Hoe te installeren Laat SSL versleutelen op CentOS 7 met Apache Web Server

• Invoering
• Vereisten
• Afhankelijke modules installeren
• De Let's Encrypt-client downloaden
• Verkrijg en configureer het SSL-certificaat
• Automatische certificaatverlenging configureren
• Gevolgtrekking

Invoering

In deze tutorial leert u de procedure voor het installeren van het TLS / SSL-certificaat op de Apache-webserver. Als u klaar bent, wordt al het verkeer tussen server en client gecodeerd. Dit is een standaardpraktijk om e-commercesites en andere financiële diensten online te beschermen. Let's Encrypt is de pionier in het implementeren van gratis SSL en zal in dit geval worden gebruikt als de certificaataanbieder.

Vereisten

Voordat u aan deze handleiding begint, heeft u het volgende nodig:

• SSH root-toegang tot een CentOS 7 VPS
• Apache-webserver met correct geconfigureerd domein en vhost
• Een niet-root sudo-gebruiker

Afhankelijke modules installeren

Om certbot te installeren, moet u de EPEL-repository installeren, omdat deze niet standaard beschikbaar mod_sslis en ook vereist is om versleuteling door Apache te laten herkennen:

sudo yum install -y epel-release mod_ssl

De Let's Encrypt-client downloaden

Vervolgens installeert u de certbot-client vanuit de EPEL-repository:

sudo yum install python-certbot-apache

Verkrijg en configureer het SSL-certificaat

Certbot zal het beheer van SSL-certificaten vrij eenvoudig afhandelen. Het genereert een nieuw certificaat voor het opgegeven domein als parameter.

In dit geval example.comwordt gebruikt als het domein waaraan het certificaat zal worden afgegeven:

sudo certbot --apache -d example.com

Gebruik de volgende opdracht als u SSL wilt genereren voor meerdere domeinen of subdomeinen:

sudo certbot --apache -d example.com -d www.example.com

Opmerking: Het eerste domein moet je basis domein, in dit voorbeeld: example.com.

Wanneer u het certificaat installeert, ontvangt u een stapsgewijze handleiding waarmee u de certificaatdetails kunt aanpassen. U kunt kiezen tussen forceren HTTPSof vertrekken HTTPals het standaardprotocol. Het opgeven van een e-mailadres is om veiligheidsredenen ook vereist.

Wanneer de installatie is voltooid, ontvang je een soortgelijk bericht:

IMPORTANT NOTES:
- If you lose your account credentials, you can recover through
emails sent to [email protected].
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2019-04-21. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- Your account credentials have been saved in your Let's Encrypt
configuration directory at / etc / letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also have certificates and private keys obtained by Let's
Encrypt so regular backups of this folder is ideal.
- If you like Let's Encrypt, please consider supporting our work by:

Automatische certificaatverlenging configureren

Laten we certificaten versleutelen zijn 90 dagen geldig. Het wordt aanbevolen om het binnen 60 dagen te vernieuwen om problemen te voorkomen. Om dit te bereiken, zal certbot ons helpen met uw verlengingsopdracht. Het controleert of het certificaat minder dan 30 dagen na het verstrijken is:

sudo certbot renew

Als het geïnstalleerde certificaat recent is, controleert certbot alleen de vervaldatum:

Processing  /etc/letsencrypt/renewal/example.com.conf
The following certs are not due for renewal yet:
    /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

Om dit vernieuwingsproces te automatiseren, kunt u een cronjob instellen. Open eerst de crontab:

sudo crontab -e

Dit werk kan veilig worden gepland om elke maandag om middernacht te worden uitgevoerd:

0 0 * * 1 / usr / bin / certbot renew >> /var/log/sslrenew.log

De uitvoer van het script wordt naar het /var/log/sslrenew.logbestand geleid .

Gevolgtrekking

U heeft zojuist uw Apache-webserver beveiligd door een gratis SSL-certificaat te implementeren. Vanaf nu wordt al het verkeer tussen server en client versleuteld.