previos
<a name="complete-the-prerequisites-lets-encrypt-lamp"></a>

Complete los siguientes requisitos previos si aún no lo ha hecho:
+ Cree una instancia de LAMP en Lightsail. Para obtener más información, consulte [Crear una instancia](how-to-create-amazon-lightsail-instance-virtual-private-server-vps.md).
+ Registre un nombre de dominio y obtenga acceso administrativo para editar sus registros de DNS. Para obtener más información, consulte [Amazon Lightsail DNS](understanding-dns-in-amazon-lightsail.md).
**nota**  
Le recomendamos que administre los registros DNS de su dominio mediante una zona DNS de Lightsail. Para obtener más información, consulte [Creación de una zona de DNS para administrar los registros de DNS de un dominio](lightsail-how-to-create-dns-entry.md).
+ Utilice el terminal SSH basado en navegador de la consola de Lightsail para realizar los pasos de este tutorial. Sin embargo, también puede utilizar su propio cliente SSH, como PuTTY. Para obtener información sobre cómo configurar PuTTY, consulte [Descargar y configurar PuTTY para conectarse mediante SSH](lightsail-how-to-set-up-putty-to-connect-using-ssh.md).

Una vez que haya completado los requisitos previos, continúe en la [siguiente sección](#install-certbot-on-your-instance-lamp) de este tutorial.

## Paso 2: instalar Certbot en la instancia
<a name="install-certbot-on-your-instance-lamp"></a>

Certbot es un cliente que se utiliza para solicitar un certificado de Let's Encrypt e implementarlo en un servidor web. Let's Encrypt utiliza el protocolo ACME para emitir certificados y Certbot es un cliente preparado para ACME que interactúa con Let's Encrypt.

**Para instalar Certbot en su instancia de Lightsail**

1. Inicie sesión en la consola de [Lightsail](https://lightsail.aws.amazon.com/).

1. En el panel de navegación izquierdo, elija el icono de conexión rápida de SSH para la instancia a la que desea conectarse.  
![\[Conexión rápida SSH en la página de inicio de Lightsail.\]](http://docs.aws.amazon.com/es_es/lightsail/latest/userguide/images/amazon-lightsail-lamp-ssh-quick-connect.png)

1. Una vez conectada la sesión SSH basada en el navegador Lightsail, introduzca el siguiente comando para actualizar los paquetes de la instancia:

   ```
   sudo apt-get update
   ```  
![\[Actualice los paquetes en la instancia.\]](http://docs.aws.amazon.com/es_es/lightsail/latest/userguide/images/amazon-lightsail-lamp-ssh-lets-encrypt-update-packages.png)

1. Ingrese el siguiente comando para instalar el paquete de propiedades del software: Los desarrolladores de Certbot utilizan un Personal Package Archive (PPA) para distribuir Certbot. El paquete de propiedades del software hace que trabajar con él sea más eficiente. PPAs

   ```
   sudo apt-get install software-properties-common
   ```
**nota**  
Si detecta un error `Could not get lock` al ejecutar el comando `sudo apt-get install`, espere aproximadamente 15 minutos y vuelva a intentarlo. Este error puede deberse a un trabajo cron que utiliza la herramienta de administración de paquetes Apt para instalar actualizaciones de forma desatendida.

1. Ingrese el siguiente comando para agregar Certbot al repositorio apt local:
**nota**  
El paso 5 solo se aplica a las instancias que utilizan la distribución Ubuntu Linux. Omita este paso si su instancia utiliza la distribución Debian Linux.

   ```
   sudo apt-add-repository ppa:certbot/certbot -y
   ```

1. Ingrese el siguiente comando para actualizar apt para que incluya el nuevo repositorio:

   ```
   sudo apt-get update -y
   ```

1. Ingrese el siguiente comando para instalar Certbot:

   ```
   sudo apt-get install certbot -y
   ```

   Certbot ya está instalado en su instancia de Lightsail.

1. Mantenga abierta la ventana de terminal de la sesión SSH basada en navegador; volverá a ella posteriormente en este tutorial. Continúe con la [siguiente sección](#request-a-lets-encrypt-certificate-lamp) de este tutorial.

## Paso 3: Solicitar un certificado comodín de SSL de Let's Encrypt
<a name="request-a-lets-encrypt-certificate-lamp"></a>

Comience el proceso de solicitud de un certificado de Let's Encrypt. Con Certbot, solicite un certificado comodín que le permita utilizar un solo certificado para un dominio y sus subdominios. Por ejemplo, un único certificado comodín funciona para el dominio de nivel superior `example.com` y los subdominios `blog.example.com` y `stuff.example.com`.

