Biztonságos Apache a Lets Encrypt SSL-tanúsítvánnyal a CentOS 8 rendszeren
A webszerver biztonságossá tétele mindig az egyik kulcsfontosságú tényező, amelyet figyelembe kell vennie, mielőtt elindítja webhelyét. A biztonsági tanúsítvány kritikus fontosságú a webböngészőktől a webszerverek felé küldött forgalom biztosításához, és ezáltal arra ösztönzi a felhasználókat, hogy adatokat cseréljenek a webhelyével annak tudatában, hogy a küldött forgalom biztonságos.
A legtöbb esetben a biztonsági tanúsítványokat fizetik és évente megújítják. A Titkosítsuk tanúsítvány egy ingyenes, nyílt és automatizált tanúsító hatóság, amellyel titkosíthatja webhelyét. A tanúsítvány minden 90 nap után lejár, és automatikusan, költségmentesen megújul.
Ajánlott olvasmány: Az Nginx biztonságossá tétele a Let’s Encrypt segítségével a CentOS 8 rendszeren
Ebben a cikkben bemutatjuk, hogyan telepítheti a Titkosítsuk a tanúsítványt a Certbottal az Apache webszerverhez, majd később konfigurálhatja a tanúsítványt. az automatikus megújításhoz CentOS 8 rendszeren.
Előfeltételek
Mielőtt elkezdené, győződjön meg arról, hogy a következők vannak a helyén:
1. A CentOS 8 szerver példánya telepített és futó Apache HTTP webszerverrel. Megbizonyosodhat arról, hogy az apache webszerver működik és működik.
sudo dnf install httpd
sudo systemctl status httpd
2. Egy Fullly Qualified Domain Name (FQDN), amely webszerverének nyilvános IP-címére mutat a DNS webtárhely-szolgáltatóján. Ebben az útmutatóban a linuxtechwhiz.info
fájlt használjuk, amely a szerver IP-címére mutat: 34.67.63.136
.
1. lépés: Telepítse a Certbotot a CentOS 8 rendszerben
A Certbot egy olyan kliens, amely automatizálja a biztonsági tanúsítvány telepítését. Lekéri a tanúsítványt a Titkosítsuk a jogosultságottól, és különösebb gond nélkül telepíti a webszerverére.
A Certbot teljesen ingyenes, és lehetővé teszi a tanúsítvány interaktív telepítését azáltal, hogy a webszerver konfigurációja alapján utasításokat generál.
A certbot letöltése előtt először telepítse a titkosított kapcsolat konfigurálásához szükséges csomagokat.
Kezdjük az EPEL tároló telepítésével, amely kiváló minőségű kiegészítő csomagokat biztosít az RHEL-alapú rendszerek számára:
sudo dnf install epel-release
Ezután telepítse a mod_ssl és az openssl csomagokat.
sudo dnf install mod_ssl openssl
Miután az összes függőséget telepítette, telepítse a Certbotot és az Apache modult a Certbot számára.
sudo dnf install certbot python3-certbot-apache
A parancs telepíti a Certbot-ot, a Certbot Apache-modulját és más függőségeket.
2. lépés: Hozzon létre egy Apache virtuális gazdagépet
A következő lépés egy virtuális gazdagépfájl létrehozása a tartományunkhoz – linuxtechwhiz.info
. Kezdje azzal, hogy először hozza létre a dokumentumgyökeret, ahol el fogja helyezni a HTML fájlokat.
sudo mkdir /var/www/linuxtechwhiz.info.conf
Hozzon létre egy teszt index.html
fájlt az ábra szerint.
sudo echo “<h1>Welcome to Apache HTTP server</h1>” > /var/www/linuxtechwhiz.info/index.html
Ezután hozzon létre egy virtuális gazdagép fájlt az ábrán látható módon.
sudo vim /etc/httpd/conf.d/linuxtechwhiz.info
Csatolja alá a konfigurációt.
