Solicitação e Gerenciamento Automático de Certificados SSL com Let's Encrypt no ServBay

Reproduzir um ambiente de produção em seu desenvolvimento local é essencial para o desenvolvimento web moderno—e isso inclui o uso de HTTPS. O ServBay integra suporte ao protocolo ACME (Automated Certificate Management Environment), permitindo que você solicite, instale e gerencie facilmente certificados SSL/TLS gratuitos por meio de CAs como a Let's Encrypt. Este guia detalha como emitir e aplicar certificados Let's Encrypt para seus sites de desenvolvimento local no ServBay.

Os principais benefícios de utilizar certificados Let's Encrypt incluem: gratuidade, automação, ampla confiança e a possibilidade de testar localmente o comportamento HTTPS dos sites, Service Workers, HSTS e outros recursos.

Pré-requisitos

Antes de iniciar o processo de solicitação do certificado Let's Encrypt, certifique-se de atender aos seguintes requisitos:

1. Domínio público registrado: É necessário possuir um domínio registrado e disponível (por exemplo, servbay.demo ou seudominio.com). O Let's Encrypt não emite certificados para endereços IP locais ou domínios não públicos como .local.
2. Acesso à gestão de DNS do domínio: O ServBay utiliza APIs de DNS para validar a posse do domínio. Portanto, você deve ter acesso ao painel do seu provedor de DNS ou registrador de domínio (exemplo: Cloudflare, GoDaddy, AWS Route 53, entre outros) e ser capaz de gerar chaves de API para automação.
3. Obtenção da chave de API de DNS: Siga as instruções do seu provedor de DNS para gerar a(s) chave(s) ou token(s) de API necessários. Cada provedor possui um procedimento diferente. Em geral, é preciso gerar um token com permissão para administrar os registros DNS do domínio. Consulte a DNS API WIKI do projeto acme.sh para saber como obter as variáveis e chaves certas para o seu fornecedor.

Etapas para Solicitação

Veja como solicitar um certificado SSL pelo Let's Encrypt diretamente no ServBay:

1. Abra o Painel de Gerenciamento ServBay: Inicie o aplicativo ServBay e clique no ícone da barra de menu. Selecione “Painel de Gerenciamento” (Manager Panel) para acessar a interface web.

2. Acesse a Gestão de Certificados SSL: No menu lateral do painel, localize e clique na opção Certificados SSL (SSL Certificates).

3. Inicie uma nova solicitação de certificado: Na página de lista de certificados SSL, clique no botão circular “+” no canto superior direito. Uma janela de configuração será aberta para iniciar o pedido.

4. Preencha as informações do certificado: No pop-up “Solicitar Certificado” (Request Certificate), complete os campos conforme explicado abaixo:

   • Common Name (Nome Comum): Um nome amigável para você identificar o certificado, como servbay-demo-cert ou meudominio-wildcard-cert.
   • Usage Purpose (Finalidade): Selecione TLS/SSL.
   • Request Method (Método de Solicitação): Escolha ACME.
   • Issuer (Emissor): Opte por Let's Encrypt.
   • DNS API Provider (Provedor DNS API): Escolha seu provedor de domínio ou DNS (exemplo: cloudflare para Cloudflare, godaddy para GoDaddy).
   • Algorithm (Algoritmo): Recomenda-se escolher ECC (Criptografia de Curva Elíptica) e o comprimento de chave 384. Certificados ECC têm chaves menores e oferecem geralmente melhor desempenho e segurança em comparação aos tradicionais RSA.
   • E-Mail Address (Endereço de e-mail): Insira seu endereço de email válido. O Let's Encrypt usará este endereço para notificações sobre vencimento, falha de renovação, etc.
   • DNS API Tokens (Tokens de API de DNS): Informe aqui as chaves ou tokens exigidos pelo seu provedor DNS, geralmente no formato de variáveis de ambiente para o cliente ACME subjacente. Consulte a documentação do seu fornecedor ou a WIKI de DNS API do acme.sh para saber o nome correto da variável e seu valor. Importante: não adicione export antes das informações da API. Por exemplo, para Cloudflare, use CF_Key=sdfsdfsdffgfdg\[email protected] (use \n para separar diferentes variáveis).
   • Domain (Domínio): Informe o(s) domínio(s) para os quais deseja solicitar o certificado. Para múltiplos domínios ou wildcard (por exemplo, *.servbay.demo), separe-os com vírgula, como servbay.demo, www.servbay.demo, *.servbay.demo. Certificados wildcard devem ser validados via API de DNS.

   Observe que o campo "Common Name" no exemplo está como "Test", mas recomenda-se usar nomes mais descritivos para facilitar a identificação.

5. Envie a solicitação: Confira se todos os dados estão corretos e clique em “Solicitar” (Request) no final da janela.

6. Aguarde a conclusão: O ServBay executará o cliente ACME, utilizando suas informações da API DNS para validar a posse do domínio e solicitar o certificado ao Let's Encrypt. Isso pode levar alguns minutos, a depender da propagação DNS e da resposta dos servidores do Let's Encrypt. O novo certificado será adicionado à sua lista de certificados SSL quando o processo for concluído.

