Kā nodrošināt Apache ar bezmaksas ļauj šifrēt SSL sertifikātu Ubuntu un Debian
Jums ir nesen reģistrēts domēna vārds, un jūsu tīmekļa serveris darbojas ar jūsu izsniegtu SSL pašparakstītu sertifikātu, kas izraisa galvassāpes jūsu klientiem, kamēr viņi apmeklē domēnu sertifikāta radīto kļūdu dēļ? Jums ir ierobežots budžets, un jūs nevarat atļauties iegādāties uzticamas SI izsniegtu sertifikātu? Tas ir, kad Let’s Encrypt programmatūra nonāk skatuves un ietaupa dienu.
Ja vēlaties instalēt Let’s Encrypt for Apache vai Nginx RHEL, CentOS, Fedora vai Ubuntu un Debian, rīkojieties šādi:
Let’s Encrypt ir sertifikātu pārvalde (CA), kas atvieglo bezmaksas SSL/TLS sertifikātu iegūšanu, kas nepieciešami jūsu servera drošai darbībai, nodrošinot vienmērīgu pārlūkošanas pieredzi lietotājiem bez kļūdām.
Visas sertifikāta ģenerēšanai nepieciešamās darbības galvenokārt ir automatizētas Apache tīmekļa serverim. Neskatoties uz jūsu tīmekļa servera programmatūru, dažas darbības ir jāveic manuāli un sertifikāti jāinstalē manuāli, it īpaši, ja jūsu vietnes saturu apkalpo Nginx dēmons.
Šī apmācība palīdzēs jums uzzināt, kā instalēt programmatūru Let’s Encrypt uz Ubuntu vai Debian, ģenerēt un iegūt bezmaksas sertifikātu savam domēnam un kā manuāli instalēt sertifikātu Apache un Nginx tīmekļa serveros.
- Publiski reģistrēts domēna vārds ar derīgu
Aierakstu, kas norāda uz servera ārējo IP adresi. Gadījumā, ja jūsu serveris atrodas aiz ugunsmūra, veiciet nepieciešamos pasākumus, lai nodrošinātu, ka jūsu serverim ir piekļuve vārdam visā pasaulē, maršrutētājā pievienojot porta pārsūtīšanas kārtulas. - Apache tīmekļa serveris, kas instalēts ar iespējotu SSL moduli un iespējotu virtuālo mitināšanu, ja mitināt vairākus domēnus vai apakšdomēnus.
1. darbība: instalējiet Apache un iespējojiet SSL moduli
1. Ja jūsu datorā vēl nav instalēts Apache tīmekļa serveris, izdodiet šādu komandu, lai instalētu apache dēmonu.
$ sudo apt-get install apache2
2. SSL moduļa aktivizēšana Apache tīmekļa serverim Ubuntu vai Debian ir diezgan vienkārša. Iespējojiet SSL moduli un aktivizējiet apache noklusējuma SSL virtuālo resursdatoru, izsniedzot šādas komandas:
$ sudo a2enmod ssl $ sudo a2ensite default-ssl.conf $ sudo service apache2 restart or $ sudo systemctl restart apache2.service
Apmeklētāji tagad var piekļūt jūsu domēna vārdam, izmantojot HTTPS protokolu. Tomēr, tā kā jūsu servera pašparakstītu sertifikātu izsniedz neuzticama sertifikātu iestāde, viņu pārlūkprogrammās tiks parādīts brīdinājums par kļūdu, kā parādīts zemāk esošajā attēlā.
https://yourdomain.com
2. darbība: instalējiet bezmaksas Let’s Encrypt Client
3. Lai savā serverī instalētu programmatūru Let’s Encrypt, sistēmā jābūt instalētai git pakotnei. Lai instalētu git programmatūru, izsniedziet šādu komandu:
$ sudo apt-get -y install git
4. Pēc tam no savas sistēmas hierarhijas izvēlieties direktoriju, kurā vēlaties klonēt Let’s Encrypt git repository. Šajā apmācībā mēs izmantosim direktoriju /usr/local/ kā instalēšanas ceļu Let’s Encrypt.
