bg-tutorials

Como instalar um certificado ACME SSL no LiteSpeed

Este guia aborda tudo o que você precisa para instalar os certificados ACME SSL no LiteSpeed, incluindo o OpenLiteSpeed e o LiteSpeed Enterprise.

Litespeed ACME SSL

Você configurará o cliente ACME, o conectará ao seu provedor de certificados, solicitará um certificado seguro e configurará o LiteSpeed para usá-lo, tudo em apenas algumas etapas claras. Uma vez concluído, seus certificados serão renovados automaticamente, sem necessidade de intervenção manual.

Usaremos o ACME.sh, uma ferramenta leve e confiável que oferece suporte ao External Account Binding (EAB), necessário para os SSLs ACME comerciais da Sectigo e da DigiCert.


O que você precisa antes de começar

Certifique-se de que você os tenha prontos:

  • Servidor Web LiteSpeed instalado (OpenLiteSpeed ou Enterprise)
  • Acesso SSH com privilégios de root ou sudo
  • O registro DNS A/AAAA do seu domínio apontando para este servidor
  • Uma assinatura ativa do ACME SSL (da Sectigo ou da DigiCert)
  • Suas credenciais do EAB (KID + chave HMAC)
  • Porta 80 aberta – o desafio ACME é executado por meio de HTTP simples
  • Acesso de saída à Internet para o endpoint do seu provedor ACME

Pontos de extremidade ACME a serem usados:

  • Seção: https://acme.sectigo.com/v2/DV
  • DigiCert: https://acme.digicert.com/v2/acme

Etapa 1: instalar o ACME.sh

Começaremos instalando o ACME.sh, o script leve que lida com as solicitações e renovações de certificados.

Abra uma janela de terminal (SSH) e conecte-se ao seu servidor LiteSpeed como root. Se você estiver usando um VPS ou servidor em nuvem, conecte-se usando:

ssh root@your-server-ip

Quando você estiver dentro, execute os seguintes comandos para instalar o ACME.sh:

curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version

Isso faz o download do script, configura o ambiente e confirma que ele foi instalado corretamente.

Se a instalação falhar:

  • Certifique-se de que curl e git estejam instalados em seu servidor
  • Se algo ficar travado, execute novamente a instalação com –force

Etapa 2: Registre sua conta ACME (com EAB)

Esta etapa vincula seu cliente ACME à CA usando as credenciais EAB da sua assinatura.

acme.sh --register-account \
  --server https://acme.sectigo.com/v2/DV \
  --eab-kid EAB_KID \
  --eab-hmac-key EAB_HMAC_KEY \
  --accountemail [email protected]

Substitua os valores por suas credenciais reais. Se você já tiver se registrado com o mesmo par de EABs, não há problema, o ACME.sh reutilizará a conta existente.

Se houver falha, verifique:

  • Suas credenciais de EAB estão corretas?
  • Seu servidor consegue acessar HTTPS de saída (porta 443)?

Etapa 3: Configure o Webroot e teste a validação HTTP

O ACME usa desafios HTTP-01 para verificar a propriedade do domínio. Isso significa que seu servidor precisa responder em: http://yourdomain.com/.well-known/acme-challenge/

Isso significa que o cliente ACME soltará um arquivo de teste em uma pasta chamada .well-known, e o seu servidor deverá servi-lo por HTTP simples (porta 80).

Onde está o webroot em seu servidor?

Isso depende do que você está executando. No OpenLiteSpeed (nova instalação), por padrão, a raiz da Web está em /usr/local/lsws/Example/html.

No LiteSpeed Enterprise (WHM ou configuração manual), a raiz da Web está onde quer que o seu domínio aponte, geralmente algo como: /home/youruser/public_html

Criar a pasta de validação e o arquivo de teste

Na raiz do documento (ajuste o caminho para que corresponda ao seu), execute:

mkdir -p /your/webroot/.well-known/acme-challenge
echo "ok" > /your/webroot/.well-known/acme-challenge/testfile
curl -I http://yourdomain.com/.well-known/acme-challenge/testfile

If you see HTTP/1.1 200 OK, your server is ready to answer ACME challenges.

