Kā instalēt ļauj šifrēt SSL operētājsistēmā CentOS 7, kurā darbojas Apache tīmekļa serveris

Ievads

Šajā apmācībā jūs uzzināsit, kā Apache tīmekļa serverī instalēt TLS/SSL sertifikātu. Kad tas ir pabeigts, visa trafika starp serveri un klientu tiks šifrēta. Šī ir standarta prakse e-komercijas vietņu un citu tiešsaistes finanšu pakalpojumu aizsardzībai. Let's Encrypt ir pionieris bezmaksas SSL ieviešanā, un šajā gadījumā tiks izmantots kā sertifikātu nodrošinātājs.

Priekšnoteikumi

Pirms sākat šo rokasgrāmatu, jums būs nepieciešams:

• SSH saknes piekļuve CentOS 7 VPS
• Apache tīmekļa serveris ar pareizi konfigurētu domēnu un vhost
• Sudo lietotājs, kas nav root lietotājs

Atkarīgo moduļu uzstādīšana

Lai instalētu certbot, jums būs jāinstalē EPEL repozitorijs, jo tas nav pieejams pēc noklusējuma, mod_sslir nepieciešams arī, lai Apache atpazītu šifrēšanu:

sudo yum install -y epel-release mod_ssl

Notiek klienta Let's Encrypt lejupielāde

Pēc tam jūs instalēsit certbot klientu no EPEL repozitorija:

sudo yum install python-certbot-apache

Iegūstiet un konfigurējiet SSL sertifikātu

Certbot diezgan viegli tiks galā ar SSL sertifikātu pārvaldību. Tas kā parametrs ģenerēs jaunu sertifikātu norādītajam domēnam.

Šajā gadījumā example.comtiks izmantots kā domēns, kuram tiks izsniegts sertifikāts:

sudo certbot --apache -d example.com

Ja vēlaties ģenerēt SSL vairākiem domēniem vai apakšdomēniem, izmantojiet šo komandu:

sudo certbot --apache -d example.com -d www.example.com

Piezīme: pirmajam domēnam ir jābūt jūsu pamata domēnam, šajā piemērā: example.com.

Instalējot sertifikātu, jūs saņemsiet detalizētu ceļvedi, kas ļaus jums pielāgot sertifikāta informāciju. Jūs varēsiet izvēlēties starp piespiešanu HTTPSvai atstāšanu HTTPkā noklusējuma protokolu. Drošības apsvērumu dēļ būs jānorāda arī e-pasta adrese.

Kad instalēšana būs pabeigta, jūs saņemsit līdzīgu ziņojumu:

IMPORTANT NOTES:
- If you lose your account credentials, you can recover through
emails sent to user@example.com.
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2019-04-21. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- Your account credentials have been saved in your Let's Encrypt
configuration directory at / etc / letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also have certificates and private keys obtained by Let's
Encrypt so regular backups of this folder is ideal.
- If you like Let's Encrypt, please consider supporting our work by:

Automātiskās sertifikātu atjaunošanas konfigurēšana

Let's šifrēt sertifikāti ir derīgi 90 dienas. Ieteicams to atjaunot 60 dienu laikā, lai izvairītos no problēmām. Lai to panāktu, certbot mums palīdzēs ar jūsu atjaunošanas komandu. Tas pārbaudīs, vai sertifikāta derīguma termiņš ir mazāks par 30 dienām:

sudo certbot renew

Ja instalētais sertifikāts ir nesen, certbot pārbaudīs tikai tā derīguma termiņu:

Processing  /etc/letsencrypt/renewal/example.com.conf
The following certs are not due for renewal yet:
    /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

Lai automatizētu šo atjaunošanas procesu, varat iestatīt cronjob. Vispirms atveriet crontab:

sudo crontab -e

Šo darbu var droši ieplānot katru pirmdienu pusnaktī:

0 0 * * 1 / usr / bin / certbot renew >> /var/log/sslrenew.log

Skripta izvade tiks pārsūtīta uz /var/log/sslrenew.logfailu.

Secinājums

Jūs tikko nodrošinājāt savu Apache tīmekļa serveri, ieviešot bezmaksas SSL sertifikātu. No šī brīža visa trafika starp serveri un klientu tiek šifrēta.