Este guia aborda tudo o que você precisa para instalar os certificados ACME SSL no LiteSpeed, incluindo o OpenLiteSpeed e o LiteSpeed Enterprise.

Você configurará o cliente ACME, o conectará ao seu provedor de certificados, solicitará um certificado seguro e configurará o LiteSpeed para usá-lo, tudo em apenas algumas etapas claras. Uma vez concluído, seus certificados serão renovados automaticamente, sem necessidade de intervenção manual.
Usaremos o ACME.sh, uma ferramenta leve e confiável que oferece suporte ao External Account Binding (EAB), necessário para os SSLs ACME comerciais da Sectigo e da DigiCert.
O que você precisa antes de começar
Certifique-se de que você os tenha prontos:
- Servidor Web LiteSpeed instalado (OpenLiteSpeed ou Enterprise)
- Acesso SSH com privilégios de root ou sudo
- O registro DNS A/AAAA do seu domínio apontando para este servidor
- Uma assinatura ativa do ACME SSL (da Sectigo ou da DigiCert)
- Suas credenciais do EAB (KID + chave HMAC)
- Porta 80 aberta – o desafio ACME é executado por meio de HTTP simples
- Acesso de saída à Internet para o endpoint do seu provedor ACME
Pontos de extremidade ACME a serem usados:
- Seção: https://acme.sectigo.com/v2/DV
- DigiCert: https://acme.digicert.com/v2/acme
Etapa 1: instalar o ACME.sh
Começaremos instalando o ACME.sh, o script leve que lida com as solicitações e renovações de certificados.
Abra uma janela de terminal (SSH) e conecte-se ao seu servidor LiteSpeed como root. Se você estiver usando um VPS ou servidor em nuvem, conecte-se usando:
ssh root@your-server-ip
Quando você estiver dentro, execute os seguintes comandos para instalar o ACME.sh:
curl https://get.acme.sh | sh
source ~/.bashrc
acme.sh --version
Isso faz o download do script, configura o ambiente e confirma que ele foi instalado corretamente.
Se a instalação falhar:
- Certifique-se de que
curlegitestejam instalados em seu servidor - Se algo ficar travado, execute novamente a instalação com –force
Etapa 2: Registre sua conta ACME (com EAB)
Esta etapa vincula seu cliente ACME à CA usando as credenciais EAB da sua assinatura.
acme.sh --register-account \
--server https://acme.sectigo.com/v2/DV \
--eab-kid EAB_KID \
--eab-hmac-key EAB_HMAC_KEY \
--accountemail [email protected]
Substitua os valores por suas credenciais reais. Se você já tiver se registrado com o mesmo par de EABs, não há problema, o ACME.sh reutilizará a conta existente.
Se houver falha, verifique:
- Suas credenciais de EAB estão corretas?
- Seu servidor consegue acessar HTTPS de saída (porta 443)?
Etapa 3: Configure o Webroot e teste a validação HTTP
O ACME usa desafios HTTP-01 para verificar a propriedade do domínio. Isso significa que seu servidor precisa responder em: http://yourdomain.com/.well-known/acme-challenge/
Isso significa que o cliente ACME soltará um arquivo de teste em uma pasta chamada .well-known, e o seu servidor deverá servi-lo por HTTP simples (porta 80).
Onde está o webroot em seu servidor?
Isso depende do que você está executando. No OpenLiteSpeed (nova instalação), por padrão, a raiz da Web está em /usr/local/lsws/Example/html.
No LiteSpeed Enterprise (WHM ou configuração manual), a raiz da Web está onde quer que o seu domínio aponte, geralmente algo como: /home/youruser/public_html
Criar a pasta de validação e o arquivo de teste
Na raiz do documento (ajuste o caminho para que corresponda ao seu), execute:
mkdir -p /your/webroot/.well-known/acme-challenge
echo "ok" > /your/webroot/.well-known/acme-challenge/testfile
curl -I http://yourdomain.com/.well-known/acme-challenge/testfile
If you see HTTP/1.1 200 OK, your server is ready to answer ACME challenges.
