Weboldal keresés

Biztonságos Apache a Lets Encrypt SSL-tanúsítvánnyal a CentOS 8 rendszeren


A webszerver biztonságossá tétele mindig az egyik kulcsfontosságú tényező, amelyet figyelembe kell vennie, mielőtt elindítja webhelyét. A biztonsági tanúsítvány kritikus fontosságú a webböngészőktől a webszerverek felé küldött forgalom biztosításához, és ezáltal arra ösztönzi a felhasználókat, hogy adatokat cseréljenek a webhelyével annak tudatában, hogy a küldött forgalom biztonságos.

A legtöbb esetben a biztonsági tanúsítványokat fizetik és évente megújítják. A Titkosítsuk tanúsítvány egy ingyenes, nyílt és automatizált tanúsító hatóság, amellyel titkosíthatja webhelyét. A tanúsítvány minden 90 nap után lejár, és automatikusan, költségmentesen megújul.

Ajánlott olvasmány: Az Nginx biztonságossá tétele a Let’s Encrypt segítségével a CentOS 8 rendszeren

Ebben a cikkben bemutatjuk, hogyan telepítheti a Titkosítsuk a tanúsítványt a Certbottal az Apache webszerverhez, majd később konfigurálhatja a tanúsítványt. az automatikus megújításhoz CentOS 8 rendszeren.

Előfeltételek

Mielőtt elkezdené, győződjön meg arról, hogy a következők vannak a helyén:

1. A CentOS 8 szerver példánya telepített és futó Apache HTTP webszerverrel. Megbizonyosodhat arról, hogy az apache webszerver működik és működik.

sudo dnf install httpd
sudo systemctl status httpd

2. Egy Fullly Qualified Domain Name (FQDN), amely webszerverének nyilvános IP-címére mutat a DNS webtárhely-szolgáltatóján. Ebben az útmutatóban a linuxtechwhiz.info fájlt használjuk, amely a szerver IP-címére mutat: 34.67.63.136.

1. lépés: Telepítse a Certbotot a CentOS 8 rendszerben

A Certbot egy olyan kliens, amely automatizálja a biztonsági tanúsítvány telepítését. Lekéri a tanúsítványt a Titkosítsuk a jogosultságottól, és különösebb gond nélkül telepíti a webszerverére.

A Certbot teljesen ingyenes, és lehetővé teszi a tanúsítvány interaktív telepítését azáltal, hogy a webszerver konfigurációja alapján utasításokat generál.

A certbot letöltése előtt először telepítse a titkosított kapcsolat konfigurálásához szükséges csomagokat.

Kezdjük az EPEL tároló telepítésével, amely kiváló minőségű kiegészítő csomagokat biztosít az RHEL-alapú rendszerek számára:

sudo dnf install epel-release

Ezután telepítse a mod_ssl és az openssl csomagokat.

sudo dnf install mod_ssl openssl

Miután az összes függőséget telepítette, telepítse a Certbotot és az Apache modult a Certbot számára.

sudo dnf install certbot python3-certbot-apache

A parancs telepíti a Certbot-ot, a Certbot Apache-modulját és más függőségeket.

2. lépés: Hozzon létre egy Apache virtuális gazdagépet

A következő lépés egy virtuális gazdagépfájl létrehozása a tartományunkhoz – linuxtechwhiz.info. Kezdje azzal, hogy először hozza létre a dokumentumgyökeret, ahol el fogja helyezni a HTML fájlokat.

sudo mkdir /var/www/linuxtechwhiz.info.conf

Hozzon létre egy teszt index.html fájlt az ábra szerint.

sudo echo “<h1>Welcome to Apache HTTP server</h1>” > /var/www/linuxtechwhiz.info/index.html

Ezután hozzon létre egy virtuális gazdagép fájlt az ábrán látható módon.

sudo vim /etc/httpd/conf.d/linuxtechwhiz.info

Csatolja alá a konfigurációt.

<VirtualHost *:443>
  ServerName linuxtechwhiz.info
  ServerAlias www.linuxtechwhiz.info
  DocumentRoot /var/www/linuxtechwhiz.info/
  <Directory /var/www/linuxtechwhiz.info/>
      Options -Indexes +FollowSymLinks
      AllowOverride All
  </Directory>
  ErrorLog /var/log/httpd/www.linuxtechwhiz.info-error.log
  CustomLog /var/log/httpd/www.linuxtechwhiz.info-access.log combined
</VirtualHost>

Mentés és kilépés.

