Richiedere e Gestire Automaticamente Certificati SSL con Let's Encrypt in ServBay

Per lo sviluppo web moderno è fondamentale simulare un ambiente di produzione in locale, inclusa la presenza di HTTPS. ServBay integra il supporto per il protocollo ACME (Automated Certificate Management Environment), consentendoti di richiedere, installare e gestire automaticamente certificati SSL/TLS gratuiti da CA (Certificate Authority) come Let's Encrypt. In questa guida verranno spiegati dettagliatamente tutti i passaggi necessari per ottenere certificati Let's Encrypt in ServBay e applicarli ai tuoi siti web locali di sviluppo.

I vantaggi nell'utilizzare certificati Let's Encrypt includono: gratuità, automazione, ampia affidabilità e la possibilità di testare in locale il comportamento HTTPS del sito, Service Workers, HSTS e molto altro.

Prerequisiti

Prima di iniziare la richiesta di un certificato Let's Encrypt, assicurati di soddisfare le seguenti condizioni:

1. Disporre di un dominio pubblico: È necessario possedere un nome di dominio registrato e funzionante (ad esempio: servbay.demo o yourdomain.com). Let's Encrypt non fornisce certificati per indirizzi IP locali o domini non pubblici come .local.
2. Gestire i record DNS del dominio: ServBay utilizza l'API DNS per la verifica della proprietà del dominio. Devi poter accedere al pannello di controllo del registrar o del provider DNS del tuo dominio (come Cloudflare, GoDaddy, AWS Route 53, ecc.) e poter generare una chiave API per operazioni automatizzate.
3. Ottenere una chiave API DNS: Crea la chiave o token API richiesta dal tuo provider DNS. Le modalità di ottenimento variano a seconda del provider. Di solito, serve una chiave con permessi di gestione dei record DNS. Consulta la pagina DNS API WIKI del progetto acme.sh per conoscere i dettagli relativi al tuo provider e ottenere nomi delle variabili d'ambiente e chiavi API necessari.

Procedura di Richiesta

Ecco i passaggi dettagliati per richiedere un certificato SSL tramite Let's Encrypt in ServBay:

1. Apri il Pannello di Gestione ServBay: Avvia l’applicazione ServBay, clicca sull’icona nella barra dei menu e seleziona "Pannello di Gestione" (Manager Panel) per accedere all’interfaccia web di amministrazione.

2. Vai alla Gestione Certificati SSL: Nel menu laterale del pannello ServBay, seleziona l’opzione Certificati SSL (SSL Certificates).

3. Inizia la richiesta di un nuovo certificato: Nella pagina dei certificati, clicca sul pulsante circolare “+” in alto a destra per aprire la finestra di configurazione richiesta certificato.

4. Compila le informazioni del certificato: Nella finestra “Richiedi Certificato” (Request Certificate), inserisci le seguenti informazioni:

   • Nome Comune (Common Name): Inserisci un nome che identifichi il certificato, ad esempio servbay-demo-cert oppure mydomain-wildcard-cert.
   • Scopo d’Uso (Usage Purpose): Seleziona TLS/SSL.
   • Metodo di Richiesta (Request Method): Scegli ACME.
   • Ente Emittente (Issuer): Scegli Let's Encrypt.
   • Provider API DNS (DNS API Provider): Scegli dal menu a tendina il tuo provider DNS o di dominio (ad esempio: cloudflare per Cloudflare, godaddy per GoDaddy).
   • Algoritmo (Algorithm): Si consiglia di selezionare ECC (Elliptic Curve Cryptography) e la lunghezza chiave 384. I certificati ECC offrono performance e sicurezza migliori rispetto agli RSA, pur avendo chiavi di dimensione inferiore.
   • Indirizzo Email (E-Mail Address): Indica il tuo indirizzo email valido. Let's Encrypt lo userà per inviare notifiche importanti su scadenza o rinnovo fallito del certificato.
   • Token API DNS (DNS API Tokens): Inserisci qui la chiave o token API fornita dal tuo provider DNS, generalmente sotto forma di variabili d’ambiente per il client ACME sottostante. Consulta la documentazione del provider DNS o la DNS API WIKI di acme.sh per i nomi delle variabili e i valori corretti. Nota importante: non aggiungere la parola export davanti alle informazioni API. Per esempio, per Cloudflare, inserisci CF_Key=sdfsdfsdffgfdg\nCF_Email=xxxx@example.com (usa \n per separare diverse variabili).
   • Dominio (Domain): Specifica il dominio per cui vuoi richiedere il certificato. Per richiederlo per più domini o per un wildcard (come *.servbay.demo), usa la virgola , come separatore (ad esempio: servbay.demo, www.servbay.demo, *.servbay.demo). Nota che per wildcard è obbligatoria la verifica via API DNS.

   Nota: nell’esempio lo screenshot mostra “Test” come Common Name; in produzione usa un nome più descrittivo.

5. Invia la richiesta: Dopo aver controllato che tutti i dati siano corretti, clicca su “Richiedi” (Request) nella parte bassa della finestra.

6. Attendi il completamento: ServBay avvierà in background il client ACME, userà le info DNS API per validare la proprietà del dominio e invierà la richiesta a Let's Encrypt. Il completamento può richiedere qualche minuto, a seconda della propagazione dei record DNS e del server Let's Encrypt. Al termine, il nuovo certificato sarà visibile nella lista dei tuoi certificati SSL.

