Sådan installeres Lads Encrypt SSL på CentOS 7, der kører Apache Web Server

Introduktion

I denne vejledning lærer du proceduren for installation af TLS/SSL-certifikatet på Apache-webserveren. Når du er færdig, vil al trafik mellem server og klient være krypteret. Dette er en standardpraksis for at beskytte e-handelswebsteder og andre finansielle tjenester online. Let's Encrypt er pioneren inden for implementering af gratis SSL og vil blive brugt som certifikatudbyder i dette tilfælde.

Forudsætninger

Før du starter denne vejledning, skal du bruge følgende:

• SSH root-adgang til en CentOS 7 VPS
• Apache-webserver med domæne og vhost konfigureret korrekt
• En ikke-root sudo-bruger

Installation af afhængige moduler

For at installere certbot skal du installere EPEL-depotet, da det ikke er tilgængeligt som standard, og det mod_ssler også nødvendigt for at kryptering kan genkendes af Apache:

sudo yum install -y epel-release mod_ssl

Downloader Let's Encrypt-klienten

Dernæst skal du installere certbot-klienten fra EPEL-lageret:

sudo yum install python-certbot-apache

Få og konfigurer SSL-certifikatet

Certbot vil håndtere SSL-certifikathåndtering ret nemt. Det vil generere et nyt certifikat for det angivne domæne som en parameter.

I dette tilfælde example.comvil blive brugt som det domæne, som certifikatet vil blive udstedt til:

sudo certbot --apache -d example.com

Hvis du vil generere SSL for flere domæner eller underdomæner, skal du bruge følgende kommando:

sudo certbot --apache -d example.com -d www.example.com

Bemærk: Det første domæne skal være dit basisdomæne, i dette eksempel: example.com.

Når du installerer certifikatet, vil du modtage en trin-for-trin guide, der giver dig mulighed for at tilpasse certifikatdetaljerne. Du vil være i stand til at vælge mellem at tvinge HTTPSeller forlade HTTPsom standardprotokollen. Det er også nødvendigt at angive en e-mailadresse af sikkerhedsmæssige årsager.

Når installationen er færdig, vil du modtage en lignende besked:

IMPORTANT NOTES:
- If you lose your account credentials, you can recover through
emails sent to user@example.com.
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2019-04-21. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- Your account credentials have been saved in your Let's Encrypt
configuration directory at / etc / letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also have certificates and private keys obtained by Let's
Encrypt so regular backups of this folder is ideal.
- If you like Let's Encrypt, please consider supporting our work by:

Konfigurerer automatisk certifikatfornyelse

Lad os kryptere certifikater er gyldige i 90 dage. Det anbefales at forny den inden for 60 dage for at undgå problemer. For at opnå dette vil certbot hjælpe os med din fornyelseskommando. Det vil verificere, at certifikatet er mindre end 30 dage efter udløb:

sudo certbot renew

Hvis det installerede certifikat er nyligt, vil certbot kun bekræfte dets udløbsdato:

Processing  /etc/letsencrypt/renewal/example.com.conf
The following certs are not due for renewal yet:
    /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

For at automatisere denne fornyelsesproces kan du konfigurere en cronjob. Åbn først crontab:

sudo crontab -e

Dette arbejde kan sikkert planlægges til at køre hver mandag ved midnat:

0 0 * * 1 / usr / bin / certbot renew >> /var/log/sslrenew.log

Outputtet af scriptet vil blive overført til /var/log/sslrenew.logfilen.

Konklusion

Du har lige sikret din Apache-webserver ved at implementere et gratis SSL-certifikat. Fra nu af er al trafik mellem server og klient krypteret.