Како инсталирати Летс Енцрипт ССЛ на ЦентОС 7 који ради на Апацхе веб серверу

Увод

У овом водичу ћете научити процедуру за инсталирање ТЛС/ССЛ сертификата на Апацхе веб сервер. Када се заврши, сав саобраћај између сервера и клијента ће бити шифрован. Ово је стандардна пракса заштите сајтова за е-трговину и других финансијских услуга на мрежи. Лет'с Енцрипт је пионир у имплементацији бесплатног ССЛ-а и користиће се као добављач сертификата у овом случају.

Предуслови

Пре него што започнете овај водич, требаће вам следеће:

• ССХ роот приступ за ЦентОС 7 ВПС
• Апацхе веб сервер са исправно конфигурисаним доменом и вхостом
• Не-роот судо корисник

Инсталирање зависних модула

Да бисте инсталирали цертбот, мораћете да инсталирате ЕПЕЛ спремиште пошто није доступно подразумевано, mod_sslтакође је потребно да би Апацхе препознао шифровање:

sudo yum install -y epel-release mod_ssl

Преузимање клијента Лет'с Енцрипт

Затим ћете инсталирати цертбот клијента из ЕПЕЛ спремишта:

sudo yum install python-certbot-apache

Набавите и конфигуришите ССЛ сертификат

Цертбот ће прилично лако управљати управљањем ССЛ сертификатима. Генерисаће нови сертификат за наведени домен као параметар.

У овом случају example.comће се користити као домен на који ће бити издат сертификат:

sudo certbot --apache -d example.com

Ако желите да генеришете ССЛ за више домена или поддомена, користите следећу команду:

sudo certbot --apache -d example.com -d www.example.com

Напомена: Први домен треба да буде ваш основни домен, у овом примеру: example.com.

Када инсталирате сертификат, добићете водич корак по корак који ће вам омогућити да прилагодите детаље сертификата. Моћи ћете да бирате између присилног HTTPSили напуштања HTTPкао подразумеваног протокола. Такође ће бити потребно да наведете адресу е-поште из безбедносних разлога.

Када се инсталација заврши, добићете сличну поруку:

IMPORTANT NOTES:
- If you lose your account credentials, you can recover through
emails sent to user@example.com.
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2019-04-21. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- Your account credentials have been saved in your Let's Encrypt
configuration directory at / etc / letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also have certificates and private keys obtained by Let's
Encrypt so regular backups of this folder is ideal.
- If you like Let's Encrypt, please consider supporting our work by:

Конфигурисање аутоматског обнављања сертификата

Хајде да шифрујемо сертификате важе 90 дана. Препоручује се да га обновите у року од 60 дана, како бисте избегли било какве проблеме. Да бисмо то постигли, цертбот ће нам помоћи са вашом командом за обнављање. Он ће потврдити да је сертификат краћи од 30 дана од истека:

sudo certbot renew

Ако је инсталирани сертификат новији, цертбот ће само потврдити његов датум истека:

Processing  /etc/letsencrypt/renewal/example.com.conf
The following certs are not due for renewal yet:
    /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

Да бисте аутоматизовали овај процес обнове, можете да подесите цроњоб. Прво отворите цронтаб:

sudo crontab -e

Овај посао се може безбедно заказати да се изводи сваког понедељка у поноћ:

0 0 * * 1 / usr / bin / certbot renew >> /var/log/sslrenew.log

Излаз скрипте ће бити прослеђен у /var/log/sslrenew.logдатотеку.

Закључак

Управо сте обезбедили свој Апацхе веб сервер имплементацијом бесплатног ССЛ сертификата. Од сада је сав саобраћај између сервера и клијента шифрован.