Utilizzo del Certificato

Una volta ottenuto e presente nella lista, puoi applicare il nuovo certificato al tuo sito locale:

1. Vai alle impostazioni del sito: Dal menu laterale del pannello ServBay, clicca su Siti Web (Websites).
2. Modifica la configurazione del sito: Trova il sito a cui vuoi applicare il certificato e clicca sull’icona matita per modificare.
3. Configura HTTPS/SSL: Cerca la sezione relativa a SSL/HTTPS nelle impostazioni. Qui puoi selezionare la fonte del certificato SSL.
4. Seleziona Certificato ACME: Tra le opzioni della fonte certificato, scegli ACME e poi, dal menu a tendina che compare, seleziona il certificato appena richiesto (identificato dal nome che hai scelto come Common Name).
5. Salva la configurazione: Salva le modifiche. ServBay aggiornerà la configurazione del sito, rendendo operativo il nuovo certificato SSL. Da ora puoi accedere in HTTPS al tuo sito locale.

Lo screenshot mostra come selezionare un certificato ACME nella configurazione del sito.

Rinnovo del Certificato

I certificati Let's Encrypt sono validi per 90 giorni. ServBay integra un sistema di rinnovo automatico: quando il certificato ACME sta per scadere (tipicamente entro 30 giorni dalla scadenza), ServBay proverà automaticamente a rinnovarlo usando la medesima configurazione. Non sono richiesti interventi manuali. Verifica solo che le chiavi API DNS rimangano valide. In caso di errore durante il rinnovo, Let's Encrypt notificherà via mail l’indirizzo specificato.

Protocollo ACME e Verifica tramite API DNS

• Protocollo ACME: ACME è uno standard aperto che automatizza la verifica del dominio e il rilascio dei certificati. CA come Let's Encrypt interagiscono tramite questo protocollo con software client (come quello integrato in ServBay) per gestire la richiesta e manutenzione dei certificati.
• Verifica tramite API DNS: È uno dei metodi supportati da ACME per attestare il controllo di un dominio. Il client aggiunge un record TXT specifico ai tuoi DNS tramite API; il server CA lo rileva e conferma il controllo del dominio. Questo è particolarmente utile quando:
  • Vuoi un certificato wildcard (esempio: *.servbay.demo).
  • Il tuo ServBay locale non è accessibile pubblicamente (per esempio su reti interne, o se l'ISP blocca porte 80/443).

Scelta dell'Algoritmo del Certificato: ECC vs RSA

Al momento di richiedere un certificato, ServBay ti consente di scegliere fra algoritmo ECC o RSA.

• RSA: Algoritmo di crittografia a chiave pubblica tradizionale. Ha la massima compatibilità con browser e client, tipicamente usato con chiavi da 2048 o 4096 bit.
• ECC: Basato su curve ellittiche; a parità di sicurezza, le chiavi ECC sono molto più corte (ECC 256 bit ≈ RSA 3072 bit), con handshake TLS più veloce e minore utilizzo di risorse su server e client. Moderni browser e sistemi operativi supportano ECC.

Consiglio: Scegli ECC con chiave 384 bit per nuovi certificati, per migliori performance e sicurezza. RSA va bene solo se hai esigenze di massima compatibilità con client obsoleti.

Note Importanti

• Tempi di propagazione DNS: Dopo la richiesta, la propagazione del record TXT può richiedere da pochi minuti a diverse ore. Se fallisce subito, aspetta qualche minuto e riprova.
• Sicurezza chiavi API: Le chiavi API DNS permettono la gestione completa dei tuoi record DNS: trattale con massima riservatezza.
• Limiti di velocità Let's Encrypt: Esistono restrizioni sul numero di richieste/rinnovi per dominio. L’uso regolare e il rinnovo automatico integrato in ServBay in genere non danno problemi, ma attenzione a richieste troppo frequenti.

FAQ (Domande Frequenti)

• D: Il mio dominio punta a un indirizzo IP locale. Posso usare certificati Let's Encrypt?
  • R: Sì, usando la verifica tramite API DNS. Let's Encrypt si assicura che tu abbia il controllo DNS del dominio, non che punti a un IP pubblico.
• D: Cosa fare se la richiesta certificato fallisce?
  • R: Controlla se la chiave API DNS è corretta e con i giusti permessi. Assicurati di aver selezionato il provider giusto. Spesso occorre solo attendere la piena propagazione del record DNS e riprovare. Verifica anche i log di ServBay per dettagli sull’errore.
• D: Con quanto anticipo ServBay rinnova automaticamente il certificato?
  • R: Generalmente, entro i 30 giorni precedenti la scadenza.
• D: Posso richiedere certificati per domini .local nell’ambiente di sviluppo?
  • R: No, Let's Encrypt rilascia certificati solo per nomi di dominio pubblici. Per .local o indirizzi IP locali, puoi usare la User CA o Public CA di ServBay per creare un certificato autofirmato o “falso CA”, adatto ai test locali.
• D: Il mio provider DNS non è nella lista di ServBay. Come posso fare?
  • R: Il client ACME integrato supporta la maggior parte dei provider principali. Per provider di nicchia, può servire una configurazione manuale: consulta la DNS API WIKI di acme.sh per sapere se è supportato e come configurare le variabili. Se il provider non è presente nell’interfaccia ServBay, contatta l’assistenza.

Conclusione

Grazie all’integrazione con il protocollo ACME, ServBay semplifica enormemente la gestione e il rilascio di certificati SSL Let's Encrypt nell’ambiente di sviluppo locale. Utilizzando la verifica tramite API DNS, puoi ottenere in pochi click certificati gratuiti con rinnovo automatico per i tuoi domini pubblici (inclusi wildcard), simulando fedelmente la configurazione https di produzione e aumentando l’efficienza e la precisione dei test. Seguendo questa guida attiverai connessioni sicure per il tuo sito ServBay in modo rapido e professionale.