Utilizando o Certificado

Após a solicitação ser aprovada e o certificado aparecer listado, aplique-o ao seu site local da seguinte forma:

1. Acesse a configuração do site: No painel lateral do ServBay, clique em Sites (Websites).
2. Edite as configurações do site: Localize o site desejado e clique no ícone de edição à direita (geralmente um lápis).
3. Configure HTTPS/SSL: Na página de configuração, encontre as opções referentes a SSL/HTTPS. Normalmente, há um campo para escolher a origem do certificado SSL.
4. Selecione o certificado ACME: Na lista de opções, escolha ACME como fonte. Em seguida, selecione o certificado recém-solicitado, identificado pelo "Common Name" que você definiu.
5. Salve as alterações: Salve a nova configuração. O ServBay irá recarregar as configurações do seu site e o novo certificado SSL entrará em vigor. Agora, seu site local estará acessível por HTTPS.

A imagem acima mostra onde selecionar o certificado ACME na configuração do site.

Renovação dos Certificados

Os certificados Let's Encrypt têm validade de 90 dias. O ServBay possui mecanismo de renovação automática: quando faltar até 30 dias para o vencimento, uma nova tentativa de renovação será feita automaticamente com as mesmas configurações. Não é necessária intervenção manual, desde que a chave da API de DNS continue válida. Se ocorrer um problema durante a renovação, você será notificado pelo email que forneceu durante a solicitação.

Sobre o Protocolo ACME e Validação via API DNS

• Protocolo ACME: Um padrão aberto para automatizar a validação de domínios e emissão de certificados. CAs como Let's Encrypt utilizam ACME para se comunicarem com clientes (como o integrado ao ServBay) e automatizar todo o ciclo de vida dos certificados.
• Validação via API DNS: Um dos métodos do ACME para comprovar a posse do domínio. O cliente adiciona um registro TXT específico no DNS do domínio via API; a CA consulta essa informação para validar o controle. É ideal nos casos:
  • Emissão de certificados wildcard (exemplo: *.servbay.demo).
  • O ServBay está em ambiente interno/isolado (sem acesso público) ou quando portas 80/443 são bloqueadas pelo provedor de internet.

Escolhendo o Algoritmo do Certificado: ECC vs RSA

No processo de solicitação, o ServBay permite escolher entre ECC e RSA.

• RSA: O algoritmo clássico de criptografia assimétrica. Tem máxima compatibilidade, suportado virtualmente por todos os navegadores e clientes. Tamanhos comuns: 2048 e 4096 bits.
• ECC: Baseado em curvas elípticas. Oferece chaves muito menores para o mesmo nível de segurança (por exemplo, 256 bits ECC ≈ 3072 bits RSA), resultando em melhor desempenho de handshake TLS e menor uso de CPU. Navegadores e sistemas modernos suportam ECC amplamente.

Recomendação: Opte por ECC (384 bits) para melhor desempenho e segurança nas novas emissões. Se for prioritária a compatibilidade total (por exemplo, para clientes muito antigos), prefira RSA.

Observações Importantes

• Tempo de propagação do DNS: Após enviar a solicitação, alterações no registro TXT do DNS podem levar alguns minutos a horas para se propagarem globalmente. Se a solicitação falhar imediatamente, aguarde um pouco e tente novamente.
• Segurança da Chave de API: Sua chave de API DNS permite alterar os registros DNS do domínio. Mantenha-a segura e não compartilhe.
• Limite de requisições do Let's Encrypt: O Let's Encrypt impõe limites na frequência de solicitações e renovações para um mesmo domínio. O uso normal do ServBay não atinge este limite, mas evite operações repetidas desnecessárias.

Perguntas Frequentes (FAQ)

• Q: Meu domínio aponta para um IP local. Posso usar certificados Let's Encrypt?
  • A: Sim, desde que utilize a validação via API de DNS. O Let's Encrypt verifica o controle sobre o DNS do domínio, não para onde ele está apontando.
• Q: O que faço se a solicitação falhar?
  • A: Verifique se as informações da chave de API estão corretas e têm as permissões necessárias. Confirme se selecionou o provedor DNS correto. Aguarde a propagação DNS e tente novamente em alguns minutos. Consulte os logs do ServBay para ver detalhes do erro.
• Q: Com quanto tempo de antecedência ocorre a renovação automática?
  • A: O ServBay tentará renovar até 30 dias antes do vencimento do certificado.
• Q: Posso solicitar certificados para domínios .local no ambiente de desenvolvimento?
  • A: Não. O Let's Encrypt só emite para domínios públicos registrados. Para .local ou IPs locais, use a “ServBay User CA” ou “ServBay Public CA” para gerar certificados self-signed ou de CA interna para testes.
• Q: E se meu provedor DNS não estiver listado no ServBay?
  • A: O ACME do ServBay cobre a maioria dos provedores populares. Para fornecedores muito específicos, pode ser necessário configurar manualmente. Consulte a WIKI de DNS API do acme.sh para suporte e instruções, ou entre em contato com o suporte do ServBay caso seu provedor não esteja na interface.

Resumo

O ServBay, ao integrar o protocolo ACME, simplifica radicalmente o processo de obtenção e gestão de certificados SSL Let's Encrypt em ambientes de desenvolvimento local. Com a validação via API de DNS, você pode solicitar certificados gratuitos com renovação automática para seus domínios públicos (inclusive wildcards), simulando fielmente o ambiente de produção e aumentando a eficiência e precisão dos testes. Basta seguir as etapas deste guia para habilitar conexões seguras nos sites do seu ServBay.