Cara Pasang Sokongan SSL pada CentOS 7 Running Apache Web Server

• Pengenalan
• Prasyarat
• Memasang modul bergantung
• Memuat turun klien Let's Encrypt
• Mendapatkan dan mengkonfigurasi sijil SSL
• Mengkonfigurasi pembaharuan sijil automatik
• Kesimpulannya

Pengenalan

Dalam tutorial ini, anda akan mempelajari prosedur untuk memasang sijil TLS / SSL pada pelayan web Apache. Setelah selesai, semua lalu lintas antara pelayan dan pelanggan akan dienkripsi. Ini adalah amalan standard untuk melindungi laman web e-dagang dan perkhidmatan kewangan lain dalam talian. Let's Encrypt adalah pelopor dalam melaksanakan SSL percuma dan akan digunakan sebagai penyedia sijil dalam kes ini.

Prasyarat

Sebelum anda memulakan panduan ini, anda memerlukan perkara berikut:

• Akses root SSH ke CentOS 7 VPS
• Pelayan web Apache dengan domain dan vhost dikonfigurasi dengan betul
• Pengguna sudo bukan root

Memasang modul bergantung

Untuk memasang certbot, anda perlu memasang repositori EPEL kerana ia tidak tersedia secara lalai, mod_ssljuga diperlukan untuk penyulitan untuk diiktiraf oleh Apache:

sudo yum install -y epel-release mod_ssl

Memuat turun klien Let's Encrypt

Seterusnya, anda akan memasang klien certbot dari repositori EPEL:

sudo yum install python-certbot-apache

Mendapatkan dan mengkonfigurasi sijil SSL

Certbot akan mengendalikan pengurusan sijil SSL dengan mudah. Ia akan menghasilkan sijil baru untuk domain yang disediakan sebagai parameter.

Dalam kes ini, example.comakan digunakan sebagai domain yang akan dikeluarkan sijil:

sudo certbot --apache -d example.com

Sekiranya anda ingin menghasilkan SSL untuk beberapa domain atau sub-domain, gunakan arahan berikut:

sudo certbot --apache -d example.com -d www.example.com

Nota: Domain pertama harus domain asas anda, dalam contoh ini: example.com.

Apabila anda memasang sijil, anda akan menerima panduan langkah demi langkah yang akan membolehkan anda menyesuaikan butiran sijil. Anda akan dapat memilih antara memaksa HTTPSatau meninggalkan HTTPsebagai protokol lalai. Menyediakan alamat e-mel juga diperlukan, atas alasan keselamatan.

Apabila pemasangan selesai, anda akan menerima mesej yang sama:

IMPORTANT NOTES:
- If you lose your account credentials, you can recover through
emails sent to user@example.com.
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2019-04-21. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- Your account credentials have been saved in your Let's Encrypt
configuration directory at / etc / letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also have certificates and private keys obtained by Let's
Encrypt so regular backups of this folder is ideal.
- If you like Let's Encrypt, please consider supporting our work by:

Mengkonfigurasi pembaharuan sijil automatik

Mari sifatkan sijil sah selama 90 hari. Dianjurkan untuk memperbaharui dalam 60 hari, untuk mengelakkan masalah. Untuk mencapai ini, certbot akan membantu kami dengan arahan pembaharuan anda. Ia akan mengesahkan bahawa sijil kurang daripada 30 hari dari tamat tempoh:

sudo certbot renew

Jika sijil yang dipasang baru-baru ini, certbot hanya akan mengesahkan tarikh tamatnya:

Processing  /etc/letsencrypt/renewal/example.com.conf
The following certs are not due for renewal yet:
    /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

Untuk mengautomatikkan proses pembaharuan ini, anda boleh menyiapkan cronjob. Pertama, buka crontab:

sudo crontab -e

Kerja ini boleh dijadualkan secara selamat setiap hari Isnin pada tengah malam:

0 0 * * 1 / usr / bin / certbot renew >> /var/log/sslrenew.log

Output skrip akan disalurkan ke /var/log/sslrenew.logfail.

Kesimpulannya

Anda hanya memperoleh pelayan web Apache anda dengan melaksanakan sijil SSL percuma. Mulai sekarang semua lalu lintas antara pelayan dan pelanggan disulitkan.