Az Apache biztonságossá tétele az ingyenes Let's Encrypt SSL-tanúsítvánnyal Ubuntu és Debian rendszeren
Újonnan regisztrált domainneve van, és webszervere az Ön által kiadott SSL Self-Signed Certificate-vel működik, ami fejfájást okoz ügyfelei számára a domain látogatása során a tanúsítvány generált hibái miatt? Korlátozott a költségvetése, és nem engedheti meg magának, hogy megbízható CA által kiállított tanúsítványt vásároljon? Ekkor lép színre a Let’s Encrypt szoftver, és megmenti a helyzetet.
Ha telepíteni szeretné a Let's Encrypt programot Apache vagy Nginx számára RHEL, CentOS rendszeren, Fedora vagy Ubuntu és Debian, kövesse az alábbi útmutatókat:
A Let’s Encrypt to Secure Apache beállítása RHEL és CentOS 7/6 rendszeren
Állítsa be a Let’s Encrypt to Secure Nginxet Ubuntu és Debian rendszeren
A Let's Encrypt egy tanúsítványszolgáltató (CA), amely megkönnyíti az Ön számára szükséges ingyenes SSL/TLS tanúsítványok beszerzését. A szerver biztonságosan fut, így a felhasználók zökkenőmentesen, hiba nélkül böngészik.
Mintakörnyezet tesztelése
Az Apache webszerver esetében a tanúsítvány létrehozásához szükséges összes lépés többnyire automatizált. A webszerver-szoftver ellenére azonban néhány lépést manuálisan kell végrehajtani, és a tanúsítványokat manuálisan kell telepíteni, különösen abban az esetben, ha a webhely tartalmát az Nginx démon szolgálja ki.
Ez az oktatóanyag végigvezeti Önt, hogyan telepítheti a Let's Encrypt szoftvert Ubuntu vagy Debian rendszerre, hogyan állíthat elő és szerezhet be ingyenes tanúsítványt a domainje számára, és hogyan manuálisan telepítheti a tanúsítványt Apache és Nginx webszervereken.
Követelmények
- Nyilvános regisztrált tartománynév érvényes
A
rekordokkal, amelyek a szerver külső IP-címére mutatnak vissza. Abban az esetben, ha a szervere tűzfal mögött van, tegye meg a szükséges intézkedéseket annak biztosítására, hogy szervere az egész szóban elérhető legyen az internetről, porttovábbítási szabályok hozzáadásával az útválasztó oldalán. - Az Apache webszerver SSL-modul engedélyezésével és virtuális tárhelyszolgáltatással van telepítve, abban az esetben, ha több tartományt vagy aldomaint üzemeltet.
1. lépés: Telepítse az Apache-t és engedélyezze az SSL-modult
1. Ha még nincs telepítve az Apache webszerver a gépére, adja ki a következő parancsot az apache démon telepítéséhez.
sudo apt-get install apache2
2. Az SSL-modul aktiválása az Apache webszerverhez Ubuntu vagy Debian rendszeren, ez meglehetősen egyszerű. Engedélyezze az SSL modult, és aktiválja az apache alapértelmezett SSL virtuális gazdagépét az alábbi parancsok kiadásával:
sudo a2enmod ssl
sudo a2ensite default-ssl.conf
sudo service apache2 restart
or
sudo systemctl restart apache2.service
A látogatók mostantól hozzáférhetnek az Ön domainnevéhez a HTTPS protokollon keresztül. Mivel azonban a szerver önaláírt tanúsítványát nem egy megbízható tanúsító hatóság bocsátotta ki, a böngészőjükben hibajelzés jelenik meg, ahogy az az alábbi képen is látható.
https://yourdomain.com
2. lépés: Telepítse a Free Let’s Encrypt Client programot
3. A Let’s Encrypt szoftver telepítéséhez a rendszeren telepíteni kell a git csomagot. Adja ki a következő parancsot a git szoftver telepítéséhez:
sudo apt-get -y install git
4. Ezután válasszon ki egy könyvtárat a rendszerhierarchiából, ahová klónozni szeretné a Titkosítsuk git-tárat. Ebben az oktatóanyagban a /usr/local/
könyvtárat fogjuk használni a Let’s Encrypt telepítési útvonalaként.