**Para solicitar un certificado comodín de SSL de Let’s Encrypt**

1. En la misma ventana de terminal de SSH basada en navegador utilizada en el [paso 2](#install-certbot-on-your-instance-lamp) de este tutorial, ingrese los siguientes comandos para definir una variable de entorno para su dominio. Ahora puede copiar y pegar comandos de un modo más eficiente para obtener el certificado.

   ```
   DOMAIN=Domain
   ```

   ```
   WILDCARD=*.$DOMAIN
   ```

   En el comando, sustitúyalo por tu nombre de dominio *Domain* registrado.

   Ejemplo:

   ```
   DOMAIN=example.com
   ```

   ```
   WILDCARD=*.$DOMAIN
   ```

1. Ingrese el siguiente comando para confirmar que las variables devuelven los valores correctos:

   ```
   echo $DOMAIN && echo $WILDCARD
   ```

   Debería ver un resultado similar al siguiente:  
![\[Confirme las variables de entorno del dominio.\]](http://docs.aws.amazon.com/es_es/lightsail/latest/userguide/images/instances/lets-encrypt/bitnami-confirm-variables.png)

1. Ingrese el siguiente comando para iniciar Certbot en modo interactivo. Este comando le indica a Certbot que use un método de autorización manual con desafíos de DNS para verificar la propiedad del dominio. Solicita un certificado comodín para su dominio de nivel superior, así como sus subdominios.

   ```
   sudo certbot -d $DOMAIN -d $WILDCARD --manual --preferred-challenges dns certonly
   ```

1. Ingrese su dirección de correo electrónico cuando se le solicite, ya que se utiliza para la renovación y los avisos de seguridad.

1. Lea las condiciones de servicio de Let's Encrypt. Cuando haya terminado, pulse A si está de acuerdo. Si no está de acuerdo, no puede obtener un certificado de Let's Encrypt.

1. Responda en consecuencia a la pregunta para compartir su dirección de correo electrónico y a la advertencia sobre el registro de la dirección IP.

1. Ahora Let's Encrypt le pide que verifique que usted es el propietario del dominio especificado. Para ello, se añaden registros TXT para los registros de DNS del dominio. Se proporciona un conjunto de valores de registro TXT, tal y como se muestra en el siguiente ejemplo:
**nota**  
Let's Encrypt puede proporcionar uno o varios registros TXT que debe utilizar para la verificación. En este ejemplo, se nos proporcionaron dos registros TXT para utilizarlos para la verificación.  
![\[Registros TXT para certificados de Let's Encrypt.\]](http://docs.aws.amazon.com/es_es/lightsail/latest/userguide/images/instances/ssh/lets-encrypt-text-records.png)

1. Mantenga abierta la sesión SSH basada en el navegador Lightsail; volverá a ella más adelante en este tutorial. Continúe con la [siguiente sección](#add-a-text-record-to-your-domains-dns-zone-lets-encrypt-lamp) de este tutorial.

## Paso 4: agregar registros TXT a la zona de DNS del dominio
<a name="add-a-text-record-to-your-domains-dns-zone-lets-encrypt-lamp"></a>

Al añadir un registro TXT a la zona DNS de su dominio se verifica que usted es el propietario del dominio. Para fines de demostración, utilizamos la zona DNS de Lightsail. Sin embargo, los pasos podrían ser similares para otras zonas DNS normalmente alojadas por registradores de dominio.

**nota**  
Para obtener más información sobre cómo crear una zona DNS de Lightsail para su dominio, [consulte Creación de una zona DNS para gestionar los registros DNS de su dominio](lightsail-how-to-create-dns-entry.md) en Lightsail.

**Para añadir registros TXT a la zona DNS de su dominio en Lightsail**

1. En el panel de navegación izquierdo, seleccione **Dominios y DNS**.

1. En la sección **Zonas DNS** de la página, elija la Zona DNS del dominio que ha especificado en la solicitud de certificado de Certbot.

