0

Certificados SSL Let’s Encrypt en Nginx Proxy Manager y Azure como DNS Provider

Publicada en por Jose Ramon Ramos Gata

Hola a tod@s,

En este post vamos a ver como añadir certificados SSL de Let’s Encrypt en Nginx Proxy Manager configurados por DNS Challenge y como DNS Provider utilizaremos Azure, que es dónde tenemos alojada nuestra zona DNS.

  • Para empezar, nos vamos a crear un registro tipo CAA en nuestra zona DNS de Azure para Let’s Encrypt, para ello, accedemos a Zonas DNS > ragasys.eu > Administración de DNS > Registros > Agregar:

  • Ahora en nuestra nuestra zona DNS de Azure y debemos de tener en cuenta estos datos:
  • Nombre exacto de la zona
  • Grupo de recursos donde se encuentra
  • Id. de suscripción

  • Creamos una aplicación, para ello, accedemos a Microsoft Entra ID > Registro de aplicaciones > Nuevo registro:

  • Le indicamos el Nombre y Solo cuentas de este directorio organizativo (Inquilino único), Registrar:

  • Aquí tenemos la aplicación creada:

  • Ahora vamos a crear el secreto de cliente, para ello, en esta nueva aplicación, accedemos a Administrar > Certificados y secretos > Secretos de los clientes > Nuevo secreto de cliente:

  • Le indicamos una descripción y el tiempo de expiración, Agregar:

  • Aquí tenemos el secreto de cliente, lo copiamos y guardamos en un lugar seguro, ya que sólo nos lo mostrará una sola vez:

  • Sobre la Información general de la aplicación, anotamos los siguientes valores, que serán los que utilice Nginx Proxy Manager para el DNS Challenge:

  • Ahora damos permisos a la aplicación sobre la Zona DNS, con esto, nuestra aplicación ya tiene permiso para crear/eliminar registros TXT dentro de la zona ragasys.eu, el rol que debemos asignar es el de Colaborador de zona DNS:

  • Como la zona ragasys.eu también la tenemos en nuestro DNS interno, nos creamos el registro CNAME _acme-challenge apuntando a _acme-challenge.ragasys.eu, para que resuelva externamente hacia Azure:

  • Con esto, ya tenemos preparado la parte de la zona DNS de Azure, ahora accedemos al portal de Nginx Proxy Manager > SSL Certificates > Add SSL Certificate > Let’s Encrypt y vamos a añadir las configuraciones para obtener el certificado wildcard para para nuestro dominio:

  • Añadimos Let’s Encrypt:
  • Domain Names, añadimos ragasys.eu y *.ragasys.neu, nos aseguramos de incluir el dominio raíz y el wildcard, Let’s Encrypt requiere que se valide también la raíz cuando pedimos el wildcard.
  • Email Address for Let’s Encrypt
  • Marcamos Use a DNS Challenge.
  • En DNS Provider seleccionanamos Azure.
  • Rellenaremos los valores para estos campos, Tenant ID, Client ID, Client Secret, Subscription ID, Resource Group, Zone Name.
  • Propagation Seconds, ponemos un valor entre 300 y 600.
  • Marcamos I Agree to Let’s Encrypt Terms of Service y pulsamos Save, Nginx Proxy Manager iniciará el proceso ACME, creará el TXT _acme-challenge en la zona DNS de Azure, esperará la propagación y Let’s Encrypt validará.
  • Este es el contenido del Credentials File Content:
  • dns_azure_sp_client_id =
  • dns_azure_sp_client_secret =
  • dns_azure_tenant_id =
  • dns_azure_zone1 = ragasys.eu:/subscriptions/eliddemisuscripcion/resourceGroups/zonasdnspublicas-rg/providers/Microsoft.Network/dnsZones/ragasys.eu

  • Este es el registro TXT _acme-challenge que se genera, Let’s Encrypt valida que el TXT coincida con el valor que generó para esa verificación, después de emitir el certificado, Nginx Proxy Manager debería borrar automáticamente el TXT de la zona si todo funciona bien:

  • Aquí podemos ver, los certificados SSL de Let’s Encrypt con Azure como DNS Provider, listos para usar en nuestros Hosts:

 

Saludos y espero que os sea de ayuda 😉

 

Jose Ramon Ramos Gata

Técnico Superior STI

More Posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.