Як встановити Lets Encrypt SSL на веб-сервері Apache CentOS 7

Вступ

У цьому посібнику ви дізнаєтеся про процедуру встановлення сертифіката TLS/SSL на веб-сервер Apache. Після завершення весь трафік між сервером і клієнтом буде зашифровано. Це стандартна практика захисту сайтів електронної комерції та інших фінансових послуг в Інтернеті. Let's Encrypt є піонером у впровадженні безкоштовного SSL і в цьому випадку буде використовуватися як постачальник сертифікатів.

Передумови

Перш ніж розпочати цей посібник, вам знадобиться наступне:

• SSH root-доступ до VPS CentOS 7
• Веб-сервер Apache з правильно налаштованим доменом і vhost
• Користувач sudo без права root

Установка залежних модулів

Щоб встановити certbot, вам потрібно буде встановити репозиторій EPEL, оскільки він недоступний за замовчуванням, mod_sslвін також необхідний для розпізнавання шифрування Apache:

sudo yum install -y epel-release mod_ssl

Завантаження клієнта Let's Encrypt

Далі ви встановите клієнта certbot із репозиторію EPEL:

sudo yum install python-certbot-apache

Отримайте та налаштуйте сертифікат SSL

Certbot досить легко впорається з керуванням сертифікатами SSL. Він згенерує новий сертифікат для наданого домену як параметр.

У цьому випадку example.comв якості домену, на який буде видано сертифікат, буде використовуватися:

sudo certbot --apache -d example.com

Якщо ви хочете створити SSL для кількох доменів або субдоменів, скористайтеся такою командою:

sudo certbot --apache -d example.com -d www.example.com

Примітка . Першим доменом має бути ваш базовий домен, у цьому прикладі: example.com.

Коли ви встановите сертифікат, ви отримаєте покрокове керівництво, яке дозволить налаштувати деталі сертифіката. Ви зможете вибрати між примусовим HTTPSабо залишеним HTTPпротоколом за замовчуванням. З міркувань безпеки також потрібно буде вказати адресу електронної пошти.

Після завершення встановлення ви отримаєте подібне повідомлення:

IMPORTANT NOTES:
- If you lose your account credentials, you can recover through
emails sent to user@example.com.
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2019-04-21. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- Your account credentials have been saved in your Let's Encrypt
configuration directory at / etc / letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also have certificates and private keys obtained by Let's
Encrypt so regular backups of this folder is ideal.
- If you like Let's Encrypt, please consider supporting our work by:

Налаштування автоматичного оновлення сертифіката

Сертифікати Let's encrypt дійсні протягом 90 днів. Рекомендується поновити його протягом 60 днів, щоб уникнути проблем. Щоб досягти цього, certbot допоможе нам з вашою командою оновлення. Він підтвердить, що термін дії сертифіката не перевищує 30 днів:

sudo certbot renew

Якщо сертифікат встановлений нещодавно, certbot перевірить лише термін його дії:

Processing  /etc/letsencrypt/renewal/example.com.conf
The following certs are not due for renewal yet:
    /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

Щоб автоматизувати цей процес оновлення, ви можете налаштувати cronjob. Спочатку відкрийте crontab:

sudo crontab -e

Цю роботу можна безпечно запланувати на щопонеділок опівночі:

0 0 * * 1 / usr / bin / certbot renew >> /var/log/sslrenew.log

Висновок сценарію буде переданий у /var/log/sslrenew.logфайл.

Висновок

Ви щойно захистили свій веб-сервер Apache, реалізувавши безкоштовний сертифікат SSL. Відтепер весь трафік між сервером і клієнтом шифрується.