1. En el editor de zona DNS, elija **DNS records** (Registros de DNS).

1. Elija **Añadir registro**.

1. En el menú desplegable **Record type** (Tipo de registro), elija **TXT record** (Registro TXT).

1. Ingrese los valores especificados en la solicitud de certificado de Let's Encrypt en los campos **Record name** (Nombre de registro y **Responds with** (Responde con).
**nota**  
La consola de Lightsail rellena automáticamente la parte APEX del dominio. Por ejemplo, si desea agregar el subdominio `_acme-challenge.example.com`, entonces solo tiene que introducir `_acme-challenge` en el cuadro de texto, y Lightsail agrega la parte `.example.com` en su lugar cuando guarda el registro.

1. Seleccione **Save**.

1. Repita los pasos 4 a 7 para añadir el segundo conjunto de registros TXT especificado por la solicitud de certificado de Let's Encrypt.

1. Mantenga abierta la ventana del navegador de la consola Lightsail; volverá a ella más adelante en este tutorial. Continúe con la [siguiente sección](#confirm-the-text-records-have-propagated-lets-encrypt-lamp) de este tutorial.

## Paso 5: Confirmar que los registros TXT se han propagado
<a name="confirm-the-text-records-have-propagated-lets-encrypt-lamp"></a>

Utilice la MxToolbox utilidad para confirmar que los registros TXT se han propagado al DNS de Internet. La propagación de registros de DNS puede tardar un tiempo en función de su proveedor de alojamiento de DNS y el tiempo de vida (TTL) configurado para los registros de DNS. Es importante que realice este paso y que confirme que sus registros TXT se han propagado antes de continuar con la solicitud de certificado de Certbot. De lo contrario, se produce un error al solicitar el certificado.

**Para confirmar que los registros TXT se han propagado en el DNS de Internet**

1. Abra una nueva ventana del navegador y vaya a [https://mxtoolbox.comTXTLookup/.aspx.](https://mxtoolbox.com/TXTLookup.aspx)

1. Ingrese el siguiente texto en el cuadro de texto.

   ```
   _acme-challenge.Domain
   ```

   *Domain*Sustitúyalo por tu nombre de dominio registrado.

   Ejemplo:

   ```
   _acme-challenge.example.com
   ```  
![\[MXToolbox Búsqueda de registros TXT.\]](http://docs.aws.amazon.com/es_es/lightsail/latest/userguide/images/instances/lets-encrypt/mxtoolbox-text-record-lookup.png)

1. Elija **TXT Lookup (Búsqueda de TXT)** para realizar la comprobación.

1. Se obtiene una de las siguientes respuestas:
   + Si sus registros de TXT se han propagado al DNS de Internet, verá una respuesta similar a la que se muestra en la siguiente captura de pantalla. Cierre la ventana del navegador y continúe en la [siguiente sección](#complete-the-lets-encrypt-certificate-request-lamp) de este tutorial.  
![\[Confirmación de que los registros de TXT se han propagado.\]](http://docs.aws.amazon.com/es_es/lightsail/latest/userguide/images/instances/lets-encrypt/mxtoolbox-propagated-text-record-lookup.png)
   + Si su registros TXT no se han propagado al DNS de Internet, verá la respuesta **DNS Record not found (Registro de DNS no encontrado)**. Confirme que ha añadido los registros de DNS correctos a la zona DNS de su dominio. Si ha añadido los registros correctos, espere un poco más a que los registros de DNS de su dominio se propaguen y ejecute de nuevo la búsqueda de TXT.

## Paso 6: Finalizar la solicitud del certificado de SSL de Let's Encrypt
<a name="complete-the-lets-encrypt-certificate-request-lamp"></a>

Regrese a la sesión SSH basada en el navegador Lightsail de su instancia LAMP y complete la solicitud de certificado Let's Encrypt. Certbot guarda sus archivos de certificados SSL, de cadena y de clave en un directorio específico en su instancia de LAMP.

**Para finalizar la solicitud de certificado SSL de Let’s Encrypt**

1. En la sesión SSH basada en el navegador Lightsail de su instancia de LAMP, **pulse** Entrar para continuar con la solicitud del certificado SSL de Let's Encrypt. Si se realiza correctamente, aparece una respuesta similar a la que se muestra en la siguiente captura de pantalla:  
![\[Certificado de Let's Encrypt solicitado correctamente.\]](http://docs.aws.amazon.com/es_es/lightsail/latest/userguide/images/instances/lets-encrypt/bitnami-certificate-request-success.png)

   El mensaje confirma que los archivos de certificado, cadena y clave están almacenados en el directorio. `/etc/letsencrypt/live/Domain/` *Domain*será su nombre de dominio registrado, como`/etc/letsencrypt/live/example.com/`.

