Com instal·lar Lets Encrypt SSL a CentOS 7 amb el servidor web Apache

Introducció

En aquest tutorial, aprendràs el procediment per instal·lar el certificat TLS/SSL al servidor web Apache. Quan hagi acabat, tot el trànsit entre el servidor i el client es xifrarà. Aquesta és una pràctica estàndard de protecció de llocs de comerç electrònic i altres serveis financers en línia. Let's Encrypt és el pioner a implementar SSL gratuït i s'utilitzarà com a proveïdor de certificats en aquest cas.

Requisits previs

Abans de començar aquesta guia, necessitareu el següent:

• Accés arrel SSH a un VPS CentOS 7
• Servidor web Apache amb domini i vhost configurats correctament
• Un usuari sudo no root

Instal·lació de mòduls dependents

Per instal·lar certbot haureu d'instal·lar el repositori EPEL ja que no està disponible per defecte, mod_ssltambé és necessari perquè Apache reconegui el xifratge:

sudo yum install -y epel-release mod_ssl

Descàrrega del client Let's Encrypt

A continuació, instal·leu el client certbot des del repositori EPEL:

sudo yum install python-certbot-apache

Obteniu i configureu el certificat SSL

Certbot gestionarà la gestió de certificats SSL amb força facilitat. Generarà un nou certificat per al domini proporcionat com a paràmetre.

En aquest cas, example.coms'utilitzarà com a domini al qual s'emetrà el certificat:

sudo certbot --apache -d example.com

Si voleu generar SSL per a diversos dominis o subdominis, utilitzeu l'ordre següent:

sudo certbot --apache -d example.com -d www.example.com

Nota: el primer domini hauria de ser el vostre domini base, en aquest exemple: example.com.

Quan instal·leu el certificat, rebreu una guia pas a pas que us permetrà personalitzar els detalls del certificat. Podreu triar entre forçar HTTPSo deixar HTTPcom a protocol predeterminat. També caldrà proporcionar una adreça de correu electrònic, per motius de seguretat.

Quan s'hagi completat la instal·lació, rebreu un missatge similar:

IMPORTANT NOTES:
- If you lose your account credentials, you can recover through
emails sent to user@example.com.
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2019-04-21. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- Your account credentials have been saved in your Let's Encrypt
configuration directory at / etc / letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also have certificates and private keys obtained by Let's
Encrypt so regular backups of this folder is ideal.
- If you like Let's Encrypt, please consider supporting our work by:

Configuració de la renovació automàtica del certificat

Els certificats de Let's Encrypt són vàlids durant 90 dies. Es recomana renovar-lo en un termini de 60 dies, per tal d'evitar problemes. Per aconseguir-ho, certbot ens ajudarà amb la vostra comanda de renovació. Verificarà que el certificat és menys de 30 dies des de la seva caducitat:

sudo certbot renew

Si el certificat instal·lat és recent, certbot només verificarà la seva data de caducitat:

Processing  /etc/letsencrypt/renewal/example.com.conf
The following certs are not due for renewal yet:
    /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

Per automatitzar aquest procés de renovació, podeu configurar un cronjob. Primer, obriu el crontab:

sudo crontab -e

Aquest treball es pot programar de manera segura per executar-se tots els dilluns a la mitjanit:

0 0 * * 1 / usr / bin / certbot renew >> /var/log/sslrenew.log

La sortida de l'script serà canalitzada al /var/log/sslrenew.logfitxer.

Conclusió

Acabeu de protegir el vostre servidor web Apache mitjançant la implementació d'un certificat SSL gratuït. A partir d'ara tot el trànsit entre el servidor i el client està xifrat.