Weboldal keresés

Az Apache biztonságossá tétele az ingyenes Let's Encrypt SSL-tanúsítvánnyal Ubuntu és Debian rendszeren


Újonnan regisztrált domainneve van, és webszervere az Ön által kiadott SSL Self-Signed Certificate-vel működik, ami fejfájást okoz ügyfelei számára a domain látogatása során a tanúsítvány generált hibái miatt? Korlátozott a költségvetése, és nem engedheti meg magának, hogy megbízható CA által kiállított tanúsítványt vásároljon? Ekkor lép színre a Let’s Encrypt szoftver, és megmenti a helyzetet.

Ha telepíteni szeretné a Let's Encrypt programot Apache vagy Nginx számára RHEL, CentOS rendszeren, Fedora vagy Ubuntu és Debian, kövesse az alábbi útmutatókat:

A Let’s Encrypt to Secure Apache beállítása RHEL és CentOS 7/6 rendszeren

Állítsa be a Let’s Encrypt to Secure Nginxet Ubuntu és Debian rendszeren

A Let's Encrypt egy tanúsítványszolgáltató (CA), amely megkönnyíti az Ön számára szükséges ingyenes SSL/TLS tanúsítványok beszerzését. A szerver biztonságosan fut, így a felhasználók zökkenőmentesen, hiba nélkül böngészik.

Mintakörnyezet tesztelése

Az Apache webszerver esetében a tanúsítvány létrehozásához szükséges összes lépés többnyire automatizált. A webszerver-szoftver ellenére azonban néhány lépést manuálisan kell végrehajtani, és a tanúsítványokat manuálisan kell telepíteni, különösen abban az esetben, ha a webhely tartalmát az Nginx démon szolgálja ki.

Ez az oktatóanyag végigvezeti Önt, hogyan telepítheti a Let's Encrypt szoftvert Ubuntu vagy Debian rendszerre, hogyan állíthat elő és szerezhet be ingyenes tanúsítványt a domainje számára, és hogyan manuálisan telepítheti a tanúsítványt Apache és Nginx webszervereken.

Követelmények

  1. Nyilvános regisztrált tartománynév érvényes A rekordokkal, amelyek a szerver külső IP-címére mutatnak vissza. Abban az esetben, ha a szervere tűzfal mögött van, tegye meg a szükséges intézkedéseket annak biztosítására, hogy szervere az egész szóban elérhető legyen az internetről, porttovábbítási szabályok hozzáadásával az útválasztó oldalán.
  2. Az Apache webszerver SSL-modul engedélyezésével és virtuális tárhelyszolgáltatással van telepítve, abban az esetben, ha több tartományt vagy aldomaint üzemeltet.

1. lépés: Telepítse az Apache-t és engedélyezze az SSL-modult

1. Ha még nincs telepítve az Apache webszerver a gépére, adja ki a következő parancsot az apache démon telepítéséhez.

sudo apt-get install apache2

2. Az SSL-modul aktiválása az Apache webszerverhez Ubuntu vagy Debian rendszeren, ez meglehetősen egyszerű. Engedélyezze az SSL modult, és aktiválja az apache alapértelmezett SSL virtuális gazdagépét az alábbi parancsok kiadásával:

sudo a2enmod ssl
sudo a2ensite default-ssl.conf
sudo service apache2 restart
or
sudo systemctl restart apache2.service

A látogatók mostantól hozzáférhetnek az Ön domainnevéhez a HTTPS protokollon keresztül. Mivel azonban a szerver önaláírt tanúsítványát nem egy megbízható tanúsító hatóság bocsátotta ki, a böngészőjükben hibajelzés jelenik meg, ahogy az az alábbi képen is látható.

https://yourdomain.com

2. lépés: Telepítse a Free Let’s Encrypt Client programot

3. A Let’s Encrypt szoftver telepítéséhez a rendszeren telepíteni kell a git csomagot. Adja ki a következő parancsot a git szoftver telepítéséhez:

sudo apt-get -y install git

4. Ezután válasszon ki egy könyvtárat a rendszerhierarchiából, ahová klónozni szeretné a Titkosítsuk git-tárat. Ebben az oktatóanyagban a /usr/local/ könyvtárat fogjuk használni a Let’s Encrypt telepítési útvonalaként.