E se você estiver forçando o HTTPS?
Se o seu site redirecionar automaticamente o HTTP para HTTPS, você precisará abrir uma exceção para o caminho do ACME para que ele possa permanecer no HTTP durante a validação. Adicione isso ao seu arquivo .htaccess:
RewriteEngine On
# Let ACME validation go through
RewriteRule ^\.well-known/acme-challenge/ - [L]
# Redirect everything else to HTTPS
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Isso garante que o desafio funcione mesmo que seu site use HTTPS.
Verificação adicional: a porta 80 está aberta?
Se a validação falhar, talvez seu servidor não esteja escutando em HTTP. Verifique seus ouvintes LiteSpeed.
Para o OpenLiteSpeed:
- Faça login no LiteSpeed WebAdmin: https://:7080
- Navegue até Listeners > Default (isso existe em instalações novas).
- Conjunto:
- Porta = 80
- IP = QUALQUER
Para LiteSpeed Enterprise:
Faça login no WHM ou no WebAdmin e verifique se o seu domínio está escutando na porta 80. Se outro serviço estiver usando essa porta, execute:
sudo lsof -i :80
Interrompa o processo conflitante e, em seguida, reinicie o LiteSpeed.
Etapa 4: Emita seu certificado SSL
Agora é hora de solicitar seu certificado SSL por meio do cliente ACME. Você executará esse comando diretamente no terminal do servidor (SSH), no mesmo local em que instalou o ACME.sh anteriormente.
acme.sh --issue \
-d yourdomain.com \
-w /path/to/your/webroot \
--server https://acme.yourca.com/v2/endpoint
Vamos detalhar isso:
- acme.sh –issue – informa ao ACME.sh que você deseja emitir um novo certificado.
- -d yourdomain.com – seu nome de domínio principal. Você pode adicionar mais sinalizadores -d para subdomínios ou para a versão www, como -d www.yourdomain.com.
- -w /path/to/your/webroot – o caminho completo para a raiz do documento do seu site.
- –server https://acme.yourca.com/v2/endpoint – substitua-o pelo URL da ACME da sua CA:
- Seção: https://acme.sectigo.com/v2/DV
- DigiCert: https://acme.digicert.com/v2/acme
Se ele falhar com erros como: “não autorizado”, “não delegado” ou “resposta inválida”, isso geralmente significa que você não está autorizado a usar o sistema:
- O registro DNS A/AAAA do domínio ainda não aponta para esse servidor.
- O caminho de sua raiz da Web está errado. A ACME não consegue encontrar o arquivo de desafio.
- A porta 80 é bloqueada ou redirecionada para HTTPS.
- Você usou o URL do servidor CA errado para seu produto.
Etapa 5: Instale o certificado e defina o recarregamento
Agora, instalamos o certificado e informamos ao LiteSpeed para recarregar após as renovações.
Primeiro, crie um diretório para o certificado:
mkdir -p /usr/local/lsws/conf/cert/yourdomain.com
Em seguida, instale-o:
acme.sh --install-cert -d yourdomain.com \
--key-file /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key \
--fullchain-file /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt \
--reloadcmd "/usr/local/lsws/bin/lswsctrl reload"
Corrigir permissões:
chmod 600 /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
chown -R nobody:nogroup /usr/local/lsws/conf/cert/yourdomain.com
Substitua nobody:nogroup pelo seu usuário e grupo reais do LiteSpeed, se forem diferentes.
Etapa 6: Configure o HTTPS no LiteSpeed
Agora que seu certificado está instalado, vamos conectá-lo ao LiteSpeed para que seu site seja carregado em HTTPS.
Para o OpenLiteSpeed (painel WebAdmin)
- Faça login no console do WebAdmin. Acesse: https://your-server-ip:7080
- Create a secure HTTPS listener. In the left menu, go to: Listeners > Add > Then set the following:
- Nome: HTTPS
- Endereço IP: QUALQUER
- Porta: 443
- Seguro: Sim
- Clique em Salvar.
