Jak zainstalować Lets Encrypt SSL na CentOS 7 z uruchomionym serwerem WWW Apache

• Wprowadzenie
• Wymagania wstępne
• Instalowanie modułów zależnych
• Pobieranie klienta Let's Encrypt
• Uzyskaj i skonfiguruj certyfikat SSL
• Konfigurowanie automatycznego odnawiania certyfikatu
• Wniosek

Wprowadzenie

W tym samouczku poznasz procedurę instalowania certyfikatu TLS / SSL na serwerze WWW Apache. Po zakończeniu cały ruch między serwerem a klientem będzie szyfrowany. Jest to standardowa praktyka ochrony witryn handlu elektronicznego i innych usług finansowych online. Let's Encrypt jest pionierem we wdrażaniu bezpłatnego protokołu SSL i w tym przypadku zostanie użyty jako dostawca certyfikatu.

Wymagania wstępne

Przed rozpoczęciem tego przewodnika potrzebne będą:

• Dostęp root do SSH do VPS CentOS 7
• Serwer WWW Apache z poprawnie skonfigurowaną domeną i vhostem
• Użytkownik sudo inny niż root

Instalowanie modułów zależnych

Aby zainstalować certbota, musisz zainstalować repozytorium EPEL, ponieważ domyślnie nie jest ono dostępne, mod_ssljest również wymagane do rozpoznania szyfrowania przez Apache:

sudo yum install -y epel-release mod_ssl

Pobieranie klienta Let's Encrypt

Następnie zainstalujesz klienta certbot z repozytorium EPEL:

sudo yum install python-certbot-apache

Uzyskaj i skonfiguruj certyfikat SSL

Certbot dość łatwo poradzi sobie z zarządzaniem certyfikatami SSL. Wygeneruje nowy certyfikat dla podanej domeny jako parametr.

W takim przypadku example.combędzie używany jako domena, dla której certyfikat zostanie wydany:

sudo certbot --apache -d example.com

Jeśli chcesz wygenerować SSL dla wielu domen lub subdomen, użyj następującego polecenia:

sudo certbot --apache -d example.com -d www.example.com

Uwaga: Pierwsze domeny powinna być domena bazowej, w tym np example.com.

Po zainstalowaniu certyfikatu otrzymasz przewodnik krok po kroku, który pozwoli ci dostosować szczegóły certyfikatu. Będziesz mógł wybrać pomiędzy wymuszeniem HTTPSlub wyjściem HTTPjako domyślnym protokołem. Podanie adresu e-mail będzie również wymagane ze względów bezpieczeństwa.

Po zakończeniu instalacji otrzymasz podobny komunikat:

IMPORTANT NOTES:
- If you lose your account credentials, you can recover through
emails sent to user@example.com.
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2019-04-21. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- Your account credentials have been saved in your Let's Encrypt
configuration directory at / etc / letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also have certificates and private keys obtained by Let's
Encrypt so regular backups of this folder is ideal.
- If you like Let's Encrypt, please consider supporting our work by:

Konfigurowanie automatycznego odnawiania certyfikatu

Zaszyfrujmy certyfikaty są ważne przez 90 dni. Zaleca się odnowienie go w ciągu 60 dni, aby uniknąć problemów. Aby to osiągnąć, certbot pomoże nam w wydaniu polecenia odnowienia. Sprawdzi, czy certyfikat jest krótszy niż 30 dni od wygaśnięcia:

sudo certbot renew

Jeśli zainstalowany certyfikat jest aktualny, certbot zweryfikuje tylko datę jego ważności:

Processing  /etc/letsencrypt/renewal/example.com.conf
The following certs are not due for renewal yet:
    /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

Aby zautomatyzować ten proces odnawiania, możesz skonfigurować współdziałanie. Najpierw otwórz crontab:

sudo crontab -e

Prace można bezpiecznie zaplanować na każdy poniedziałek o północy:

0 0 * * 1 / usr / bin / certbot renew >> /var/log/sslrenew.log

Dane wyjściowe skryptu zostaną potokowane do /var/log/sslrenew.logpliku.

Wniosek

Właśnie zabezpieczyłeś swój serwer WWW Apache, wdrażając bezpłatny certyfikat SSL. Odtąd cały ruch między serwerem a klientem jest szyfrowany.