Kuinka suojata Apache ilmaisella Let's Encrypt SSL-sertifikaatilla Ubuntussa ja Debianissa

Sinulla on äskettäin rekisteröity verkkotunnuksen nimi ja verkkopalvelimesi toimii myöntämäsi SSL Self-Signed -varmenteen kanssa, mikä aiheuttaa päänsärkyä asiakkaillesi heidän vieraillessaan verkkotunnuksessa varmenteen luomien virheiden vuoksi? Sinulla on rajallinen budjetti, eikä sinulla ole varaa ostaa luotettavan varmentajan myöntämää varmennetta? Silloin Let's Encrypt -ohjelmisto tulee esiin ja pelastaa päivän.

Jos aiot asentaa Let's Encrypt -sovelluksen Apachelle tai Nginxille RHEL:lle, CentOS:lle . , Fedora tai Ubuntu ja Debian, seuraa näitä ohjeita:

Asenna Let’s Encrypt to Secure Apache RHEL:ssä ja CentOS 7/6:ssa

Asenna Let’s Encrypt to Secure Nginx Ubuntuun ja Debianiin

Let's Encrypt on varmenteen myöntäjä (CA), jonka avulla voit hankkia ilmaisia SSL/TLS-varmenteita, joita tarvitset palvelin toimii turvallisesti, mikä tekee käyttäjillesi sujuvan selauskokemuksen ilman virheitä.

Testaus näyteympäristö

Kaikki varmenteen luomiseen vaadittavat vaiheet ovat enimmäkseen automaattisia Apache-verkkopalvelimelle. Huolimatta verkkopalvelinohjelmistostasi jotkin vaiheet on kuitenkin suoritettava manuaalisesti ja varmenteet on asennettava manuaalisesti, varsinkin jos verkkosivustosi sisältöä palvelee Nginx-daemon.

Tämä opetusohjelma opastaa sinua asentamaan Let's Encrypt -ohjelmiston Ubuntuun tai Debianiin, luomaan ja hankkimaan ilmaisen varmenteen verkkotunnuksellesi ja kuinka voit asentaa varmenteen manuaalisesti Apache- ja Nginx-verkkopalvelimiin.

Vaatimukset

  1. Julkinen rekisteröity verkkotunnuksen nimi, jossa on kelvolliset A-tietueet, jotka osoittavat takaisin palvelimesi ulkoiseen IP-osoitteeseen. Jos palvelimesi on palomuurin takana, varmista, että palvelimesi on koko sanan käytettävissä Internetistä lisäämällä portin välityssäännöt reitittimen puolelle.
  2. Apache-verkkopalvelin asennettu SSL-moduulilla ja virtuaalinen hosting käytössä, jos isännöidä useita verkkotunnuksia tai aliverkkotunnuksia.

Vaihe 1: Asenna Apache ja ota SSL-moduuli käyttöön

1. Jos koneellesi ei ole vielä asennettu Apache-verkkopalvelinta, asenna apache-daemon antamalla seuraava komento.

sudo apt-get install apache2

2. SSL-moduulin aktivointi Apache-verkkopalvelimelle Ubuntussa tai Debianissa on melko yksinkertaista. Ota SSL-moduuli käyttöön ja aktivoi apachen oletusarvoinen SSL-virtuaalinen isäntä antamalla seuraavat komennot:

sudo a2enmod ssl
sudo a2ensite default-ssl.conf
sudo service apache2 restart
or
sudo systemctl restart apache2.service

Vierailijat voivat nyt käyttää verkkotunnustasi HTTPS-protokollan kautta. Koska palvelimesi itseallekirjoitettu varmenne ei kuitenkaan ole luotettavan varmentajan myöntämä, heidän selaimissaan näytetään alla olevan kuvan mukaisesti virheilmoitus.

https://yourdomain.com

Vaihe 2: Asenna ilmainen Let's Encrypt Client

3. Jotta voit asentaa Let's Encrypt -ohjelmiston palvelimellesi, järjestelmääsi on oltava asennettuna git-paketti. Asenna git-ohjelmisto antamalla seuraava komento:

sudo apt-get -y install git

4. Valitse seuraavaksi järjestelmähierarkiasta hakemisto, johon haluat kloonata Let's Encrypt -git-tietovaraston. Tässä opetusohjelmassa käytämme Let’s Encryptin asennuspoluna /usr/local/-hakemistoa.