Pārslēdzieties uz direktoriju /usr/local un instalējiet letencrypt klientu, izsniedzot šādas komandas:
$ cd /usr/local $ sudo git clone https://github.com/letsencrypt/letsencrypt
4. darbība: ģenerējiet Apache SSL sertifikātu
5. Pateicoties Apache spraudnim, Apache SSL sertifikāta iegūšanas process tiek automatizēts. Ģenerējiet sertifikātu, izsniedzot šādu komandu pret savu domēna vārdu. Norādiet sava domēna nosaukumu kā parametru karodziņam -d .
$ cd /usr/local/letsencrypt $ sudo ./letsencrypt-auto --apache -d your_domain.tld
Piemēram, ja jums ir nepieciešams sertifikāts, lai darbotos vairākos domēnos vai apakšdomēnos, pievienojiet tos visus, izmantojot karodziņu -d katram papildus derīgam DNS ierakstam aiz bāzes domēna nosaukuma.
$ sudo ./letsencrypt-auto --apache -d your_domain.tld -d www. your_domain.tld
6. Piekrītiet licencei, ievadiet e-pasta adresi atkopšanai un izvēlieties, vai klienti var pārlūkot jūsu domēnu, izmantojot gan HTTP protokolus (drošus, gan nedrošus), vai novirzīt visus nedrošos pieprasījumus uz HTTPS.
7. Kad instalēšanas process ir veiksmīgi pabeigts, konsolē tiek parādīts apsveikuma ziņojums, kas informē jūs par derīguma termiņu un to, kā varat pārbaudīt konfigurāciju, kā parādīts zemāk esošajos ekrānuzņēmumos.
Tagad jums vajadzētu būt iespējai atrast savus sertifikātu failus direktorijā /etc/letsencrypt/live ar vienkāršu direktoriju sarakstu.
$ sudo ls /etc/letsencrypt/live
8. Visbeidzot, lai pārbaudītu sava SSL sertifikāta statusu, apmeklējiet šo saiti. Attiecīgi nomainiet domēna vārdu.
https://www.ssllabs.com/ssltest/analyze.html?d=your_domain.tld&latest
Arī apmeklētāji tagad var piekļūt jūsu domēna vārdam, izmantojot HTTPS protokolu, bez kļūdām, kas parādās viņu tīmekļa pārlūkprogrammās.
4. darbība: automātiskā atjaunošana ļauj šifrēt sertifikātus
9. Pēc noklusējuma iestādes Let’s Encrypt izsniegtie sertifikāti ir derīgi 90 dienas. Lai atjaunotu sertifikātu pirms derīguma termiņa beigām, klients vēlreiz manuāli jāpalaiž, izmantojot precīzus karodziņus un parametrus kā iepriekš.
$ sudo ./letsencrypt-auto --apache -d your_domain.tld
Vai arī vairāku apakšdomēnu gadījumā:
$ sudo ./letsencrypt-auto --apache -d your_domain.tld -d www. your_domain.tld
10. Sertifikāta atjaunošanas procesu var automatizēt, lai tas darbotos mazāk nekā 30 dienas pirms derīguma termiņa beigām, izmantojot Linux schedule cron dēmonu.
$ sudo crontab -e
Crontab faila beigās pievienojiet šādu komandu, izmantojot tikai vienu rindu:
0 1 1 */2 * cd /usr/local/letsencrypt && ./letsencrypt-auto certonly --apache --renew-by-default --apache -d domain.tld >> /var/log/domain.tld-renew.log 2>&1
11. Sīkāka informācija par atjaunošanas domēna konfigurācijas failu programmatūrai Let’s Encrypt atrodama direktorijā /etc/letsencrypt/atjaunošana/.
$ cat /etc/letsencrypt/renewal/caeszar.tk.conf
Jums vajadzētu arī pārbaudīt failu /etc/letsencrypt/options-ssl-apache.conf , lai apskatītu jauno Apache tīmekļa servera SSL konfigurācijas failu.
12. Turklāt šifrēsim apache spraudni, kas pārveido dažus failus jūsu tīmekļa servera konfigurācijā. Lai pārbaudītu, kuri faili tika modificēti, uzskaitiet direktorija /etc/apache2/sites-enabled saturu.
# ls /etc/apache2/sites-enabled/ # sudo cat /etc/apache2/sites-enabled/000-default-le-ssl.conf
Tas pagaidām ir viss! Nākamajā apmācību sērijā tiks apspriests, kā jūs varat iegūt un instalēt Nginx tīmekļa servera sertifikātu Let’s Encrypt Ubuntu un Debian, kā arī CentOS.