Váltson a /usr/local könyvtárba, és telepítse a letsencrypt klienst a következő parancsok kiadásával:

cd /usr/local
sudo git clone https://github.com/letsencrypt/letsencrypt

4. lépés: SSL-tanúsítvány létrehozása az Apache számára

5. Az Apache SSL-tanúsítvány megszerzésének folyamata az Apache bővítménynek köszönhetően automatizált. Állítsa elő a tanúsítványt a következő parancs kiadásával a tartománynévhez. Adja meg a domain nevét paraméterként a -d jelzőhöz.

cd /usr/local/letsencrypt
sudo ./letsencrypt-auto --apache -d your_domain.tld

Például, ha a tanúsítványra több tartományon vagy aldomainen való működéshez van szüksége, adja hozzá mindegyiket a -d jelzővel minden extra érvényes DNS-rekordhoz az alaptartománynév után.

sudo ./letsencrypt-auto --apache -d your_domain.tld  -d www. your_domain.tld 

6. Fogadja el a licencet, adjon meg egy e-mail-címet a helyreállításhoz, és válassza ki, hogy az ügyfelek böngészhetnek-e a domainjében mindkét HTTP-protokoll használatával (biztonságos és nem biztonságos), vagy átirányíthatják-e az összes nem biztonságos kérést HTTPS-re.

7. A telepítési folyamat sikeres befejezése után egy gratulációs üzenet jelenik meg a konzolon, amely tájékoztat a lejárati dátumról és arról, hogyan tesztelheti a konfigurációt az alábbi képernyőképeken látható módon.

Mostantól meg kell találnia a tanúsítványfájljait a /etc/letsencrypt/live könyvtárban egy egyszerű könyvtárlista segítségével.

sudo ls /etc/letsencrypt/live

8. Végül az SSL-tanúsítvány állapotának ellenőrzéséhez keresse fel a következő linket. Cserélje le a domain nevet ennek megfelelően.

https://www.ssllabs.com/ssltest/analyze.html?d=your_domain.tld&latest

Ezenkívül a látogatók mostantól HTTPS protokoll használatával hozzáférhetnek domainnevéhez anélkül, hogy a webböngészőjükben hiba jelenne meg.

4. lépés: Az automatikus megújítás lehetővé teszi a tanúsítványok titkosítását

9. Alapértelmezés szerint a Let’s Encrypt hatóság által kiadott tanúsítványok 90 napig érvényesek. A tanúsítvány lejárati dátum előtti megújításához manuálisan újra kell futtatnia a klienst, pontosan a korábbi jelzők és paraméterek használatával.

sudo ./letsencrypt-auto --apache -d your_domain.tld

Vagy több aldomain esetén:

sudo ./letsencrypt-auto --apache -d your_domain.tld  -d www. your_domain.tld

10. A tanúsítvány megújítási folyamata automatizálható, hogy a lejárati dátum előtt kevesebb mint 30 nappal lefusson a Linux ütemezési cron démon használatával.

sudo crontab -e

Adja hozzá a következő parancsot a crontab fájl végéhez, csak egy sor használatával:

0 1 1 */2 * cd /usr/local/letsencrypt && ./letsencrypt-auto certonly --apache --renew-by-default --apache -d domain.tld >> /var/log/domain.tld-renew.log 2>&1

11. A Let’s Encrypt szoftver megújítási tartománykonfigurációs fájljával kapcsolatos részletek a /etc/letsencrypt/renewal/ könyvtárban találhatók.

cat /etc/letsencrypt/renewal/caeszar.tk.conf

Ellenőrizze a /etc/letsencrypt/options-ssl-apache.conf fájlt is az Apache webszerver új SSL konfigurációs fájljának megtekintéséhez.

12. Ezenkívül a Let's encrypt apache beépülő modul módosít néhány fájlt a webszerver konfigurációjában. A módosított fájlok ellenőrzéséhez sorolja fel a /etc/apache2/sites-enabled könyvtár tartalmát.

ls /etc/apache2/sites-enabled/
sudo cat /etc/apache2/sites-enabled/000-default-le-ssl.conf

Ez minden most! Az oktatóanyagok következő sorozata megvitatja, hogyan szerezhet be és telepíthet Titkosítsuk tanúsítványt az Nginx webszerverhez Ubuntu és Debian< rendszeren. és CentOS rendszeren is.