Kuinka suojata Apache ilmaisella Let's Encrypt SSL-sertifikaatilla Ubuntussa ja Debianissa
Sinulla on äskettäin rekisteröity verkkotunnuksen nimi ja verkkopalvelimesi toimii myöntämäsi SSL Self-Signed -varmenteen kanssa, mikä aiheuttaa päänsärkyä asiakkaillesi heidän vieraillessaan verkkotunnuksessa varmenteen luomien virheiden vuoksi? Sinulla on rajallinen budjetti, eikä sinulla ole varaa ostaa luotettavan varmentajan myöntämää varmennetta? Silloin Let's Encrypt -ohjelmisto tulee esiin ja pelastaa päivän.
Jos aiot asentaa Let's Encrypt -sovelluksen Apachelle tai Nginxille RHEL:lle, CentOS:lle . , Fedora tai Ubuntu ja Debian, seuraa näitä ohjeita:
Asenna Let’s Encrypt to Secure Apache RHEL:ssä ja CentOS 7/6:ssa
Asenna Let’s Encrypt to Secure Nginx Ubuntuun ja Debianiin
Let's Encrypt on varmenteen myöntäjä (CA), jonka avulla voit hankkia ilmaisia SSL/TLS-varmenteita, joita tarvitset palvelin toimii turvallisesti, mikä tekee käyttäjillesi sujuvan selauskokemuksen ilman virheitä.
Testaus näyteympäristö
Kaikki varmenteen luomiseen vaadittavat vaiheet ovat enimmäkseen automaattisia Apache-verkkopalvelimelle. Huolimatta verkkopalvelinohjelmistostasi jotkin vaiheet on kuitenkin suoritettava manuaalisesti ja varmenteet on asennettava manuaalisesti, varsinkin jos verkkosivustosi sisältöä palvelee Nginx-daemon.
Tämä opetusohjelma opastaa sinua asentamaan Let's Encrypt -ohjelmiston Ubuntuun tai Debianiin, luomaan ja hankkimaan ilmaisen varmenteen verkkotunnuksellesi ja kuinka voit asentaa varmenteen manuaalisesti Apache- ja Nginx-verkkopalvelimiin.
Vaatimukset
- Julkinen rekisteröity verkkotunnuksen nimi, jossa on kelvolliset
A
-tietueet, jotka osoittavat takaisin palvelimesi ulkoiseen IP-osoitteeseen. Jos palvelimesi on palomuurin takana, varmista, että palvelimesi on koko sanan käytettävissä Internetistä lisäämällä portin välityssäännöt reitittimen puolelle. - Apache-verkkopalvelin asennettu SSL-moduulilla ja virtuaalinen hosting käytössä, jos isännöidä useita verkkotunnuksia tai aliverkkotunnuksia.
Vaihe 1: Asenna Apache ja ota SSL-moduuli käyttöön
1. Jos koneellesi ei ole vielä asennettu Apache-verkkopalvelinta, asenna apache-daemon antamalla seuraava komento.
sudo apt-get install apache2
2. SSL-moduulin aktivointi Apache-verkkopalvelimelle Ubuntussa tai Debianissa on melko yksinkertaista. Ota SSL-moduuli käyttöön ja aktivoi apachen oletusarvoinen SSL-virtuaalinen isäntä antamalla seuraavat komennot:
sudo a2enmod ssl
sudo a2ensite default-ssl.conf
sudo service apache2 restart
or
sudo systemctl restart apache2.service
Vierailijat voivat nyt käyttää verkkotunnustasi HTTPS-protokollan kautta. Koska palvelimesi itseallekirjoitettu varmenne ei kuitenkaan ole luotettavan varmentajan myöntämä, heidän selaimissaan näytetään alla olevan kuvan mukaisesti virheilmoitus.
https://yourdomain.com
Vaihe 2: Asenna ilmainen Let's Encrypt Client
3. Jotta voit asentaa Let's Encrypt -ohjelmiston palvelimellesi, järjestelmääsi on oltava asennettuna git-paketti. Asenna git-ohjelmisto antamalla seuraava komento:
sudo apt-get -y install git
4. Valitse seuraavaksi järjestelmähierarkiasta hakemisto, johon haluat kloonata Let's Encrypt -git-tietovaraston. Tässä opetusohjelmassa käytämme Let’s Encryptin asennuspoluna /usr/local/
-hakemistoa.
