Como Instalar o Certbot no Ubuntu Server 24.04 e Ativar HTTPS Automático com Let’s Encrypt

Quer ativar HTTPS gratuito com renovação automática no seu servidor web? Neste tutorial passo a passo, você vai aprender a instalar o Certbot no Ubuntu Server 24.04 via snap, emitir um certificado SSL/TLS gratuito do Let’s Encrypt, configurar o Apache automaticamente e — o mais importante — deixar a renovação automática ativa para nunca mais se preocupar com certificado vencido.

O procedimento segue exatamente as instruções oficiais do projeto Certbot, mantido pela EFF (Electronic Frontier Foundation), e funciona para qualquer site rodando em Apache no Ubuntu.

⚠️ Aviso importante: este guia é ideal para laboratório, estudo e testes da ferramenta. Em um ambiente de produção, a gestão de certificados envolve mais do que emitir um SSL: inventário de domínios, monitoramento de expiração, renovação em múltiplos servidores, wildcard via DNS, balanceadores e políticas de segurança. Se o site da sua empresa precisa de HTTPS confiável e sem surpresas, fale com a equipe da Brazuca Informática — nós cuidamos disso por você.

O que é o Certbot e o Let’s Encrypt?

O Let’s Encrypt é uma autoridade certificadora gratuita e automatizada que já emitiu bilhões de certificados SSL/TLS em todo o mundo. O Certbot é a ferramenta oficial recomendada para obter e renovar esses certificados: ele valida o seu domínio, emite o certificado, configura o servidor web e agenda a renovação automática — tudo pela linha de comando.

Por que ter HTTPS no seu site é obrigatório hoje:

  • Segurança: criptografa os dados entre o visitante e o servidor;
  • SEO: o Google prioriza sites HTTPS no ranqueamento;
  • Confiança: navegadores marcam sites HTTP como “Não seguro”;
  • Custo zero: os certificados do Let’s Encrypt são gratuitos e renovados automaticamente a cada 90 dias.

Pré-requisitos

  • Servidor com Ubuntu Server 24.04 LTS e Apache instalado;
  • Um domínio registrado com DNS apontando para o IP público do servidor (registro A/AAAA);
  • Site já acessível via HTTP na porta 80 (pode ser a página padrão do Apache);
  • Portas 80 e 443 liberadas no firewall;
  • Acesso SSH com usuário sudo.

💡 Ainda não tem o Apache configurado? Instale com sudo apt install apache2 -y e confirme que o site abre em http://seudominio.com.br antes de continuar.

Passo 1 — Conectar ao servidor e atualizar o snapd

Conecte-se ao servidor via SSH. O Ubuntu Server 24.04 já vem com o snapd instalado por padrão — basta garantir que ele está atualizado:

sudo snap install core
sudo snap refresh core

Se o snapd não estiver presente (instalações mínimas), instale com sudo apt install snapd -y.

Passo 2 — Remover versões antigas do Certbot

Se o Certbot já foi instalado alguma vez pelo APT, remova-o antes. Isso garante que, ao rodar o comando certbot, será usada a versão do snap — sempre atualizada — e não a do gerenciador de pacotes do sistema:

sudo apt-get remove certbot -y

Passo 3 — Instalar o Certbot via snap

Instale o Certbot com suporte a snap clássico:

sudo snap install --classic certbot

Em seguida, crie o link simbólico para que o comando certbot funcione de qualquer lugar do sistema:

sudo ln -s /snap/bin/certbot /usr/local/bin/certbot

Passo 4 — Emitir o certificado e configurar o Apache automaticamente

Este é o comando principal: ele obtém o certificado e já edita a configuração do Apache para servir o site em HTTPS, em um único passo:

sudo certbot --apache

Durante a execução, o Certbot vai perguntar:

  1. E-mail: informe um e-mail válido para avisos de expiração e segurança;
  2. Termos de serviço: digite Y para aceitar;
  3. Newsletter da EFF: opcional (Y ou N);
  4. Domínios: o Certbot lista os domínios encontrados nos VirtualHosts do Apache — selecione os que devem receber o certificado;
  5. Redirecionamento: nas versões recentes, o redirecionamento de HTTP para HTTPS é configurado automaticamente.

