Suojaa Apache Let's Encrypt -sertifikaatilla Rocky Linuxissa

Edellisessä oppaassamme opastimme sinut LAMP-pinon asennuksen läpi Rocky Linuxiin ja jatkoimme Apache-virtuaaliisäntien määrittämistä siltä varalta, että joudut isännöimään useita verkkosivustoja yhdellä palvelimella.

Mutta se ei vain pääty tähän. Verkkosivustojen turvallisuus on nyt yksi suurimmista huolenaiheista useimmissa organisaatioissa ja käyttäjissä yhtä lailla kasvavien kyberuhkien edessä. On olemassa useita tapoja suojata verkkosivustosi. Yksi tärkeimmistä tavoista ottaa käyttöön perussuojaus hakkereita vastaan on salata sivustosi SSL/TLS-varmenteen avulla.

SSL/TLS-varmenne on salaussertifikaatti, joka todentaa verkkosivustosi identiteetin ja salaa käyttäjän selaimen ja verkkopalvelimen välillä vaihdettavat tiedot.

Käytännössä sivustosi siirtyy HTTP-protokollasta, joka lähettää tiedot pelkkänä tekstinä, HTTPS:ään (HTTP Secure), joka salaa tiedot. Ilman salausta hakkerit voivat helposti saada haltuunsa luottamuksellisia tietoja, kuten käyttäjätunnuksia ja salasanoja, salakuuntelemalla verkkopalvelimen ja selaimen välillä vaihdettuja tietoja.

Jokin aika sitten Google halusi varoittaa käyttäjiä, jotka vierailevat salaamattomilla sivustoilla asettamalla Ei turvallinen -tunnisteen URL-palkkiin. Tällä halutaan, että käyttäjät ottavat riskin, joka liittyy sivuston selaamiseen.

Jos olet verkkosivuston omistaja, et todellakaan halua asettaa asiakkaitasi ja verkkosivustosi vierailijoita vaaraan, että heidän henkilökohtaiset tietonsa joutuvat alttiiksi hakkereille. Tästä syystä SSL-varmenteen asentaminen verkkopalvelimellesi on perustavanlaatuinen askel kohti sivustosi suojaamista.

Tässä oppaassa näytämme, kuinka suojataan Apache-verkkopalvelin Rocky Linux 8:ssa käyttämällä Lets Encrypt SSL -sertifikaattia.

Edellytykset

Jotta tämä toimisi, verkkotunnuksesi on osoitettava verkkosivustosi julkiseen IP-osoitteeseen. Siksi sinun on siirryttävä verkkoisäntällesi ja varmistettava, että verkkotunnuksen nimi osoittaa verkkopalvelimesi IP-osoitteeseen.

Tässä verkkotunnus tecmint.info osoittaa virtuaalipalvelimemme julkiseen IP-osoitteeseen.

Vaihe 1: Asenna EPEL Repo Rocky Linuxiin

Aloitamme asentamalla ennakkoehtopaketteja, joista on hyötyä matkan varrella. Asennamme EPEL-arkiston ja paketin mod_ssl, joka on suojausmoduuli Apache HTTP -palvelimelle, joka tarjoaa vahvan salauksen hyödyntämällä SSL/TLS-protokollia. käyttämällä OpenSSL:ää.

sudo dnf install epel-release mod_ssl

Vaihe 2: Asenna Certbot Rocky Linuxiin

Asennataan nyt Certbot – on asiakas, joka hakee SSL-varmenteen Let’s Encrypt -viranomaiselta ja automatisoi sen asennuksen ja määrityksen. Tämä eliminoi koko prosessin manuaalisen suorittamisen aiheuttaman kivun ja hälinän.

sudo dnf install certbot python3-certbot-apache 

Certbot on nyt täysin asennettu ja hyvin konfiguroitu.

Vaihe 3: SSL-sertifikaatin asentaminen Apachelle Rocky Linuxissa

Viimeinen vaihe on noutaa ja asentaa Let's Encrypt SSL-varmenne. Saavuta tämä suorittamalla komento:

sudo certbot --apache

Tämä käynnistää joukon kehotteita. Ensin sinun on annettava sähköpostiosoitteesi. Selaa seuraavaksi annetussa URL-osoitteessa olevat käyttöehdot ja hyväksy ehdot painamalla Y ja paina ENTER.

Seuraavaksi sinulta kysytään, oletko valmis jakamaan sähköpostiosoitteesi EFF:n (Electronic Frontier Foundation) kanssa, joka on Let’s Encryptin perustajakumppani.

Jakamalla sähköpostiosoitteesi tilaat uutisia, kampanjoita ja muita organisaatiota koskevia päivityksiä. Jos haluat antaa sähköpostiosoitteesi, paina Y, muussa tapauksessa paina N ja paina ENTER.

Seuraava kehote tarjoaa luettelon verkkotunnuksista verkkopalvelimesi kokoonpanon perusteella ja kysyy, kummassa haluat ottaa HTTPS:n käyttöön. Voit valita joko '1' tai '2'. Mutta yhdenmukaisuuden vuoksi ota HTTPS käyttöön kaikissa verkkotunnuksissa painamalla ENTER.

Certbot viimeistelee Let’s Encryptin asennuksen ja määrityksen ja tallentaa suojausavaimet polulle /etc/letsencrypt/live/yourdomain/.

Jos kaikki meni suunnitelmien mukaan, saat tulosteen näkyviin.

Vaihe 4: Uusi SSL-sertifikaatti automaattisesti Apachelle Rocky Linuxissa

Certbot tarjoaa skriptin varmenteen uusimiseen vain muutama päivä ennen sen voimassaolon päättymistä. Voit suorittaa kuivaajon testataksesi komentosarjan kuvan osoittamalla tavalla.

sudo certbot renew --dry-run

Nyt, jos haluat automatisoida varmenteen uusimisen komentosarjan avulla, muokkaa crontabia.

crontab -e

Määritä näytettävä cron-työ ja tallenna muutokset.

0 * * * * /usr/sbin/certbot-auto renew

Vaihe 4: Tarkista Apachen SSL-sertifikaatti Rocky Linuxissa

Varmista, että sivustosi on salattu, siirtymällä selaimeesi ja lataamalla verkkosivustosi uudelleen. Tällä kertaa sinun pitäisi nähdä riippulukkokuvake juuri ennen verkkosivuston URL-osoitetta.

Saadaksesi lisätietoja, napsauta kuvaketta ja napsauta Sertifikaatti-vaihtoehtoa näkyviin tulevasta valikosta.

Tämä täyttää kaikki varmenteen tiedot annettujen mukaisesti.

Voit testata sertifikaattisi vahvuutta siirtymällä SSL Labs -testiin. Anna verkkosivuston URL-osoite tai verkkotunnuksen nimi ja paina ENTER.

Sinun pitäisi saada A-luokitus, kuten tässä on kuvattu.

Johtopäätös

Jos olet päässyt näin pitkälle, sinun pitäisi pystyä salaamaan Apache-verkkopalvelimesi käyttämällä Let's Encrypt SSL-sertifikaattia hyödyntämällä EFF:n Certbot-asiakasohjelmaa.