Kuidas turvalist Apache'i tasuta krüpteerida SSL-sertifikaat Ubuntu ja Debiani jaoks

Teil on äsja registreeritud domeeninimi ja teie veebiserver töötab teie väljastatud SSL-i allkirjastatud sertifikaadiga, mis põhjustab teie klientidele peavalu, kui nad domeeni külastavad sertifikaadi loodud vigade tõttu? Teie eelarve on piiratud ja kas te ei saa endale lubada usaldusväärse CA välja antud sertifikaadi ostmist? See on siis, kui Let’s Encrypt tarkvara jõuab stseeni ja päästab päeva.

Kui soovite installida rakenduse Let’s Encrypt for Apache või Nginx RHEL-i, CentOS-i, Fedora või Ubuntu ja Debiani juurde, järgige neid juhiseid:

Let’s Encrypt on sertifikaadiasutus (CA), mis hõlbustab teie serveri turvaliseks töötamiseks vajalike tasuta SSL/TLS-sertifikaatide hankimist, muutes teie kasutajad tõrgeteta sirvimiskogemusteta.

Kõik sertifikaadi loomiseks vajalikud toimingud on Apache veebiserveri jaoks enamasti automatiseeritud. Vaatamata teie veebiserveri tarkvarale tuleb mõned toimingud siiski käsitsi teha ja sertifikaadid käsitsi installida, eriti juhul, kui teie veebisaidi sisu teenib Nginxi deemon.

See õpetus aitab teil installida tarkvara Let’s Encrypt Ubuntu või Debianisse, genereerida ja hankida oma domeenile tasuta sertifikaadi ning kuidas sertifikaati käsitsi installida Apache ja Nginx veebiserveritesse.

  1. Avalik registreeritud domeeninimi, millel on kehtiv A , mis suunab tagasi teie serveri välisele IP-aadressile. Juhul kui teie server on tulemüüri taga, võtke ruuteri poolel pordi edastamise reeglite lisamiseks vajalikud meetmed, et tagada teie serveri Interneti kaudu juurdepääs kogu sõnale.
  2. Apache veebiserver installitud koos lubatud SSL-mooduli ja virtuaalse hostimisega, juhul kui hostite mitut domeeni või alamdomeeni.

1. samm: installige Apache ja lubage SSL-moodul

1. Kui teie arvutisse pole veel Apache'i veebiserverit installitud, väljastage apache deemoni installimiseks järgmine käsk.

$ sudo apt-get install apache2

2. SSL-mooduli aktiveerimine Apache veebiserveri jaoks Ubuntu või Debiani jaoks on üsna lihtne. Lubage SSL-moodul ja aktiveerige apache vaikimisi SSL-i virtuaalne host, väljastades järgmised käsud:

$ sudo a2enmod ssl
$ sudo a2ensite default-ssl.conf
$ sudo service apache2 restart
or
$ sudo systemctl restart apache2.service

Külastajad saavad nüüd teie domeeninimele juurde pääseda HTTPS-protokolli kaudu. Kuna teie serveri enda allkirjastatud sertifikaati ei väljasta usaldusväärne sertifikaadi asutus, kuvatakse nende brauserites tõrketeade, nagu on näidatud alloleval pildil.

https://yourdomain.com

2. samm: installige tasuta Let’s Encrypt Client

3. Tarkvara Let’s Encrypt installimiseks oma serverisse peab teie süsteemi olema installitud git-pakett. Git tarkvara installimiseks väljastage järgmine käsk:

$ sudo apt-get -y install git

4. Järgmisena valige oma süsteemihierarhiast kataloog, kuhu soovite kloonida Let’s Encrypt git repository. Selles õpetuses kasutame Let’s Encrypt'i installiteeks kataloogi /usr/local/.

