Как да инсталирате Lets Encrypt SSL на CentOS 7, работещ на Apache уеб сървър

Въведение

В този урок ще научите процедурата за инсталиране на TLS/SSL сертификат на уеб сървъра на Apache. Когато приключите, целият трафик между сървъра и клиента ще бъде криптиран. Това е стандартна практика за защита на сайтове за електронна търговия и други финансови услуги онлайн. Let's Encrypt е пионерът в внедряването на безплатен SSL и ще бъде използван като доставчик на сертификат в този случай.

Предпоставки

Преди да започнете това ръководство, ще ви трябва следното:

• SSH root достъп до CentOS 7 VPS
• Apache уеб сървър с домейн и vhost, конфигурирани правилно
• Потребител на sudo, който не е root

Инсталиране на зависими модули

За да инсталирате certbot, ще трябва да инсталирате хранилището на EPEL, тъй като то не е достъпно по подразбиране, mod_sslсъщо е необходимо за криптиране, за да бъде разпознато от Apache:

sudo yum install -y epel-release mod_ssl

Изтегляне на клиента Let's Encrypt

След това ще инсталирате клиента certbot от хранилището на EPEL:

sudo yum install python-certbot-apache

Вземете и конфигурирайте SSL сертификата

Certbot ще се справи доста лесно с управлението на SSL сертификати. Той ще генерира нов сертификат за предоставения домейн като параметър.

В този случай example.comще се използва като домейн, на който ще бъде издаден сертификатът:

sudo certbot --apache -d example.com

Ако искате да генерирате SSL за множество домейни или поддомейни, използвайте следната команда:

sudo certbot --apache -d example.com -d www.example.com

Забележка: Първият домейн трябва да бъде вашият основен домейн, в този пример: example.com.

Когато инсталирате сертификата, ще получите ръководство стъпка по стъпка, което ще ви позволи да персонализирате подробностите за сертификата. Ще можете да избирате между принудително HTTPSили напускане HTTPкато протокол по подразбиране. Предоставянето на имейл адрес също ще се изисква от съображения за сигурност.

Когато инсталацията приключи, ще получите подобно съобщение:

IMPORTANT NOTES:
- If you lose your account credentials, you can recover through
emails sent to user@example.com.
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2019-04-21. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- Your account credentials have been saved in your Let's Encrypt
configuration directory at / etc / letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also have certificates and private keys obtained by Let's
Encrypt so regular backups of this folder is ideal.
- If you like Let's Encrypt, please consider supporting our work by:

Конфигуриране на автоматично подновяване на сертификата

Нека криптираме сертификатите са валидни за 90 дни. Препоръчително е да го подновите в рамките на 60 дни, за да избегнете проблеми. За да постигнем това, certbot ще ни помогне с вашата команда за подновяване. Той ще потвърди, че сертификатът е по-малко от 30 дни след изтичане:

sudo certbot renew

Ако инсталираният сертификат е скорошен, certbot ще провери само неговата дата на изтичане:

Processing  /etc/letsencrypt/renewal/example.com.conf
The following certs are not due for renewal yet:
    /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

За да автоматизирате този процес на подновяване, можете да настроите cronjob. Първо отворете crontab:

sudo crontab -e

Тази работа може безопасно да бъде планирана да се изпълнява всеки понеделник в полунощ:

0 0 * * 1 / usr / bin / certbot renew >> /var/log/sslrenew.log

Резултатът от скрипта ще бъде прехвърлен към /var/log/sslrenew.logфайла.

Заключение

Току-що защитихте своя уеб сървър на Apache чрез внедряване на безплатен SSL сертификат. Оттук нататък целият трафик между сървъра и клиента е криптиран.