Hvordan installere lar du kryptere SSL på CentOS 7 som kjører Apache Web Server

Introduksjon

I denne opplæringen lærer du prosedyren for å installere TLS/SSL-sertifikatet på Apache-nettserveren. Når du er ferdig, vil all trafikk mellom server og klient være kryptert. Dette er en standard praksis for å beskytte e-handelssider og andre finansielle tjenester på nettet. Let's Encrypt er pioneren innen implementering av gratis SSL og vil bli brukt som sertifikatleverandør i dette tilfellet.

Forutsetninger

Før du starter denne veiledningen, trenger du følgende:

• SSH-rottilgang til en CentOS 7 VPS
• Apache-nettserver med domene og vhost riktig konfigurert
• En ikke-root sudo-bruker

Installere avhengige moduler

For å installere certbot må du installere EPEL-depotet da det ikke er tilgjengelig som standard, mod_sslog kreves også for at kryptering skal gjenkjennes av Apache:

sudo yum install -y epel-release mod_ssl

Laster ned Let's Encrypt-klienten

Deretter vil du installere certbot-klienten fra EPEL-depotet:

sudo yum install python-certbot-apache

Skaff og konfigurer SSL-sertifikatet

Certbot vil håndtere SSL-sertifikatadministrasjon ganske enkelt. Den vil generere et nytt sertifikat for det angitte domenet som en parameter.

I dette tilfellet example.combrukes som domenet som sertifikatet vil bli utstedt til:

sudo certbot --apache -d example.com

Hvis du vil generere SSL for flere domener eller underdomener, bruk følgende kommando:

sudo certbot --apache -d example.com -d www.example.com

Merk: Det første domenet skal være basisdomenet ditt, i dette eksemplet: example.com.

Når du installerer sertifikatet, vil du motta en trinn-for-trinn-veiledning som lar deg tilpasse sertifikatdetaljene. Du vil kunne velge mellom å tvinge HTTPSeller forlate HTTPsom standardprotokoll. Av sikkerhetsgrunner er det også nødvendig å oppgi en e-postadresse.

Når installasjonen er fullført, vil du motta en lignende melding:

IMPORTANT NOTES:
- If you lose your account credentials, you can recover through
emails sent to user@example.com.
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2019-04-21. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- Your account credentials have been saved in your Let's Encrypt
configuration directory at / etc / letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also have certificates and private keys obtained by Let's
Encrypt so regular backups of this folder is ideal.
- If you like Let's Encrypt, please consider supporting our work by:

Konfigurerer automatisk sertifikatfornyelse

La oss kryptere sertifikater er gyldige i 90 dager. Det anbefales å fornye det innen 60 dager for å unngå problemer. For å oppnå dette vil certbot hjelpe oss med din fornyelseskommando. Den vil bekrefte at sertifikatet er mindre enn 30 dager etter utløp:

sudo certbot renew

Hvis det installerte sertifikatet er nylig, vil certbot bare bekrefte utløpsdatoen:

Processing  /etc/letsencrypt/renewal/example.com.conf
The following certs are not due for renewal yet:
    /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

For å automatisere denne fornyelsesprosessen kan du sette opp en cronjob. Først åpner du crontab:

sudo crontab -e

Dette arbeidet kan trygt planlegges til å kjøre hver mandag ved midnatt:

0 0 * * 1 / usr / bin / certbot renew >> /var/log/sslrenew.log

Utdataene fra skriptet vil bli overført til /var/log/sslrenew.logfilen.

Konklusjon

Du har nettopp sikret din Apache-webserver ved å implementere et gratis SSL-sertifikat. Fra nå av er all trafikk mellom server og klient kryptert.