Kako instalirati Lets Encrypt SSL na CentOS 7 koji pokreće Apache web poslužitelj

Uvod

U ovom vodiču naučit ćete proceduru za instaliranje TLS/SSL certifikata na Apache web poslužitelj. Kada završi, sav promet između poslužitelja i klijenta bit će šifriran. Ovo je standardna praksa zaštite web-mjesta e-trgovine i drugih financijskih usluga na mreži. Let's Encrypt je pionir u implementaciji besplatnog SSL-a i koristit će se kao davatelj certifikata u ovom slučaju.

Preduvjeti

Prije nego što započnete ovaj vodič, trebat će vam sljedeće:

• SSH root pristup CentOS 7 VPS-u
• Apache web poslužitelj s ispravno konfiguriranim domenom i vhostom
• Ne-root sudo korisnik

Instaliranje ovisnih modula

Da biste instalirali certbot, morat ćete instalirati EPEL spremište jer nije dostupno prema zadanim postavkama, mod_ssltakođer je potrebno da bi Apache prepoznao enkripciju:

sudo yum install -y epel-release mod_ssl

Preuzimanje klijenta Let's Encrypt

Zatim ćete instalirati certbot klijenta iz EPEL spremišta:

sudo yum install python-certbot-apache

Nabavite i konfigurirajte SSL certifikat

Certbot će se vrlo lako nositi s upravljanjem SSL certifikatima. Kao parametar će generirati novi certifikat za navedenu domenu.

U ovom slučaju example.comće se koristiti kao domena na koju će se izdati certifikat:

sudo certbot --apache -d example.com

Ako želite generirati SSL za više domena ili poddomena, upotrijebite sljedeću naredbu:

sudo certbot --apache -d example.com -d www.example.com

Napomena: Prva domena bi trebala biti vaša osnovna domena, u ovom primjeru: example.com.

Kada instalirate certifikat, dobit ćete vodič korak po korak koji će vam omogućiti da prilagodite pojedinosti certifikata. Moći ćete birati između prisilnog HTTPSili napuštanja HTTPkao zadanog protokola. Također će biti potrebno navesti adresu e-pošte iz sigurnosnih razloga.

Kada je instalacija dovršena, dobit ćete sličnu poruku:

IMPORTANT NOTES:
- If you lose your account credentials, you can recover through
emails sent to user@example.com.
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2019-04-21. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- Your account credentials have been saved in your Let's Encrypt
configuration directory at / etc / letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also have certificates and private keys obtained by Let's
Encrypt so regular backups of this folder is ideal.
- If you like Let's Encrypt, please consider supporting our work by:

Konfiguriranje automatske obnove certifikata

Encrypt certifikati vrijede 90 dana. Preporuča se obnoviti u roku od 60 dana, kako ne bi došlo do problema. Da bismo to postigli, certbot će nam pomoći s vašom naredbom za obnovu. On će potvrditi da je certifikat kraći od 30 dana od isteka:

sudo certbot renew

Ako je instalirani certifikat noviji, certbot će samo provjeriti njegov datum isteka:

Processing  /etc/letsencrypt/renewal/example.com.conf
The following certs are not due for renewal yet:
    /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

Da biste automatizirali ovaj proces obnove, možete postaviti cronjob. Prvo otvorite crontab:

sudo crontab -e

Ovaj posao se može sigurno zakazati za svaki ponedjeljak u ponoć:

0 0 * * 1 / usr / bin / certbot renew >> /var/log/sslrenew.log

Izlaz skripte bit će proslijeđen u /var/log/sslrenew.logdatoteku.

Zaključak

Upravo ste osigurali svoj Apache web poslužitelj implementacijom besplatnog SSL certifikata. Od sada je sav promet između poslužitelja i klijenta šifriran.