1. Anote la fecha de vencimiento especificada en el mensaje. Puede utilizarla para renovar su certificado en dicha fecha.  
![\[Fecha de renovación de certificado de Let's Encrypt.\]](http://docs.aws.amazon.com/es_es/lightsail/latest/userguide/images/instances/lets-encrypt/certificate-renewal-date.png)

1. Ahora que tiene el certificado SSL de Let's Encrypt, continúe en la [siguiente sección](#link-the-lets-encrypt-certificate-files-in-the-apache-directory-lamp) de este tutorial.

## Paso 7: Crear enlaces a los archivos de certificados de Let's Encrypt del directorio del servidor Apache
<a name="link-the-lets-encrypt-certificate-files-in-the-apache-directory-lamp"></a>

Cree enlaces a los archivos de certificados SSL de Let's Encrypt del directorio del servidor Apache de la instancia de LAMP. Además, haga una copia de seguridad de los certificados existentes, por si los necesita más adelante.

**Para crear enlaces a los archivos de certificados de Let's Encrypt del directorio del servidor Apache**

1. En la sesión SSH basada en el navegador Lightsail de su instancia de LAMP, introduzca el siguiente comando para detener los servicios de pila de LAMP subyacentes:

   ```
   sudo /opt/bitnami/ctlscript.sh stop
   ```

   Verá una respuesta parecida a la siguiente:  
![\[Servicios de instancia detenidos.\]](http://docs.aws.amazon.com/es_es/lightsail/latest/userguide/images/amazon-lightsail-ssh-stop-services.png)

1. Ingrese el siguiente comando para definir una variable de entorno para su dominio.

   ```
   DOMAIN=Domain
   ```

   En el comando, sustitúyalo por el nombre de dominio *Domain* registrado.

   Ejemplo:

   ```
   DOMAIN=example.com
   ```

1. Ingrese el siguiente comando para confirmar que las variables devuelven los valores correctos:

   ```
   echo $DOMAIN
   ```

   Debería ver un resultado similar al siguiente:  
![\[Confirme la variable de entorno del dominio.\]](http://docs.aws.amazon.com/es_es/lightsail/latest/userguide/images/instances/lets-encrypt/bitnami-confirm-domain-variable.png)

1. Ingrese los siguientes comandos individualmente para renombrar los archivos de certificados existentes como copias de seguridad. Consulte el bloque **Importante** al principio de este tutorial para obtener información sobre las diferentes distribuciones y estructuras de archivos.
   + Para distribuciones de Debian Linux

     Enfoque A (instalaciones de Bitnami utilizando paquetes de sistema):

     ```
     sudo mv /opt/bitnami/apache2/conf/bitnami/certs/server.crt /opt/bitnami/apache2/conf/bitnami/certs/server.crt.old
     ```

     ```
     sudo mv /opt/bitnami/apache2/conf/bitnami/certs/server.key /opt/bitnami/apache2/conf/bitnami/certs/server.key.old
     ```

     Enfoque B (instalaciones autónomas de Bitnami):

     ```
     sudo mv /opt/bitnami/apache2/conf/server.crt /opt/bitnami/apache2/conf/server.crt.old
     ```

     ```
     sudo mv /opt/bitnami/apache2/conf/server.key /opt/bitnami/apache2/conf/server.key.old
     ```
   + Para instancias más antiguas que utilizan la distribución Ubuntu Linux:

     ```
     sudo mv /opt/bitnami/apache/conf/bitnami/certs/server.crt /opt/bitnami/apache/conf/bitnami/certs/server.crt.old
     ```

     ```
     sudo mv /opt/bitnami/apache/conf/bitnami/certs/server.key /opt/bitnami/apache/conf/bitnami/certs/server.key.old
     ```

1. Ingrese cada uno de los comandos siguientes para crear enlaces a los archivos de certificados de Let’s Encrypt del directorio del servidor apache2. Consulte el bloque **Importante** al principio de este tutorial para obtener información sobre las diferentes distribuciones y estructuras de archivos.
   + Para distribuciones de Debian Linux

     Enfoque A (instalaciones de Bitnami utilizando paquetes de sistema):

     ```
     sudo ln -sf /etc/letsencrypt/live/$DOMAIN/privkey.pem /opt/bitnami/apache2/conf/bitnami/certs/server.key
     ```

     ```
     sudo ln -sf /etc/letsencrypt/live/$DOMAIN/fullchain.pem /opt/bitnami/apache2/conf/bitnami/certs/server.crt
     ```

