Настройката позволява криптиране с Apache на Ubuntu 14.04

Let's Encrypt е нов сертифициращ орган, който ви позволява да издавате SSL сертификати безплатно . Вече можете да използвате SSL без допълнителни разходи. Когато използвате SSL сертификат, целият трафик между клиента и сървъра е криптиран - което драстично подобрява сигурността на вашия уебсайт.

Това ръководство обхваща инсталирането на сертификат Let's Encrypt и автоматичното подновяване в Ubuntu.

До края на този урок ще имате настройка на Apache сървър на Ubuntu 14.04 с Let's Encrypt.

Стъпка 1: Предпоставки

Ще ви трябва Vultr SSD облачен сървър с инсталиран Ubuntu 14.04. Ще ви трябва и стек LAMP (Apache, PHP и др.). Ако все още нямате инсталиран LAMP стек на вашия сървър Vultr, моля, вижте следната статия от базата знания: Как да инсталирате Apache, MySQL и PHP на Ubuntu .

След като имате работещ LAMP стек на вашия Ubuntu сървър, можете да продължите с инсталирането на Let's Encrypt.

За да генерирате и инсталирате вашия SSL сертификат, ще трябва Gitда клонирате хранилището Let's Encrypt:

$[ubuntu] apt-get install git
$[ubuntu] git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

Това ще изтегли инсталационната програма Let's Encrypt в /opt/letsencrypt.

Стъпка 2: Генериране на Let's Encrypt SSL сертификат

Let's Encrypt проверява вашия домейн, като настройва временен процес на уеб сървър на вашия Ubuntu сървър. Този процес ще се изпълнява независимо от вашия Apache сървър. След генериране на SSL сертификата, процесът на временния уеб сървър ще бъде автоматично прекратен от инсталатора Let's Encrypt. След това инсталаторът ще инсталира вашия новосъздадения сертификат на уеб сървъра на Apache.

$[ubuntu] ./letsencrypt-auto --apache -d yourubuntuserver.example

Ако искате Let's Encrypt да генерира SSL сертификат за още повече домейни, просто добавете тези домейни към командата.

$[ubuntu] ./letsencrypt-auto --apache -d yourubuntuserver.example -d mysslcertificate.example

Тази функция е много удобна за защита на вашия wwwподдомейн. Точно сега потребителите, които посещават уебсайта ви с wwwпрефикса, ще получат SSL грешка. Този вид грешка ще навреди на вашата репутация. За да го разрешите, използвайте команда като тази:

$[ubuntu] ./letsencrypt-auto --apache -d yourubuntuserver.example -d www.yourubuntuserver.example

Клиентът Let's Encrypt вече ще създаде Let's Encrypt SSL сертификат не само за, yourubuntuserver.exampleно и за www.yourubuntuserver.example!

Стъпка 3: Форсиране на SSL

Вече можете да принудите вашия Apache сървър да насочва всички HTTP заявки към HTTPS. Най-добрият начин да направите това, като създадете .htaccessфайл във вашата папка "www root" и добавите следния код за пренаписване:

RewriteEngine On 
RewriteCond % 80 
RewriteRule ^(.*)$ https://letsencrypt.example/$1 [R,L]

Целият входящ трафик на HTTP порт 80 вече автоматично ще бъде пренасочен към порт 443, който използва вашия LE SSL сертификат.

Стъпка 4: Автоматично подновяване на сертификати Let's Encrypt

Тъй като Let's Encrypt е безплатен сертифициращ орган, SSL не могат да се предоставят за една година или повече. Всички сертификати за Let's Encrypt са валидни за 90 дни. Въпреки това, ако искате да ги подновите автоматично, това може да бъде автоматизирано с помощта на cron задание. Можете да изберете да подновите сертификати, когато те са на път да изтекат.

Отворете своя crontab:

$[ubuntu] crontab -e

Добавете следния ред към crontab:

15 5 * * 5 /opt/letsencrypt/letsencrypt-auto renew >> /var/log/le-renew.log

Тази задача на cron изпълнява /opt/letsencrypt/letsencrypt-auto renewкомандата всеки петък в 5:15 ч. Избрахме да подновим сертификатите по това време, защото това обикновено е период с малък или никакъв трафик на повечето сайтове. Следователно посетителите няма да забележат никакви забавяния, тъй като сървърът е под голямо натоварване по време на подновяването и проверката на всички сертификати Let's Encrypt.

Вашият Ubuntu сървър вече работи с напълно функционален LAMP стек и вашият уебсайт използва формуляр за SSL сертификат Let's Encrypt с автоматична настройка за подновяване.

Възможно е да използвате повече от един Let's Encrypt SSL сертификат на вашия сървър; просто следвайте стъпка №2 отново за всеки домейн.

Това завършва нашия урок, благодаря ви, че прочетохте.