Kuidas installida Lets Encrypt SSL-i CentOS 7-sse, kus töötab Apache veebiserver

Sissejuhatus

Sellest õpetusest saate teada TLS/SSL-sertifikaadi Apache veebiserverisse installimise protseduuri. Kui olete lõpetanud, krüpteeritakse kogu serveri ja kliendi vaheline liiklus. See on tavapärane e-kaubandussaitide ja muude veebipõhiste finantsteenuste kaitsmise tava. Let's Encrypt on tasuta SSL-i juurutamise teerajaja ja seda kasutatakse sel juhul sertifikaadi pakkujana.

Eeltingimused

Enne selle juhendi alustamist vajate järgmist.

• SSH juurjuurdepääs CentOS 7 VPS-ile
• Apache veebiserver, mille domeen ja vhost on õigesti konfigureeritud
• Mitte-root sudo kasutaja

Sõltuvate moodulite paigaldamine

Certboti installimiseks peate installima EPEL-i hoidla, kuna see pole vaikimisi saadaval, mod_sslsamuti on see vajalik selleks, et Apache tuvastaks krüptimise:

sudo yum install -y epel-release mod_ssl

Let's Encrypt kliendi allalaadimine

Järgmisena installite EPEL-i hoidlast certbot-kliendi:

sudo yum install python-certbot-apache

Hankige ja konfigureerige SSL-sertifikaat

Certbot saab SSL-i sertifikaatide haldamisega üsna hõlpsalt hakkama. See genereerib antud domeeni jaoks parameetrina uue sertifikaadi.

Sel juhul example.comkasutatakse domeenina, millele sertifikaat väljastatakse:

sudo certbot --apache -d example.com

Kui soovite luua SSL-i mitme domeeni või alamdomeeni jaoks, kasutage järgmist käsku:

sudo certbot --apache -d example.com -d www.example.com

Märkus . Esimene domeen peaks olema teie baasdomeen, selles näites: example.com.

Sertifikaadi installimisel saate samm-sammult juhendi, mis võimaldab teil sertifikaadi üksikasju kohandada. Vaikeprotokollina saate valida sundimise HTTPSvõi lahkumise vahel HTTP. Turvakaalutlustel on nõutav ka e-posti aadress.

Kui installimine on lõppenud, kuvatakse teile sarnane teade:

IMPORTANT NOTES:
- If you lose your account credentials, you can recover through
emails sent to user@example.com.
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2019-04-21. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- Your account credentials have been saved in your Let's Encrypt
configuration directory at / etc / letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also have certificates and private keys obtained by Let's
Encrypt so regular backups of this folder is ideal.
- If you like Let's Encrypt, please consider supporting our work by:

Sertifikaadi automaatse uuendamise seadistamine

Krüpteerime sertifikaadid kehtivad 90 päeva. Probleemide vältimiseks on soovitatav seda 60 päeva jooksul uuendada. Selle saavutamiseks aitab certbot meid teie uuendamiskäsuga. See kontrollib, et sertifikaadi kehtivusaeg on vähem kui 30 päeva:

sudo certbot renew

Kui installitud sertifikaat on hiljutine, kontrollib certbot ainult selle aegumiskuupäeva:

Processing  /etc/letsencrypt/renewal/example.com.conf
The following certs are not due for renewal yet:
    /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

Selle uuendamisprotsessi automatiseerimiseks saate seadistada cronjobi. Kõigepealt avage crontab:

sudo crontab -e

Selle töö saab ohutult ajastada igal esmaspäeval südaööl:

0 0 * * 1 / usr / bin / certbot renew >> /var/log/sslrenew.log

Skripti väljund suunatakse /var/log/sslrenew.logfaili.

Järeldus

Turvasite just oma Apache veebiserveri, rakendades tasuta SSL-sertifikaadi. Nüüdsest on kogu liiklus serveri ja kliendi vahel krüpteeritud.