     Enfoque B (instalaciones autónomas de Bitnami):

     ```
     sudo ln -sf /etc/letsencrypt/live/$DOMAIN/privkey.pem /opt/bitnami/apache2/conf/server.key
     ```

     ```
     sudo ln -sf /etc/letsencrypt/live/$DOMAIN/fullchain.pem /opt/bitnami/apache2/conf/server.crt
     ```
   + Para instancias más antiguas que utilizan la distribución Ubuntu Linux:

     ```
     sudo ln -s /etc/letsencrypt/live/$DOMAIN/privkey.pem /opt/bitnami/apache/conf/bitnami/certs/server.key
     ```

     ```
     sudo ln -s /etc/letsencrypt/live/$DOMAIN/fullchain.pem /opt/bitnami/apache/conf/bitnami/certs/server.crt
     ```

1. Ingrese el siguiente comando para iniciar los servicios de pila de LAMP subyacentes que detuvo anteriormente:

   ```
   sudo /opt/bitnami/ctlscript.sh start
   ```

   Debería ver un resultado similar al siguiente:  
![\[Servicios de instancia iniciados.\]](http://docs.aws.amazon.com/es_es/lightsail/latest/userguide/images/amazon-lightsail-ssh-start-services.png)

   Su instancia LAMP ya está configurada para utilizar el cifrado SSL. Sin embargo, no se redirige automáticamente el tráfico de HTTP a HTTPS.

1. Continúe con la [siguiente sección](#configure-http-to-https-redirection-lamp) de este tutorial.

## Paso 8: Configurar el redireccionamiento HTTP a HTTPS de una aplicación web
<a name="configure-http-to-https-redirection-lamp"></a>

Puede configurar el redireccionamiento HTTP a HTTPS para su instancia de LAMP. Con la redirección automática de HTTP a HTTPS solo pueden acceder a su sitio los clientes mediante SSL, incluso cuando se conecten a través de HTTP.

**Para configurar el redireccionamiento HTTP a HTTPS de la aplicación web**

1. En la sesión SSH basada en el navegador Lightsail de su instancia de LAMP, introduzca el siguiente comando para editar el archivo de configuración del servidor web Apache mediante el editor de texto Vim:

   ```
   sudo vim /opt/bitnami/apache2/conf/bitnami/bitnami.conf
   ```
**nota**  
Este tutorial utiliza Vim con fines de demostración, pero se puede utilizar cualquier editor de texto de su elección para este paso.

1. Pulse `i` para acceder al modo de inserción en el editor Vim.

1. En el archivo, ingrese el siguiente texto entre `DocumentRoot "/opt/bitnami/apache2/htdocs"` y `<Directory "/opt/bitnami/apache2/htdocs">`:

   ```
   RewriteEngine On
   RewriteCond %{HTTPS} !=on
   RewriteRule ^/(.*) https://%{SERVER_NAME}/$1 [R,L]
   ```

   El resultado debe ser similar a lo siguiente:  
![\[Archivo de configuración Apache editado para el redireccionamiento de HTTP a HTTPS.\]](http://docs.aws.amazon.com/es_es/lightsail/latest/userguide/images/amazon-lightsail-lamp-ssh-lets-encrypt-apache-config-file.png)

1. Pulse la tecla **ESC** y, a continuación, ingrese `:wq` para escribir (guardar) los cambios y salir de Vim.

1. Ingrese el siguiente comando para reiniciar los servicios de pila de LAMP subyacentes y hacer efectivos los cambios:

   ```
   sudo /opt/bitnami/ctlscript.sh restart
   ```

   Su instancia de LAMP ya está configurada para redireccionar automáticamente las conexiones de HTTP a HTTPS. Cuando un visitante se dirige a `http://www.example.com`, se le redirige automáticamente a la dirección cifrada `https://www.example.com`.

## Paso 9: Renovar los certificados de Let's Encrypt cada 90 días
<a name="renew-a-lets-encrypt-certificate-lamp"></a>

Los certificados de Let's Encrypt son válidos durante 90 días. Los certificados se pueden renovar 30 días antes de que caduquen. Para renovar los certificados de Let's Encrypt, ejecute el comando original que utilizó para obtenerlos. Repita los pasos de la sección [Solicitar un certificado comodín de SSL de Let”s Encrypt](#request-a-lets-encrypt-certificate-lamp) de este tutorial.