Si të instaloni Lets Encrypt SSL në CentOS 7 Running Web Server Apache

Prezantimi

Në këtë tutorial, do të mësoni procedurën për instalimin e certifikatës TLS/SSL në serverin e internetit Apache. Kur të përfundojë, i gjithë trafiku midis serverit dhe klientit do të kodohet. Kjo është një praktikë standarde e mbrojtjes së faqeve të tregtisë elektronike dhe shërbimeve të tjera financiare në internet. Let's Encrypt është pionieri në zbatimin e SSL falas dhe do të përdoret si ofrues i certifikatës në këtë rast.

Parakushtet

Para se të filloni këtë udhëzues, do t'ju nevojiten sa vijon:

• Qasje rrënjësore SSH në një CentOS 7 VPS
• Serveri në internet Apache me domen dhe vhost të konfiguruar saktë
• Një përdorues sudo pa rrënjë

Instalimi i moduleve të varura

Për të instaluar certbot, do t'ju duhet të instaloni depo EPEL pasi nuk është i disponueshëm si parazgjedhje, mod_sslgjithashtu kërkohet që enkriptimi të njihet nga Apache:

sudo yum install -y epel-release mod_ssl

Shkarkimi i klientit Let's Encrypt

Më pas, do të instaloni klientin certbot nga depoja EPEL:

sudo yum install python-certbot-apache

Merrni dhe konfiguroni certifikatën SSL

Certbot do të trajtojë lehtësisht menaxhimin e certifikatës SSL. Do të gjenerojë një certifikatë të re për domenin e dhënë si parametër.

Në këtë rast, example.comdo të përdoret si domen në të cilin do të lëshohet certifikata:

sudo certbot --apache -d example.com

Nëse dëshironi të gjeneroni SSL për domene të shumta ose nën-domanë, përdorni komandën e mëposhtme:

sudo certbot --apache -d example.com -d www.example.com

Shënim: Domeni i parë duhet të jetë domeni juaj bazë, në këtë shembull: example.com.

Kur të instaloni certifikatën, do të merrni një udhëzues hap pas hapi që do t'ju lejojë të personalizoni detajet e certifikatës. Ju do të jeni në gjendje të zgjidhni midis detyrimit HTTPSose largimit HTTPsi protokoll i paracaktuar. Sigurimi i një adrese emaili do të kërkohet gjithashtu, për arsye sigurie.

Kur instalimi të përfundojë, do të merrni një mesazh të ngjashëm:

IMPORTANT NOTES:
- If you lose your account credentials, you can recover through
emails sent to user@example.com.
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2019-04-21. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- Your account credentials have been saved in your Let's Encrypt
configuration directory at / etc / letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also have certificates and private keys obtained by Let's
Encrypt so regular backups of this folder is ideal.
- If you like Let's Encrypt, please consider supporting our work by:

Konfigurimi i rinovimit automatik të certifikatës

Le të enkriptojmë certifikatat janë të vlefshme për 90 ditë. Rekomandohet rinovimi i tij brenda 60 ditëve, për të shmangur ndonjë problem. Për ta arritur këtë, certbot do të na ndihmojë me komandën tuaj të rinovimit. Ai do të verifikojë që certifikata është më pak se 30 ditë nga skadimi:

sudo certbot renew

Nëse certifikata e instaluar është e fundit, certbot do të verifikojë vetëm datën e skadimit të saj:

Processing  /etc/letsencrypt/renewal/example.com.conf
The following certs are not due for renewal yet:
    /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

Për të automatizuar këtë proces rinovimi, mund të konfiguroni një cronjob. Së pari, hapni krontabin:

sudo crontab -e

Kjo punë mund të planifikohet me siguri të kryhet çdo të hënë në mesnatë:

0 0 * * 1 / usr / bin / certbot renew >> /var/log/sslrenew.log

Prodhimi i skriptit do të dërgohet në /var/log/sslrenew.logskedar.

konkluzioni

Sapo keni siguruar serverin tuaj të internetit Apache duke zbatuar një certifikatë falas SSL. Tani e tutje i gjithë trafiku ndërmjet serverit dhe klientit është i koduar.