Prefere ajustar a configuração do Apache manualmente? Use o modo conservador, que apenas emite o certificado sem alterar nada:

sudo certbot certonly --apache

Passo 5 — Ativar e testar a renovação automática

Aqui está a melhor parte: a automação já vem ativada. O pacote snap do Certbot instala um timer do systemd que verifica os certificados duas vezes por dia e renova automaticamente os que estiverem a menos de 30 dias do vencimento. Você não precisa criar cron job nenhum.

Confirme que o timer está ativo:

systemctl list-timers | grep certbot

Você verá o timer snap.certbot.renew.timer com a data da próxima execução. Agora teste a renovação com uma simulação (dry run) — nenhum certificado real é emitido:

sudo certbot renew --dry-run

Se aparecer a mensagem Congratulations, all simulated renewals succeeded, a renovação automática está funcionando perfeitamente. Seu certificado será renovado para sempre, sem intervenção manual.

Passo 6 — Confirmar que o HTTPS está ativo

Abra o navegador e acesse https://seudominio.com.br. Procure o cadeado na barra de endereço — clique nele para ver os detalhes do certificado emitido pelo Let’s Encrypt (validade de 90 dias, renovado automaticamente). Para uma análise completa da qualidade do seu HTTPS, teste o domínio no SSL Labs (ssllabs.com/ssltest).

Erros comuns com o Certbot (e como resolver)

Falha na validação do domínio (challenge failed)

O Let’s Encrypt precisa acessar o seu servidor pela internet na porta 80. Verifique se o DNS do domínio aponta para o IP público correto (nslookup seudominio.com.br) e se a porta 80 está liberada no firewall e no roteador/provedor.

Unable to find a virtual host / certificado emitido para o domínio errado

Confira se existe um VirtualHost no Apache com a diretiva ServerName seudominio.com.br configurada. Sem isso, o Certbot não sabe qual site configurar.

Too many requests (limite de emissões)

O Let’s Encrypt limita a quantidade de certificados emitidos por domínio por semana. Ao fazer testes repetidos, use sempre --dry-run para não esgotar o limite. Se atingir o limite, aguarde a janela liberar (geralmente até 7 dias).

Preciso de certificado wildcard (*.dominio.com.br)

Certificados wildcard exigem validação via DNS (registro TXT), e não pela porta 80. O processo depende do seu provedor de DNS e pode ser automatizado com plugins específicos do Certbot — cenário comum em ambientes corporativos com múltiplos subdomínios.

HTTPS em produção: por que contar com especialistas?

Emitir um certificado em laboratório leva minutos — e esperamos que este guia tenha provado isso. Mas em produção, a história muda:

  • Monitoramento de expiração: certificado vencido derruba a confiança (e as vendas) na hora — integre alertas ao seu servidor de monitoramento Zabbix;
  • Múltiplos servidores e balanceadores: distribuir e renovar certificados em vários pontos exige orquestração;
  • Wildcard e DNS: automação da validação DNS com credenciais protegidas;
  • Hardening TLS: desativar protocolos antigos, configurar HSTS e cifras seguras;
  • Conformidade: requisitos de LGPD e políticas de segurança da informação.

A Brazuca Informática cuida da infraestrutura de TI da sua empresa de ponta a ponta: servidores Linux e Windows, HTTPS, firewall, backup, monitoramento com Zabbix e Grafana, e suporte contínuo — atendendo Mato Grosso, Goiás e todo o Brasil.

👉 Solicite um diagnóstico gratuito do seu ambiente de TI e descubra como profissionalizar a segurança dos seus sites e sistemas.

Conclusão

Neste guia você aprendeu a instalar o Certbot no Ubuntu Server 24.04 via snap, emitir um certificado SSL/TLS gratuito do Let’s Encrypt com configuração automática do Apache e validar que a renovação automática está ativa com o timer do systemd e o teste --dry-run. Seu site de laboratório agora roda em HTTPS com cadeado verde e certificado renovado para sempre.

E quando o assunto for HTTPS e segurança no ambiente real da sua empresa, conte com a Brazuca Informática — do laboratório à produção, sem sustos.

📢 Gostou? Compartilhe este conteúdo:

Comentários

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *