Kaip įdiegti leidžia šifruoti SSL „CentOS 7“, kuriame veikia „Apache“ žiniatinklio serveris

Įvadas

Šioje pamokoje sužinosite, kaip įdiegti TLS/SSL sertifikatą „Apache“ žiniatinklio serveryje. Kai baigsite, visas srautas tarp serverio ir kliento bus užšifruotas. Tai yra įprasta el. prekybos svetainių ir kitų finansinių paslaugų internete apsaugos praktika. Let's Encrypt yra nemokamo SSL diegimo pradininkas ir šiuo atveju bus naudojamas kaip sertifikato teikėjas.

Būtinos sąlygos

Prieš pradėdami šį vadovą, jums reikės šių dalykų:

• SSH šakninė prieiga prie CentOS 7 VPS
• „Apache“ žiniatinklio serveris su tinkamai sukonfigūruotu domenu ir „vhost“.
• Ne root sudo vartotojas

Priklausomų modulių montavimas

Norėdami įdiegti certbot, turėsite įdiegti EPEL saugyklą, nes ji nepasiekiama pagal numatytuosius nustatymus, mod_ssltaip pat reikalinga, kad „Apache“ atpažintų šifravimą:

sudo yum install -y epel-release mod_ssl

Atsisiunčiamas „Let's Encrypt“ klientas

Tada įdiegsite certbot klientą iš EPEL saugyklos:

sudo yum install python-certbot-apache

Gaukite ir sukonfigūruokite SSL sertifikatą

„Certbot“ gana lengvai valdys SSL sertifikatą. Jis sugeneruos naują pateikto domeno sertifikatą kaip parametrą.

Šiuo atveju example.combus naudojamas kaip domenas, kuriam bus išduotas sertifikatas:

sudo certbot --apache -d example.com

Jei norite sukurti SSL keliems domenams arba subdomenams, naudokite šią komandą:

sudo certbot --apache -d example.com -d www.example.com

Pastaba: pirmasis domenas turėtų būti jūsų pagrindinis domenas, šiame pavyzdyje: example.com.

Įdiegę sertifikatą gausite nuoseklų vadovą, kuris leis tinkinti sertifikato duomenis. Galėsite pasirinkti priverstinį HTTPSarba palikimą HTTPkaip numatytąjį protokolą. Saugumo sumetimais taip pat reikės pateikti el. pašto adresą.

Kai diegimas bus baigtas, gausite panašų pranešimą:

IMPORTANT NOTES:
- If you lose your account credentials, you can recover through
emails sent to user@example.com.
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2019-04-21. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- Your account credentials have been saved in your Let's Encrypt
configuration directory at / etc / letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also have certificates and private keys obtained by Let's
Encrypt so regular backups of this folder is ideal.
- If you like Let's Encrypt, please consider supporting our work by:

Automatinio sertifikato atnaujinimo konfigūravimas

Užšifruokime sertifikatai galioja 90 dienų. Norint išvengti problemų, rekomenduojama jį atnaujinti per 60 dienų. Kad tai pasiektų, certbot padės mums atlikti atnaujinimo komandą. Jis patikrins, ar sertifikato galiojimo laikas yra mažesnis nei 30 dienų:

sudo certbot renew

Jei įdiegtas sertifikatas yra neseniai, certbot patikrins tik jo galiojimo pabaigos datą:

Processing  /etc/letsencrypt/renewal/example.com.conf
The following certs are not due for renewal yet:
    /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

Norėdami automatizuoti šį atnaujinimo procesą, galite nustatyti cronjob. Pirmiausia atidarykite crontab:

sudo crontab -e

Šį darbą galima saugiai suplanuoti kiekvieną pirmadienį vidurnaktį:

0 0 * * 1 / usr / bin / certbot renew >> /var/log/sslrenew.log

Scenarijaus išvestis bus nukreipta į /var/log/sslrenew.logfailą.

Išvada

Jūs ką tik apsaugojote savo „Apache“ žiniatinklio serverį įdiegdami nemokamą SSL sertifikatą. Nuo šiol visas srautas tarp serverio ir kliento yra užšifruotas.