Vaihda hakemistoon /usr/local
ja asenna letsencrypt client antamalla seuraavat komennot:
cd /usr/local
sudo git clone https://github.com/letsencrypt/letsencrypt
Vaihe 4: Luo SSL-varmenne Apachelle
5. Apachen SSL-sertifikaatin hankintaprosessi on automatisoitu Apache-laajennuksen ansiosta. Luo varmenne antamalla seuraava komento verkkotunnuksesi nimeä vastaan. Anna verkkotunnuksesi nimi parametrina -d
-lipulle.
cd /usr/local/letsencrypt
sudo ./letsencrypt-auto --apache -d your_domain.tld
Jos esimerkiksi tarvitset varmenteen toimimaan useilla verkkotunnuksilla tai aliverkkotunnuksilla, lisää ne kaikki käyttämällä -d
-lippua jokaiselle ylimääräiselle kelvolliselle DNS-tietueelle perustoimialueen nimen jälkeen.
sudo ./letsencrypt-auto --apache -d your_domain.tld -d www. your_domain.tld
6. Hyväksy käyttöoikeus, anna sähköpostiosoite palautusta varten ja valitse, voivatko asiakkaat selata verkkotunnustasi käyttämällä sekä HTTP-protokollia (suojattu että epäsuojattu) vai ohjata kaikki suojaamattomat pyynnöt HTTPS:ään.
7. Kun asennusprosessi on päättynyt onnistuneesti, konsolissasi näkyy onnitteluviesti, jossa kerrotaan vanhenemispäivästä ja siitä, kuinka voit testata kokoonpanon alla olevissa kuvakaappauksissa.
Nyt sinun pitäisi pystyä löytämään varmennetiedostot hakemistosta /etc/letsencrypt/live
yksinkertaisen hakemistoluettelon avulla.
sudo ls /etc/letsencrypt/live
8. Lopuksi voit tarkistaa SSL-sertifikaattisi tilan seuraavasta linkistä. Vaihda verkkotunnuksen nimi vastaavasti.
https://www.ssllabs.com/ssltest/analyze.html?d=your_domain.tld&latest
Lisäksi vierailijat voivat nyt käyttää verkkotunnustasi HTTPS-protokollan avulla ilman, että heidän verkkoselaimissaan tulee virheitä.
Vaihe 4: Automaattinen uusiminen Sallii sertifikaattien salauksen
9. Oletuksena Let's Encrypt -viranomaisen myöntämät varmenteet ovat voimassa 90 päivää. Varmenteen uusimiseksi ennen vanhenemispäivää sinun on suoritettava asiakas uudelleen manuaalisesti käyttämällä täsmälleen samat liput ja parametrit kuin aiemmin.
sudo ./letsencrypt-auto --apache -d your_domain.tld
Tai jos aliverkkotunnuksia on useita:
sudo ./letsencrypt-auto --apache -d your_domain.tld -d www. your_domain.tld
10. Sertifikaatin uusimisprosessi voidaan automatisoida suorittamaan alle 30 päivää ennen vanhenemispäivää käyttämällä Linuxin aikataulu cron-daemonia.
sudo crontab -e
Lisää seuraava komento crontab-tiedoston loppuun käyttämällä vain yhtä riviä:
0 1 1 */2 * cd /usr/local/letsencrypt && ./letsencrypt-auto certonly --apache --renew-by-default --apache -d domain.tld >> /var/log/domain.tld-renew.log 2>&1
11. Lisätietoja Let’s Encrypt -ohjelmiston uusimisverkkotunnuksen määritystiedostosta löytyy hakemistosta /etc/letsencrypt/renewal/
.
cat /etc/letsencrypt/renewal/caeszar.tk.conf
Tarkista myös tiedosto /etc/letsencrypt/options-ssl-apache.conf
, jotta voit tarkastella juuri Apache-verkkopalvelimen SSL-määritystiedostoa.
12. Lisäksi Let's Encrypt apache -laajennus muuttaa joitain tiedostoja verkkopalvelimesi määrityksissä. Tarkistaaksesi, mitä tiedostoja on muokattu, luettele /etc/apache2/sites-enabled
-hakemiston sisältö.
ls /etc/apache2/sites-enabled/
sudo cat /etc/apache2/sites-enabled/000-default-le-ssl.conf
Tässä kaikki tältä erää! Seuraavassa opetusohjelmasarjassa keskustellaan siitä, kuinka voit hankkia ja asentaa Let's Encrypt -varmenteen Nginx-verkkopalvelimelle Ubuntuun ja Debianiin<. ja myös CentOS:ssä.