<VirtualHost *:443>
ServerName linuxtechwhiz.info
ServerAlias www.linuxtechwhiz.info
DocumentRoot /var/www/linuxtechwhiz.info/
<Directory /var/www/linuxtechwhiz.info/>
Options -Indexes +FollowSymLinks
AllowOverride All
</Directory>
ErrorLog /var/log/httpd/www.linuxtechwhiz.info-error.log
CustomLog /var/log/httpd/www.linuxtechwhiz.info-access.log combined
</VirtualHost>
Mentés és kilépés.
Rendelje hozzá az engedélyeket a dokumentumgyökérhez az ábra szerint.
sudo chown -R apache:apache /var/www/linuxtechwhiz.info
A változtatások életbe lépéséhez indítsa újra az Apache szolgáltatást.
sudo systemctl restart httpd
3. lépés: Telepítse a Let’s Encrypt SSL-tanúsítványt a CentOS 8 rendszerre
Most futtassa a certbot programot az ábrán látható módon a Titkosítsuk a tanúsítvány telepítésének megkezdéséhez.
sudo certbot --apache -d domain.com
A mi esetünkben ez lesz:
sudo certbot --apache -d linuxtechwhiz.info
A parancs végigvezeti Önt egy sor prompton, amelyek lehetővé teszik a Lets Encrypt beállítását a tartományban. Feltétlenül adja meg e-mail címét, fogadja el a Szolgáltatási feltételeket, és adja meg a HTTPS protokollt, amely a HTTP titkosított változata, használni kívánt domain neveket.
Ha minden jól ment, a végén kap egy gratuláló üzenetet, amely tájékoztatja Önt arról, hogy webhelyét a Titkosítsuk a tanúsítványt biztosítjuk. A tanúsítvány érvényessége is megjelenik – ez általában a telepítést követő 90 nap után következik be.
Most térjen vissza a virtuális gazdagép fájljához, és fűzze hozzá a következő konfigurációs sorokat.
SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/linuxtechwhiz.info/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/linuxtechwhiz.info/privkey.pem
Mentés és kilépés.
A végső Apache virtuális gazdagép konfigurációja így fog kinézni:
<VirtualHost *:443>
ServerName linuxtechwhiz.info
ServerAlias www.linuxtechwhiz.info
DocumentRoot /var/www/linuxtechwhiz.info/
<Directory /var/www/linuxtechwhiz.info/>
Options -Indexes +FollowSymLinks
AllowOverride All
</Directory>
ErrorLog /var/log/httpd/www.linuxtechwhiz.info-error.log
CustomLog /var/log/httpd/www.linuxtechwhiz.info-access.log combined
SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/linuxtechwhiz.info/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/linuxtechwhiz.info/privkey.pem
</VirtualHost>
Még egyszer indítsa újra az Apache-ot.
sudo systemctl restart httpd
4. lépés: A Let’s Encrypt SSL-tanúsítvány ellenőrzése
Annak ellenőrzéséhez, hogy minden működik, indítsa el a böngészőt, és keresse fel szervere IP-címét. Most egy lakat szimbólumot kell látnia az URL elején.
További részletekért kattintson a lakat szimbólumra, majd kattintson a „Tanúsítvány” lehetőségre a megjelenő legördülő menüben.
A tanúsítvány részletei a következő felugró ablakban jelennek meg.
Ezenkívül tesztelheti szerverét a https://www.ssllabs.com/ssltest/
címen, és webhelyének „A”
besorolást kell kapnia, amint az látható.
5. lépés: Automatikus megújítás Titkosítsuk az SSL-tanúsítványt
A Titkosítsuk csak 90 napig érvényes. A megújítási folyamatot általában a certbot csomag végzi, amely egy megújító szkriptet ad hozzá az /etc/cron.d könyvtárhoz. A szkript naponta kétszer fut, és automatikusan megújít minden tanúsítványt a lejárattól számított 30 napon belül.
Az automatikus megújítási folyamat teszteléséhez végezzen szárazonfutási tesztet a certbot segítségével.
sudo /usr/local/bin/certbot-auto renew --dry-run
Ha nem észlelt hibát, az azt jelenti, hogy készen áll.
Ezzel az útmutató végére értünk. Ebben az útmutatóban bemutattuk, hogyan használhatja a certbotot a Let’s Encrypt tanúsítvány telepítéséhez és konfigurálásához CentOS 8 rendszeren futó Apache webszerveren.