E se você estiver forçando o HTTPS?

Se o seu site redirecionar automaticamente o HTTP para HTTPS, você precisará abrir uma exceção para o caminho do ACME para que ele possa permanecer no HTTP durante a validação. Adicione isso ao seu arquivo .htaccess:

RewriteEngine On
# Let ACME validation go through
RewriteRule ^\.well-known/acme-challenge/ - [L]
# Redirect everything else to HTTPS
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Isso garante que o desafio funcione mesmo que seu site use HTTPS.

Verificação adicional: a porta 80 está aberta?

Se a validação falhar, talvez seu servidor não esteja escutando em HTTP. Verifique seus ouvintes LiteSpeed.

Para o OpenLiteSpeed:

  1. Faça login no LiteSpeed WebAdmin: https://:7080
  2. Navegue até Listeners > Default (isso existe em instalações novas).
  3. Conjunto:
    • Porta = 80
    • IP = QUALQUER

Para LiteSpeed Enterprise:

Faça login no WHM ou no WebAdmin e verifique se o seu domínio está escutando na porta 80. Se outro serviço estiver usando essa porta, execute:

sudo lsof -i :80

Interrompa o processo conflitante e, em seguida, reinicie o LiteSpeed.


Etapa 4: Emita seu certificado SSL

Agora é hora de solicitar seu certificado SSL por meio do cliente ACME. Você executará esse comando diretamente no terminal do servidor (SSH), no mesmo local em que instalou o ACME.sh anteriormente.

acme.sh --issue \
  -d yourdomain.com \
  -w /path/to/your/webroot \
  --server https://acme.yourca.com/v2/endpoint

Vamos detalhar isso:

  • acme.sh –issue – informa ao ACME.sh que você deseja emitir um novo certificado.
  • -d yourdomain.com – seu nome de domínio principal. Você pode adicionar mais sinalizadores -d para subdomínios ou para a versão www, como -d www.yourdomain.com.
  • -w /path/to/your/webroot – o caminho completo para a raiz do documento do seu site.
  • –server https://acme.yourca.com/v2/endpoint – substitua-o pelo URL da ACME da sua CA:
    • Seção: https://acme.sectigo.com/v2/DV
    • DigiCert: https://acme.digicert.com/v2/acme

Se ele falhar com erros como: “não autorizado”, “não delegado” ou “resposta inválida”, isso geralmente significa que você não está autorizado a usar o sistema:

  • O registro DNS A/AAAA do domínio ainda não aponta para esse servidor.
  • O caminho de sua raiz da Web está errado. A ACME não consegue encontrar o arquivo de desafio.
  • A porta 80 é bloqueada ou redirecionada para HTTPS.
  • Você usou o URL do servidor CA errado para seu produto.

Etapa 5: Instale o certificado e defina o recarregamento

Agora, instalamos o certificado e informamos ao LiteSpeed para recarregar após as renovações.

Primeiro, crie um diretório para o certificado:

mkdir -p /usr/local/lsws/conf/cert/yourdomain.com

Em seguida, instale-o:

acme.sh --install-cert -d yourdomain.com \
  --key-file /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key \
  --fullchain-file /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt \
  --reloadcmd "/usr/local/lsws/bin/lswsctrl reload"

Corrigir permissões:

chmod 600 /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
chown -R nobody:nogroup /usr/local/lsws/conf/cert/yourdomain.com

Substitua nobody:nogroup pelo seu usuário e grupo reais do LiteSpeed, se forem diferentes.


Etapa 6: Configure o HTTPS no LiteSpeed

Agora que seu certificado está instalado, vamos conectá-lo ao LiteSpeed para que seu site seja carregado em HTTPS.