- Depois de salvar, clique no seu novo ouvinte HTTPS e vá para a guia SSL .
- Digite os caminhos completos para os arquivos de certificado e chave que você instalou anteriormente e clique em Salvar novamente.
- Arquivo de chave privada: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
- Arquivo de certificado: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt
- Ainda no listener HTTPS, vá para a guia Virtual Host Mappings (Mapeamentos de host virtual ).
- Adicione um mapeamento como este:
- Host virtual: Example (Substitua Example pelo nome real do host virtual, caso você o tenha alterado).
- Domínios: *
- Para aplicar todas as alterações, reinicie o LiteSpeed. Você pode fazer isso no WebAdmin: Actions > Graceful Restart
Para LiteSpeed Enterprise
Se você estiver usando o LiteSpeed Enterprise (por exemplo, com WHM/cPanel), as etapas são semelhantes, mas o layout pode ser ligeiramente diferente.
- Acesse o WebAdmin ou WHM
- Você pode usar o painel WebAdmin (o mesmo que acima) ou configurar o SSL por meio do painel de hospedagem.
- Atribuir o certificado e os caminhos de chave
- Onde quer que o host virtual do seu domínio esteja definido, defina:
- Arquivo de chave privada: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
- Arquivo de certificado: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt
- Recarregar o LiteSpeed
- Aplique as alterações executando service lsws reload
É isso aí. Quando o LiteSpeed for recarregado, seu site começará a servir o tráfego por HTTPS usando o certificado ACME que você instalou.
Etapa 7: Verifique o HTTPS e a renovação automática
Visite seu site. Você deverá ver:
- CN/SAN correto
- Sem avisos do navegador
Agora, verifique se o ACME.sh adicionou um trabalho cron:
crontab -l
Você deve se parecer com isso:
24 13 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
Teste manualmente a renovação:
acme.sh --renew -d yourdomain.com --force
tail -n 40 ~/.acme.sh/acme.sh.log
Se o seu comando de recarga estiver correto, o LiteSpeed pegará o novo certificado automaticamente.
Você está tendo problemas? Aqui está o que você deve verificar
Se algo não estiver funcionando durante a emissão ou renovação, essas verificações rápidas devem resolver o problema:
404 Not Found” no arquivo de desafio
- Verifique o caminho -w que você usou. Ele está apontando para a raiz correta do documento?
- Certifique-se de que a pasta.well-known/acme-challenge/ exista dentro dessa raiz
- Tente acessar um arquivo de teste manualmente por HTTP (curl ou navegador)
Erros “Não autorizado” ou “Não delegado”
- É possível que seu DNS ainda não esteja apontando para o servidor. Verifique seus registros A/AAAA
- Verifique novamente o URL da CA –servidor
- Você está usando as credenciais EAB corretas do seu provedor de SSL?
O LiteSpeed não recarregou após a renovação do certificado
Se o seu certificado foi renovado, mas o site ainda está exibindo o antigo, isso geralmente significa que o LiteSpeed não foi recarregado automaticamente. Verifique qual versão do LiteSpeed você está usando.
Se você estiver usando o OpenLiteSpeed, recarregue o servidor manualmente com:
/usr/local/lsws/bin/lswsctrl reload
Se você estiver usando o LiteSpeed Enterprise, use:
service lsws reload
Atualize o comando ACME.sh reload para que ele execute a linha correta após cada renovação.
--reloadcmd "/usr/local/lsws/bin/lswsctrl reload"
Isso garante que o LiteSpeed atualize automaticamente o certificado na próxima vez que ele for renovado.
Você está pronto
Agora você instalou com sucesso um certificado ACME SSL no LiteSpeed e o configurou para ser renovado automaticamente sem nenhum trabalho manual. Seu servidor está usando certificados seguros baseados em EAB, tudo está conectado ao LiteSpeed e a recarga acontece silenciosamente após cada renovação.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10