Lülitage kataloogi /usr/local ja installige letsencrypt klient, väljastades järgmised käsud:

$ cd /usr/local
$ sudo git clone https://github.com/letsencrypt/letsencrypt

4. samm: genereerige Apache jaoks SSL-sertifikaat

5. Apache SSL-sertifikaadi hankimise protsess on automatiseeritud tänu Apache pistikprogrammile. Looge sertifikaat, väljastades oma domeeninime vastu järgmise käsu. Sisestage lipu -d parameetrina oma domeeninimi.

$ cd /usr/local/letsencrypt
$ sudo ./letsencrypt-auto --apache -d your_domain.tld

Näiteks kui teil on vaja mitmel domeenil või alamdomeenil töötamiseks sertifikaati, lisage need kõik, kasutades baasdomeeninime järel iga täiendava kehtiva DNS-kirje jaoks lippu -d .

$ sudo ./letsencrypt-auto --apache -d your_domain.tld  -d www. your_domain.tld

6. Nõustuge litsentsiga, sisestage taastamiseks e-posti aadress ja valige, kas kliendid saavad teie domeeni sirvida mõlema HTTP-protokolli (turvaline ja ebaturvaline) abil või suunata kõik mitteturvalised taotlused HTTPS-i.

7. Kui installiprotsess on edukalt lõppenud, kuvatakse teie konsoolil õnnitlusteade, mis teavitab teid aegumiskuupäevast ja konfiguratsiooni testimisest, nagu on näidatud allpool olevatel ekraanipiltidel.

Nüüd peaksite oma sertifikaadifailid leidma kataloogist /etc/letsencrypt/live koos lihtsa kataloogide loendiga.

$ sudo ls /etc/letsencrypt/live

8. Lõpuks külastage järgmist linki oma SSL-sertifikaadi oleku kontrollimiseks. Asendage vastavalt domeeninimi.

https://www.ssllabs.com/ssltest/analyze.html?d=your_domain.tld&latest

Samuti saavad külastajad nüüd teie domeeninimele juurde pääseda HTTPS-protokolli abil, ilma et nende veebibrauserites viga ilmuks.

4. samm: automaatne uuendamine võimaldab krüpteerida sertifikaate

9. Vaikimisi kehtivad Let’s Encrypt asutuse välja antud sertifikaadid 90 päeva. Sertifikaadi uuendamiseks enne aegumiskuupäeva peate kliendi käsitsi uuesti käivitama, kasutades varasemaid täpseid lippe ja parameetreid.

$ sudo ./letsencrypt-auto --apache -d your_domain.tld

Või mitme alamdomeeni korral:

$ sudo ./letsencrypt-auto --apache -d your_domain.tld  -d www. your_domain.tld

10. Sertifikaatide uuendamise protsessi saab automatiseerida töötama vähem kui 30 päeva enne aegumiskuupäeva, kasutades Linuxi ajakava croni deemonit.

$ sudo crontab -e

Lisage järgmine käsk crontab-faili lõppu, kasutades ainult ühte rida:

0 1 1 */2 * cd /usr/local/letsencrypt && ./letsencrypt-auto certonly --apache --renew-by-default --apache -d domain.tld >> /var/log/domain.tld-renew.log 2>&1

11. Üksuse Tarkvara Let’s Encrypt uuendatud domeeni konfiguratsioonifaili kohta leiate kataloogist /etc/letsencrypt/atnaujamine/.

$ cat /etc/letsencrypt/renewal/caeszar.tk.conf

Apache veebiserveri värskelt SSL-i konfiguratsioonifaili vaatamiseks peaksite kontrollima ka faili /etc/letsencrypt/options-ssl-apache.conf .

12. Krüpteerime apache plugina ka mõningaid faile teie veebiserveri konfiguratsioonis. Muudetud failide kontrollimiseks loetlege kataloogi /etc/apache2/sites-enabled sisu.

# ls /etc/apache2/sites-enabled/
# sudo cat /etc/apache2/sites-enabled/000-default-le-ssl.conf

Praeguseks kõik! Järgmisel õpetuste seerial arutatakse, kuidas saate Nginxi veebiserveri jaoks Let’s Encrypt'i sertifikaati hankida ja installida ka Ubuntu ja Debiani ning CentOS-i.