Kako namestiti Lets Encrypt SSL na spletni strežnik CentOS 7, ki izvaja Apache

Uvod

V tej vadnici se boste naučili postopka za namestitev potrdila TLS/SSL na spletni strežnik Apache. Ko bo končano, bo ves promet med strežnikom in odjemalcem šifriran. To je standardna praksa zaščite spletnih mest za e-trgovino in drugih finančnih storitev na spletu. Let's Encrypt je pionir pri implementaciji brezplačnega SSL-ja in bo v tem primeru uporabljen kot ponudnik potrdil.

Predpogoji

Preden začnete s tem vodnikom, boste potrebovali naslednje:

• SSH korenski dostop do CentOS 7 VPS
• Spletni strežnik Apache z pravilno konfigurirano domeno in vhostom
• Nekorenski uporabnik sudo

Namestitev odvisnih modulov

Če želite namestiti certbot, boste morali namestiti skladišče EPEL, saj ni na voljo privzeto, potrebno mod_sslje tudi, da Apache prepozna šifriranje:

sudo yum install -y epel-release mod_ssl

Prenos odjemalca Let's Encrypt

Nato boste namestili odjemalca certbot iz skladišča EPEL:

sudo yum install python-certbot-apache

Pridobite in konfigurirajte potrdilo SSL

Certbot bo z upravljanjem potrdil SSL precej enostavno upravljal. Kot parameter bo ustvaril novo potrdilo za podano domeno.

V tem primeru example.combo uporabljeno kot domena, za katero bo potrdilo izdano:

sudo certbot --apache -d example.com

Če želite ustvariti SSL za več domen ali poddomen, uporabite naslednji ukaz:

sudo certbot --apache -d example.com -d www.example.com

Opomba: Prva domena mora biti vaša osnovna domena, v tem primeru: example.com.

Ko namestite potrdilo, boste prejeli vodnik po korakih, ki vam bo omogočil prilagajanje podrobnosti potrdila. Kot privzeti protokol boste lahko izbirali med prisilnim HTTPSali zapuščanjem HTTP. Iz varnostnih razlogov bo treba navesti tudi e-poštni naslov.

Ko je namestitev končana, boste prejeli podobno sporočilo:

IMPORTANT NOTES:
- If you lose your account credentials, you can recover through
emails sent to user@example.com.
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2019-04-21. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- Your account credentials have been saved in your Let's Encrypt
configuration directory at / etc / letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also have certificates and private keys obtained by Let's
Encrypt so regular backups of this folder is ideal.
- If you like Let's Encrypt, please consider supporting our work by:

Konfiguriranje samodejnega obnavljanja certifikata

Potrdila Let's encrypt veljajo 90 dni. Da bi se izognili težavam, ga je priporočljivo obnoviti v 60 dneh. Da bi to dosegli, nam bo certbot pomagal z vašim ukazom za obnovitev. Preverilo bo, da je potrdilo manj kot 30 dni od poteka veljavnosti:

sudo certbot renew

Če je nameščeno potrdilo nedavno, bo certbot preveril samo njegov datum poteka:

Processing  /etc/letsencrypt/renewal/example.com.conf
The following certs are not due for renewal yet:
    /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

Če želite avtomatizirati ta postopek obnove, lahko nastavite cronjob. Najprej odprite crontab:

sudo crontab -e

To delo je lahko varno načrtovano za vsak ponedeljek ob polnoči:

0 0 * * 1 / usr / bin / certbot renew >> /var/log/sslrenew.log

Izhod skripta bo speljan v /var/log/sslrenew.logdatoteko.

Zaključek

Pravkar ste zavarovali svoj spletni strežnik Apache z implementacijo brezplačnega potrdila SSL. Od zdaj naprej je ves promet med strežnikom in odjemalcem šifriran.