Vaihda hakemistoon /usr/local ja asenna letsencrypt client antamalla seuraavat komennot:

cd /usr/local
sudo git clone https://github.com/letsencrypt/letsencrypt

Vaihe 4: Luo SSL-varmenne Apachelle

5. Apachen SSL-sertifikaatin hankintaprosessi on automatisoitu Apache-laajennuksen ansiosta. Luo varmenne antamalla seuraava komento verkkotunnuksesi nimeä vastaan. Anna verkkotunnuksesi nimi parametrina -d-lipulle.

cd /usr/local/letsencrypt
sudo ./letsencrypt-auto --apache -d your_domain.tld

Jos esimerkiksi tarvitset varmenteen toimimaan useilla verkkotunnuksilla tai aliverkkotunnuksilla, lisää ne kaikki käyttämällä -d-lippua jokaiselle ylimääräiselle kelvolliselle DNS-tietueelle perustoimialueen nimen jälkeen.

sudo ./letsencrypt-auto --apache -d your_domain.tld  -d www. your_domain.tld

6. Hyväksy käyttöoikeus, anna sähköpostiosoite palautusta varten ja valitse, voivatko asiakkaat selata verkkotunnustasi käyttämällä sekä HTTP-protokollia (suojattu että epäsuojattu) vai ohjata kaikki suojaamattomat pyynnöt HTTPS:ään.

7. Kun asennusprosessi on päättynyt onnistuneesti, konsolissasi näkyy onnitteluviesti, jossa kerrotaan vanhenemispäivästä ja siitä, kuinka voit testata kokoonpanon alla olevissa kuvakaappauksissa.

Nyt sinun pitäisi pystyä löytämään varmennetiedostot hakemistosta /etc/letsencrypt/live yksinkertaisen hakemistoluettelon avulla.

sudo ls /etc/letsencrypt/live

8. Lopuksi voit tarkistaa SSL-sertifikaattisi tilan seuraavasta linkistä. Vaihda verkkotunnuksen nimi vastaavasti.

https://www.ssllabs.com/ssltest/analyze.html?d=your_domain.tld&latest

Lisäksi vierailijat voivat nyt käyttää verkkotunnustasi HTTPS-protokollan avulla ilman, että heidän verkkoselaimissaan tulee virheitä.

Vaihe 4: Automaattinen uusiminen Sallii sertifikaattien salauksen

9. Oletuksena Let's Encrypt -viranomaisen myöntämät varmenteet ovat voimassa 90 päivää. Varmenteen uusimiseksi ennen vanhenemispäivää sinun on suoritettava asiakas uudelleen manuaalisesti käyttämällä täsmälleen samat liput ja parametrit kuin aiemmin.

sudo ./letsencrypt-auto --apache -d your_domain.tld

Tai jos aliverkkotunnuksia on useita:

sudo ./letsencrypt-auto --apache -d your_domain.tld  -d www. your_domain.tld

10. Sertifikaatin uusimisprosessi voidaan automatisoida suorittamaan alle 30 päivää ennen vanhenemispäivää käyttämällä Linuxin aikataulu cron-daemonia.

sudo crontab -e

Lisää seuraava komento crontab-tiedoston loppuun käyttämällä vain yhtä riviä:

0 1 1 */2 * cd /usr/local/letsencrypt && ./letsencrypt-auto certonly --apache --renew-by-default --apache -d domain.tld >> /var/log/domain.tld-renew.log 2>&1

11. Lisätietoja Let’s Encrypt -ohjelmiston uusimisverkkotunnuksen määritystiedostosta löytyy hakemistosta /etc/letsencrypt/renewal/.

cat /etc/letsencrypt/renewal/caeszar.tk.conf

Tarkista myös tiedosto /etc/letsencrypt/options-ssl-apache.conf, jotta voit tarkastella juuri Apache-verkkopalvelimen SSL-määritystiedostoa.

12. Lisäksi Let's Encrypt apache -laajennus muuttaa joitain tiedostoja verkkopalvelimesi määrityksissä. Tarkistaaksesi, mitä tiedostoja on muokattu, luettele /etc/apache2/sites-enabled-hakemiston sisältö.

ls /etc/apache2/sites-enabled/
sudo cat /etc/apache2/sites-enabled/000-default-le-ssl.conf

Tässä kaikki tältä erää! Seuraavassa opetusohjelmasarjassa keskustellaan siitä, kuinka voit hankkia ja asentaa Let's Encrypt -varmenteen Nginx-verkkopalvelimelle Ubuntuun ja Debianiin<. ja myös CentOS:ssä.