Rendelje hozzá az engedélyeket a dokumentumgyökérhez az ábra szerint.

sudo chown -R apache:apache /var/www/linuxtechwhiz.info

A változtatások életbe lépéséhez indítsa újra az Apache szolgáltatást.

sudo systemctl restart httpd

3. lépés: Telepítse a Let’s Encrypt SSL-tanúsítványt a CentOS 8 rendszerre

Most futtassa a certbot programot az ábrán látható módon a Titkosítsuk a tanúsítvány telepítésének megkezdéséhez.

sudo certbot --apache -d domain.com

A mi esetünkben ez lesz:

sudo certbot --apache -d linuxtechwhiz.info

A parancs végigvezeti Önt egy sor prompton, amelyek lehetővé teszik a Lets Encrypt beállítását a tartományban. Feltétlenül adja meg e-mail címét, fogadja el a Szolgáltatási feltételeket, és adja meg a HTTPS protokollt, amely a HTTP titkosított változata, használni kívánt domain neveket.

Ha minden jól ment, a végén kap egy gratuláló üzenetet, amely tájékoztatja Önt arról, hogy webhelyét a Titkosítsuk a tanúsítványt biztosítjuk. A tanúsítvány érvényessége is megjelenik – ez általában a telepítést követő 90 nap után következik be.

Most térjen vissza a virtuális gazdagép fájljához, és fűzze hozzá a következő konfigurációs sorokat.

SSLEngine On
 SSLCertificateFile    /etc/letsencrypt/live/linuxtechwhiz.info/fullchain.pem
 SSLCertificateKeyFile  /etc/letsencrypt/live/linuxtechwhiz.info/privkey.pem

Mentés és kilépés.

A végső Apache virtuális gazdagép konfigurációja így fog kinézni:

<VirtualHost *:443>
  ServerName linuxtechwhiz.info
  ServerAlias www.linuxtechwhiz.info
  DocumentRoot /var/www/linuxtechwhiz.info/
  <Directory /var/www/linuxtechwhiz.info/>
      Options -Indexes +FollowSymLinks
      AllowOverride All
  </Directory>
  ErrorLog /var/log/httpd/www.linuxtechwhiz.info-error.log
  CustomLog /var/log/httpd/www.linuxtechwhiz.info-access.log combined

 SSLEngine On
 SSLCertificateFile    /etc/letsencrypt/live/linuxtechwhiz.info/fullchain.pem
 SSLCertificateKeyFile  /etc/letsencrypt/live/linuxtechwhiz.info/privkey.pem
</VirtualHost>

Még egyszer indítsa újra az Apache-ot.

sudo systemctl restart httpd

4. lépés: A Let’s Encrypt SSL-tanúsítvány ellenőrzése

Annak ellenőrzéséhez, hogy minden működik, indítsa el a böngészőt, és keresse fel szervere IP-címét. Most egy lakat szimbólumot kell látnia az URL elején.

További részletekért kattintson a lakat szimbólumra, majd kattintson a „Tanúsítvány” lehetőségre a megjelenő legördülő menüben.

A tanúsítvány részletei a következő felugró ablakban jelennek meg.

Ezenkívül tesztelheti szerverét a https://www.ssllabs.com/ssltest/ címen, és webhelyének „A” besorolást kell kapnia, amint az látható.

5. lépés: Automatikus megújítás Titkosítsuk az SSL-tanúsítványt

A Titkosítsuk csak 90 napig érvényes. A megújítási folyamatot általában a certbot csomag végzi, amely egy megújító szkriptet ad hozzá az /etc/cron.d könyvtárhoz. A szkript naponta kétszer fut, és automatikusan megújít minden tanúsítványt a lejárattól számított 30 napon belül.

Az automatikus megújítási folyamat teszteléséhez végezzen szárazonfutási tesztet a certbot segítségével.

sudo /usr/local/bin/certbot-auto renew --dry-run

Ha nem észlelt hibát, az azt jelenti, hogy készen áll.

Ezzel az útmutató végére értünk. Ebben az útmutatóban bemutattuk, hogyan használhatja a certbotot a Let’s Encrypt tanúsítvány telepítéséhez és konfigurálásához CentOS 8 rendszeren futó Apache webszerveren.