Installare e automatizzare certificati SSL su LiteSpeed con SeFlowSSL CaaS (Sectigo ACME)

Installare e automatizzare certificati SSL su LiteSpeed con SeFlowSSL CaaS (Sectigo ACME)

Questa guida spiega come installare e automatizzare certificati SSL/TLS su LiteSpeed, OpenLiteSpeed o LiteSpeed Enterprise, utilizzando acme.sh e SeFlowSSL CaaS (Sectigo ACME).

La procedura copre registrazione ACME, emissione certificato, installazione su LiteSpeed, configurazione HTTPS e verifica del rinnovo automatico.

Prerequisiti

• LiteSpeed Web Server installato.
• Accesso shell con privilegi sudo o root.
• Record DNS A o AAAA puntato verso il server.
• URL del server ACME fornito da SeFlowSSL CaaS.
• Sottoscrizione SeFlowSSL CaaS con credenziali EAB.
• Porta HTTP 80 aperta per la validazione ACME.
• Listener HTTP su porta 80 configurato in LiteSpeed WebAdmin.

Passaggio 1. Installare acme.sh

Installare acme.sh, il client che gestirà emissione, installazione e rinnovo del certificato SSL.

curl https://get.acme.sh | sh

Caricare l'ambiente e verificare l'installazione:

source ~/.bashrc
acme.sh --version

Passaggio 2. Registrare l'account ACME

Registrare il client ACME utilizzando le credenziali EAB fornite da SeFlowSSL CaaS.

acme.sh --register-account \
--server SERVER \
--eab-kid EAB_KID \
--eab-hmac-key EAB_HMAC_KEY \
--accountemail you@example.com

Sostituire i placeholder:

• SERVER: URL del server ACME fornito da SeFlowSSL CaaS.
• EAB_KID: External Account Binding Key ID.
• EAB_HMAC_KEY: chiave HMAC EAB.
• you@example.com: email usata per registrazione e notifiche.

Se l'account è già registrato per le stesse credenziali EAB, acme.sh riutilizzerà l'account esistente.

Passaggio 3. Emettere il certificato in modalità Webroot

Eseguire il comando seguente per emettere il certificato tramite metodo webroot.

acme.sh --issue \
-d yourdomain.com \
-w /path/to/webroot \
--server SERVER

Per includere anche il dominio www, aggiungere un secondo parametro -d.

acme.sh --issue \
-d yourdomain.com \
-d www.yourdomain.com \
-w /path/to/webroot \
--server SERVER

Sostituire i placeholder:

• yourdomain.com: dominio reale.
• /path/to/webroot: percorso document root del sito.
• SERVER: URL del server ACME SeFlowSSL CaaS.

Passaggio 4. Installare il certificato SSL in LiteSpeed

Creare una directory dedicata per certificato e chiave privata.

mkdir -p /usr/local/lsws/conf/cert/yourdomain.com

Installare il certificato e configurare il reload automatico di LiteSpeed dopo ogni rinnovo.

acme.sh --install-cert -d yourdomain.com \
--key-file /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key \
--fullchain-file /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt \
--reloadcmd "/usr/local/lsws/bin/lswsctrl reload"

Sostituire yourdomain.com con il dominio reale.

Passaggio 5. Configurare il listener HTTPS su porta 443

Accedere a LiteSpeed WebAdmin e creare un listener HTTPS.

1. Accedere a WebAdmin.
2. Aprire Listeners.
3. Selezionare Add.
4. Impostare Listener Name su HTTPS.
5. Impostare IP Address su ANY.
6. Impostare Port su 443.
7. Impostare Secure su Yes.

Passaggio 6. Configurare il tab SSL

Nel tab SSL del listener HTTPS impostare:

• Private Key File: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.key
• Certificate File: /usr/local/lsws/conf/cert/yourdomain.com/yourdomain.com.crt

Passaggio 7. Associare il virtual host al dominio

Nel listener HTTPS associare il virtual host al dominio configurato.

1. Aprire il listener HTTPS.
2. Configurare il mapping del virtual host.
3. Impostare il dominio o usare * se previsto dalla configurazione.
4. Salvare le modifiche.
5. Riavviare LiteSpeed.

Passaggio 8. Verificare installazione e rinnovo automatico

Visitare il sito in HTTPS e verificare:

• Il sito carica correttamente in HTTPS.
• Il certificato è valido.
• Il certificato corrisponde al dominio.

Controllare la configurazione cron:

crontab -l

Una configurazione tipica appare così:

24 13 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

Testare manualmente il rinnovo:

acme.sh --renew -d yourdomain.com --force

Appendice. Verifica listener HTTP e percorso ACME

Per la validazione HTTP-01 è necessario che LiteSpeed risponda sulla porta 80.

1. Accedere a LiteSpeed WebAdmin.
2. Aprire Listeners.
3. Aprire il listener Default.
4. Verificare che la porta sia 80.
5. Verificare che IP sia impostato su ANY.
6. Salvare e riavviare LiteSpeed.

Verificare il percorso ACME creando un file di test:

cat /etc/lsb-release

cd /usr/local/lsws/Example/html
mkdir -p /usr/local/lsws/Example/html/.well-known/acme-challenge
echo "Welcome test" > /usr/local/lsws/Example/html/.well-known/acme-challenge/testfile

Verificare con curl:

curl http://yourdomain.com/.well-known/acme-challenge/testfile

Se si forza il redirect HTTP verso HTTPS, aggiungere un'eccezione per mantenere raggiungibili i file ACME via HTTP.

RewriteEngine On
# If HTTPS is not already on, redirect to HTTPS
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Risoluzione rapida dei problemi

• 404 on challenge file: controllare percorso webroot, permessi, .htaccess e porta 80.
• Unauthorized / Not Delegated: verificare URL ACME Sectigo e credenziali EAB.
• Webroot does not contain DNS: messaggio informativo di acme.sh, può essere ignorato se si usa webroot.
• Port 80 blocked: verificare con sudo lsof -i :80 e liberare la porta.
• Standalone mode conflicts: evitare --standalone con LiteSpeed attivo, usare --webroot.

Riepilogo

La configurazione è completata.

• Account ACME registrato con credenziali EAB.
• Certificato SSL emesso e installato.
• LiteSpeed configurato per ricaricarsi dopo il rinnovo.
• Rinnovo automatico verificato.

I certificati SSL verranno ora rinnovati automaticamente senza intervento manuale.