Ako nainštalovať umožňuje šifrovať SSL na CentOS 7 so spusteným webovým serverom Apache

Úvod

V tomto návode sa naučíte postup inštalácie TLS/SSL certifikátu na webový server Apache. Po dokončení bude všetka komunikácia medzi serverom a klientom šifrovaná. Ide o štandardný postup ochrany stránok elektronického obchodu a iných finančných služieb online. Let's Encrypt je priekopníkom v implementácii bezplatného SSL a v tomto prípade sa použije ako poskytovateľ certifikátu.

Predpoklady

Skôr ako začnete s touto príručkou, budete potrebovať nasledovné:

• SSH root prístup k CentOS 7 VPS
• Webový server Apache so správne nakonfigurovanou doménou a vhost
• Používateľ sudo bez oprávnenia root

Inštalácia závislých modulov

Ak chcete nainštalovať certbot, budete musieť nainštalovať úložisko EPEL, pretože nie je predvolene dostupné, mod_sslje tiež potrebné na rozpoznanie šifrovania Apache:

sudo yum install -y epel-release mod_ssl

Stiahnutie klienta Let's Encrypt

Ďalej nainštalujete klienta certbot z úložiska EPEL:

sudo yum install python-certbot-apache

Získajte a nakonfigurujte certifikát SSL

Certbot si so správou SSL certifikátov poradí celkom jednoducho. Ako parameter vygeneruje nový certifikát pre poskytnutú doménu.

V tomto prípade example.comsa použije ako doména, na ktorú bude certifikát vydaný:

sudo certbot --apache -d example.com

Ak chcete vygenerovať SSL pre viacero domén alebo subdomén, použite nasledujúci príkaz:

sudo certbot --apache -d example.com -d www.example.com

Poznámka: Prvá doména by mala byť vašou základnou doménou, v tomto príklade: example.com.

Pri inštalácii certifikátu dostanete podrobného sprievodcu, ktorý vám umožní prispôsobiť podrobnosti certifikátu. Budete si môcť vybrať medzi vynútením HTTPSalebo ponechaním HTTPako predvolený protokol. Z bezpečnostných dôvodov sa bude vyžadovať aj e-mailová adresa.

Po dokončení inštalácie dostanete podobnú správu:

IMPORTANT NOTES:
- If you lose your account credentials, you can recover through
emails sent to user@example.com.
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2019-04-21. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- Your account credentials have been saved in your Let's Encrypt
configuration directory at / etc / letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also have certificates and private keys obtained by Let's
Encrypt so regular backups of this folder is ideal.
- If you like Let's Encrypt, please consider supporting our work by:

Konfigurácia automatickej obnovy certifikátu

Certifikáty Let's encrypt sú platné 90 dní. Odporúča sa obnoviť ho do 60 dní, aby sa predišlo prípadným problémom. Aby ste to dosiahli, certbot nám pomôže s vaším príkazom na obnovenie. Overí, že platnosť certifikátu uplynula menej ako 30 dní:

sudo certbot renew

Ak je nainštalovaný certifikát aktuálny, certbot overí iba dátum vypršania platnosti:

Processing  /etc/letsencrypt/renewal/example.com.conf
The following certs are not due for renewal yet:
    /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

Ak chcete automatizovať tento proces obnovy, môžete nastaviť cronjob. Najprv otvorte crontab:

sudo crontab -e

Túto prácu je možné bezpečne naplánovať na každý pondelok o polnoci:

0 0 * * 1 / usr / bin / certbot renew >> /var/log/sslrenew.log

Výstup skriptu bude presmerovaný do /var/log/sslrenew.logsúboru.

Záver

Práve ste zabezpečili svoj webový server Apache implementáciou bezplatného certifikátu SSL. Odteraz je všetka komunikácia medzi serverom a klientom šifrovaná.