Para o OpenLiteSpeed (painel WebAdmin)

  1. Faça login no console do WebAdmin. Acesse: https://your-server-ip:7080
  2. Create a secure HTTPS listener. In the left menu, go to: Listeners > Add > Then set the following:
    • Nome: HTTPS
    • Endereço IP: QUALQUER
    • Porta: 443
    • Seguro: Sim

      Ouvinte do Litespeed
  3. Clique em Salvar.
  4. Depois de salvar, clique no seu novo ouvinte HTTPS e vá para a guia SSL .
  5. Digite os caminhos completos para os arquivos de certificado e chave que você instalou anteriormente e clique em Salvar novamente.
    • Arquivo de chave privada: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
    • Arquivo de certificado: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt

      Chave privada Litespeed
  6. Ainda no listener HTTPS, vá para a guia Virtual Host Mappings (Mapeamentos de host virtual ).
  7. Adicione um mapeamento como este:
    • Host virtual: Example (Substitua Example pelo nome real do host virtual, caso você o tenha alterado).
    • Domínios: *

      Litespeed Geral
  8. Para aplicar todas as alterações, reinicie o LiteSpeed. Você pode fazer isso no WebAdmin: Actions > Graceful Restart

Para LiteSpeed Enterprise

Se você estiver usando o LiteSpeed Enterprise (por exemplo, com WHM/cPanel), as etapas são semelhantes, mas o layout pode ser ligeiramente diferente.

  1. Acesse o WebAdmin ou WHM
  2. Você pode usar o painel WebAdmin (o mesmo que acima) ou configurar o SSL por meio do painel de hospedagem.
  3. Atribuir o certificado e os caminhos de chave
  4. Onde quer que o host virtual do seu domínio esteja definido, defina:
    • Arquivo de chave privada: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
    • Arquivo de certificado: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt
  5. Recarregar o LiteSpeed
  6. Aplique as alterações executando service lsws reload

É isso aí. Quando o LiteSpeed for recarregado, seu site começará a servir o tráfego por HTTPS usando o certificado ACME que você instalou.


Etapa 7: Verifique o HTTPS e a renovação automática

Visite seu site. Você deverá ver:

  • CN/SAN correto
  • Sem avisos do navegador

Agora, verifique se o ACME.sh adicionou um trabalho cron:

crontab -l

Você deve se parecer com isso:

24 13 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

Teste manualmente a renovação:

acme.sh --renew -d yourdomain.com --force
tail -n 40 ~/.acme.sh/acme.sh.log

Se o seu comando de recarga estiver correto, o LiteSpeed pegará o novo certificado automaticamente.


Você está tendo problemas? Aqui está o que você deve verificar

Se algo não estiver funcionando durante a emissão ou renovação, essas verificações rápidas devem resolver o problema:

404 Not Found” no arquivo de desafio

  • Verifique o caminho -w que você usou. Ele está apontando para a raiz correta do documento?
  • Certifique-se de que a pasta.well-known/acme-challenge/ exista dentro dessa raiz
  • Tente acessar um arquivo de teste manualmente por HTTP (curl ou navegador)

Erros “Não autorizado” ou “Não delegado”

  • É possível que seu DNS ainda não esteja apontando para o servidor. Verifique seus registros A/AAAA
  • Verifique novamente o URL da CA –servidor
  • Você está usando as credenciais EAB corretas do seu provedor de SSL?

O LiteSpeed não recarregou após a renovação do certificado

Se o seu certificado foi renovado, mas o site ainda está exibindo o antigo, isso geralmente significa que o LiteSpeed não foi recarregado automaticamente. Verifique qual versão do LiteSpeed você está usando.

Se você estiver usando o OpenLiteSpeed, recarregue o servidor manualmente com:

/usr/local/lsws/bin/lswsctrl reload

Se você estiver usando o LiteSpeed Enterprise, use:

service lsws reload

Atualize o comando ACME.sh reload para que ele execute a linha correta após cada renovação.

--reloadcmd "/usr/local/lsws/bin/lswsctrl reload"

Isso garante que o LiteSpeed atualize automaticamente o certificado na próxima vez que ele for renovado.


Você está pronto

Agora você instalou com sucesso um certificado ACME SSL no LiteSpeed e o configurou para ser renovado automaticamente sem nenhum trabalho manual. Seu servidor está usando certificados seguros baseados em EAB, tudo está conectado ao LiteSpeed e a recarga acontece silenciosamente após cada renovação.

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Uma imagem detalhada de um dragão em voo
Escrito por

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.