A Lets Encrypt SSL telepítése Apache webszervert futtató CentOS 7 rendszeren

Bevezetés

Ebből az oktatóanyagból megismerheti a TLS/SSL-tanúsítvány Apache webszerverre történő telepítésének eljárását. Ha kész, a szerver és a kliens közötti összes forgalom titkosítva lesz. Ez az e-kereskedelmi webhelyek és egyéb online pénzügyi szolgáltatások védelmének általános gyakorlata. A Let's Encrypt úttörő az ingyenes SSL megvalósításában, és ebben az esetben tanúsítványszolgáltatóként fogják használni.

Előfeltételek

Mielőtt elkezdené ezt az útmutatót, a következőkre lesz szüksége:

• SSH root hozzáférés a CentOS 7 VPS-hez
• Apache webszerver megfelelően konfigurált domainnel és vhosttal
• Nem root sudo felhasználó

Függő modulok telepítése

A certbot telepítéséhez telepítenie kell az EPEL adattárat, mivel az alapértelmezés szerint nem érhető el, és mod_sslaz is szükséges, hogy az Apache felismerje a titkosítást:

sudo yum install -y epel-release mod_ssl

Let's Encrypt kliens letöltése

Ezután telepítse a certbot klienst az EPEL tárolóból:

sudo yum install python-certbot-apache

Szerezze be és konfigurálja az SSL-tanúsítványt

A Certbot meglehetősen könnyen kezeli az SSL-tanúsítványkezelést. Paraméterként új tanúsítványt generál a megadott tartományhoz.

Ebben az esetben az example.comlesz a domain, amelyre a tanúsítványt kiállítják:

sudo certbot --apache -d example.com

Ha több tartományhoz vagy aldomainhez szeretne SSL-t létrehozni, használja a következő parancsot:

sudo certbot --apache -d example.com -d www.example.com

Megjegyzés: Az első tartománynak az alaptartománynak kell lennie, ebben a példában: example.com.

A tanúsítvány telepítésekor egy lépésről lépésre szóló útmutatót kap, amely lehetővé teszi a tanúsítvány részleteinek testreszabását. Választhat a kényszerítés HTTPSvagy a kilépés között, HTTPmint alapértelmezett protokoll. Biztonsági okokból e-mail cím megadása is kötelező lesz.

Amikor a telepítés befejeződött, hasonló üzenetet fog kapni:

IMPORTANT NOTES:
- If you lose your account credentials, you can recover through
emails sent to user@example.com.
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2019-04-21. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- Your account credentials have been saved in your Let's Encrypt
configuration directory at / etc / letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also have certificates and private keys obtained by Let's
Encrypt so regular backups of this folder is ideal.
- If you like Let's Encrypt, please consider supporting our work by:

Az automatikus tanúsítvány megújítás konfigurálása

Titkosítsuk a tanúsítványok 90 napig érvényesek. A problémák elkerülése érdekében ajánlatos 60 napon belül megújítani. Ennek eléréséhez a certbot segíteni fog nekünk a megújítási parancsban. Ellenőrzi, hogy a tanúsítvány lejáratától számított 30 napnál rövidebb-e:

sudo certbot renew

Ha a telepített tanúsítvány friss, a certbot csak a lejárati dátumát ellenőrzi:

Processing  /etc/letsencrypt/renewal/example.com.conf
The following certs are not due for renewal yet:
    /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

A megújítási folyamat automatizálásához beállíthat egy cronjobot. Először nyissa meg a crontabot:

sudo crontab -e

Ez a munka biztonságosan ütemezhető minden hétfőn éjfélkor:

0 0 * * 1 / usr / bin / certbot renew >> /var/log/sslrenew.log

A szkript kimenete a /var/log/sslrenew.logfájlba kerül.

Következtetés

Ön most biztosította Apache webszerverét egy ingyenes SSL-tanúsítvány bevezetésével. Mostantól a szerver és a kliens közötti minden forgalom titkosított.