Как установить шифрование SSL на CentOS 7 с запущенным веб-сервером Apache

• Вступление
• Предпосылки
• Установка зависимых модулей
• Загрузка клиента Let's Encrypt
• Получить и настроить сертификат SSL
• Настройка автоматического продления сертификата
• Вывод

Вступление

В этом руководстве вы узнаете, как установить сертификат TLS / SSL на веб-сервер Apache. По завершении весь трафик между сервером и клиентом будет зашифрован. Это стандартная практика защиты сайтов электронной коммерции и других финансовых услуг в Интернете. Let's Encrypt является пионером в реализации бесплатного SSL и в этом случае будет использоваться в качестве поставщика сертификатов.

Предпосылки

Прежде чем вы начнете это руководство, вам потребуется следующее:

• Корневой доступ по SSH к CentOS 7 VPS
• Веб-сервер Apache с доменом и vhost настроен правильно
• Пользователь без полномочий root

Установка зависимых модулей

Чтобы установить certbot, вам необходимо установить репозиторий EPEL, так как он по умолчанию недоступен, mod_sslтакже требуется для распознавания шифрования Apache:

sudo yum install -y epel-release mod_ssl

Загрузка клиента Let's Encrypt

Далее вы установите клиент certbot из репозитория EPEL:

sudo yum install python-certbot-apache

Получить и настроить сертификат SSL

Certbot довольно легко справится с управлением SSL-сертификатами. В качестве параметра будет создан новый сертификат для указанного домена.

В этом случае example.comбудет использоваться домен, на который будет выдан сертификат:

sudo certbot --apache -d example.com

Если вы хотите сгенерировать SSL для нескольких доменов или поддоменов, используйте следующую команду:

sudo certbot --apache -d example.com -d www.example.com

Примечание: Первый домен должен быть ваш базовый домен, в этом примере: example.com.

При установке сертификата вы получите пошаговое руководство, которое позволит вам настроить детали сертификата. Вы сможете выбирать между принудительным HTTPSили HTTPвыходным протоколом по умолчанию. В целях безопасности потребуется также указать адрес электронной почты.

После завершения установки вы получите похожее сообщение:

IMPORTANT NOTES:
- If you lose your account credentials, you can recover through
emails sent to user@example.com.
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2019-04-21. To obtain a new version of the
certificate in the future, simply run Let's Encrypt again.
- Your account credentials have been saved in your Let's Encrypt
configuration directory at / etc / letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also have certificates and private keys obtained by Let's
Encrypt so regular backups of this folder is ideal.
- If you like Let's Encrypt, please consider supporting our work by:

Настройка автоматического продления сертификата

Давайте зашифруем сертификаты действительные на 90 дней. Рекомендуется обновить его в течение 60 дней, чтобы избежать каких-либо проблем. Чтобы добиться этого, certbot поможет нам с вашей командой продления. Он проверит, что срок действия сертификата составляет менее 30 дней с момента истечения срока действия:

sudo certbot renew

Если установленный сертификат является недавним, certbot проверит только дату его истечения:

Processing  /etc/letsencrypt/renewal/example.com.conf
The following certs are not due for renewal yet:
    /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

Чтобы автоматизировать этот процесс обновления, вы можете настроить cronjob. Сначала откройте crontab:

sudo crontab -e

Эту работу можно безопасно запланировать на каждый понедельник в полночь:

0 0 * * 1 / usr / bin / certbot renew >> /var/log/sslrenew.log

Вывод скрипта будет передан в /var/log/sslrenew.logфайл.

Вывод

Вы только что защитили свой веб-сервер Apache, внедрив бесплатный сертификат SSL. Отныне весь трафик между сервером и клиентом шифруется.