Váltson a /usr/local
könyvtárba, és telepítse a letsencrypt klienst a következő parancsok kiadásával:
cd /usr/local
sudo git clone https://github.com/letsencrypt/letsencrypt
4. lépés: SSL-tanúsítvány létrehozása az Apache számára
5. Az Apache SSL-tanúsítvány megszerzésének folyamata az Apache bővítménynek köszönhetően automatizált. Állítsa elő a tanúsítványt a következő parancs kiadásával a tartománynévhez. Adja meg a domain nevét paraméterként a -d
jelzőhöz.
cd /usr/local/letsencrypt
sudo ./letsencrypt-auto --apache -d your_domain.tld
Például, ha a tanúsítványra több tartományon vagy aldomainen való működéshez van szüksége, adja hozzá mindegyiket a -d
jelzővel minden extra érvényes DNS-rekordhoz az alaptartománynév után.
sudo ./letsencrypt-auto --apache -d your_domain.tld -d www. your_domain.tld
6. Fogadja el a licencet, adjon meg egy e-mail-címet a helyreállításhoz, és válassza ki, hogy az ügyfelek böngészhetnek-e a domainjében mindkét HTTP-protokoll használatával (biztonságos és nem biztonságos), vagy átirányíthatják-e az összes nem biztonságos kérést HTTPS-re.
7. A telepítési folyamat sikeres befejezése után egy gratulációs üzenet jelenik meg a konzolon, amely tájékoztat a lejárati dátumról és arról, hogyan tesztelheti a konfigurációt az alábbi képernyőképeken látható módon.
Mostantól meg kell találnia a tanúsítványfájljait a /etc/letsencrypt/live
könyvtárban egy egyszerű könyvtárlista segítségével.
sudo ls /etc/letsencrypt/live
8. Végül az SSL-tanúsítvány állapotának ellenőrzéséhez keresse fel a következő linket. Cserélje le a domain nevet ennek megfelelően.
https://www.ssllabs.com/ssltest/analyze.html?d=your_domain.tld&latest
Ezenkívül a látogatók mostantól HTTPS protokoll használatával hozzáférhetnek domainnevéhez anélkül, hogy a webböngészőjükben hiba jelenne meg.
4. lépés: Az automatikus megújítás lehetővé teszi a tanúsítványok titkosítását
9. Alapértelmezés szerint a Let’s Encrypt hatóság által kiadott tanúsítványok 90 napig érvényesek. A tanúsítvány lejárati dátum előtti megújításához manuálisan újra kell futtatnia a klienst, pontosan a korábbi jelzők és paraméterek használatával.
sudo ./letsencrypt-auto --apache -d your_domain.tld
Vagy több aldomain esetén:
sudo ./letsencrypt-auto --apache -d your_domain.tld -d www. your_domain.tld
10. A tanúsítvány megújítási folyamata automatizálható, hogy a lejárati dátum előtt kevesebb mint 30 nappal lefusson a Linux ütemezési cron démon használatával.
sudo crontab -e
Adja hozzá a következő parancsot a crontab fájl végéhez, csak egy sor használatával:
0 1 1 */2 * cd /usr/local/letsencrypt && ./letsencrypt-auto certonly --apache --renew-by-default --apache -d domain.tld >> /var/log/domain.tld-renew.log 2>&1
11. A Let’s Encrypt szoftver megújítási tartománykonfigurációs fájljával kapcsolatos részletek a /etc/letsencrypt/renewal/
könyvtárban találhatók.
cat /etc/letsencrypt/renewal/caeszar.tk.conf
Ellenőrizze a /etc/letsencrypt/options-ssl-apache.conf
fájlt is az Apache webszerver új SSL konfigurációs fájljának megtekintéséhez.
12. Ezenkívül a Let's encrypt apache beépülő modul módosít néhány fájlt a webszerver konfigurációjában. A módosított fájlok ellenőrzéséhez sorolja fel a /etc/apache2/sites-enabled
könyvtár tartalmát.
ls /etc/apache2/sites-enabled/
sudo cat /etc/apache2/sites-enabled/000-default-le-ssl.conf
Ez minden most! Az oktatóanyagok következő sorozata megvitatja, hogyan szerezhet be és telepíthet Titkosítsuk tanúsítványt az Nginx webszerverhez Ubuntu és Debian< rendszeren. és CentOS rendszeren is.