Varmista apache salaamalla sentos 7

Let's Encrypt on ilmainen, automatisoitu ja avoin sertifikaattien myöntäjä, jonka on kehittänyt Internet Security Research Group (ISRG). Let's Encryptin myöntämät varmenteet ovat voimassa 90 päivää myöntämispäivästä, ja kaikki nykyiset suuret selaimet luottavat niihin.

Tässä opetusohjelmassa käsittelemme vaiheet, jotka ovat tarpeen ilmaisen Let's Encrypt SSL -sertifikaatin asentamiseksi CentOS 7 -palvelimeen, joka käyttää Apache: ta web-palvelimena. Käytämme certbot-apuohjelmaa Let's Encrypt -sertifikaattien hankkimiseen ja uusimiseen.

edellytykset

Varmista, että olet täyttänyt seuraavat ehdot, ennen kuin jatkat tätä opastusta:

• Saa verkkotunnuksen osoittamaan julkisen palvelimen IP-osoitteeseen. Käytämme example.com .Apache on asennettu ja käynnissä palvelimellasi.Onko verkkotunnuksesi Apache-virtuaalinen isäntä.Portit 80 ja 443 ovat avoinna palomuurissasi.

Asenna seuraavat paketit, joita tarvitaan SSL-salattuun verkkopalvelimeen:

yum install mod_ssl openssl

Asenna Certbot

Certbot on työkalu, joka yksinkertaistaa SSL-varmenteiden hankkimisprosessia Let's Encrypt -sovelluksesta ja HTTPS-palvelun automaattisen käyttöönoton.

Certbot-paketti voidaan asentaa EPEL: ltä. Jos EPEL-arkistoa ei ole asennettu järjestelmään, voit asentaa sen seuraavalla komennolla:

sudo yum install epel-release

Kun EPEL-arkisto on otettu käyttöön, asenna certbot-paketti kirjoittamalla:

sudo yum install certbot

Luo vahva Dh (Diffie-Hellman) -ryhmä

Diffie – Hellman-avaintenvaihto (DH) on menetelmä salausavainten vaihtamiseksi turvallisesti suojaamattoman tietoliikennekanavan kautta. Luo uusi joukko 2048-bittisiä DH-parametreja turvallisuuden parantamiseksi:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048 Voit muuttaa kokoa enintään 4096 bittiä, mutta tällöin luominen voi viedä yli 30 minuuttia järjestelmän entroopiosta riippuen.

Salamme SSL-varmenteen

Saadaksesi verkkotunnuksellemme SSL-varmenteen aiomme käyttää Webroot-laajennusta, joka toimii luomalla väliaikaisen tiedoston vahvistaaksesi pyydetyn verkkotunnuksen ${webroot-path}/.well-known/acme-challenge hakemisto. Let's Encrypt -palvelin tekee HTTP-pyyntöjä väliaikaiseen tiedostoon vahvistaakseen, että pyydetty verkkotunnus ratkaisee palvelimelle, jossa certbot toimii.

Yksinkertaistamiseksi aiomme kartoittaa kaikki. Hyvin .well-known/acme-challenge HTTP-pyynnöt yhteen hakemistoon, /var/lib/letsencrypt .

Suorita seuraavat komennot luodaksesi hakemisto ja tehdä siitä kirjoitettavissa Apache-palvelimelle:

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp apache /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

Koodin päällekkäisyyksien välttämiseksi luo seuraavat kaksi kokoonpanokatkelmaa:

/etc/httpd/conf.d/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS /etc/httpd/conf.d/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off

Yllä oleva katkelma käyttää Cipherli.st: n suosittelemia hakkereita, mahdollistaa OCSP-nidonnan, HTTP-tiukan liikenneturvallisuuden (HSTS) ja valvoo muutamaa turvallisuuteen keskittynyttä

Lataa Apache-asetukset uudelleen, jotta muutokset tulevat voimaan:

sudo systemctl reload

Nyt voimme suorittaa Certbot-työkalun webroot-laajennuksen avulla ja hankkia SSL-varmennetiedostot kirjoittamalla:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Jos SSL-varmenne saadaan onnistuneesti, certbot tulostaa seuraavan viestin:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-12-07. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

CentOS 7 toimitetaan Apache-version 2.4.6 kanssa, joka ei sisällä SSLOpenSSLConfCmd direktiiviä. Tämä direktiivi on saatavana vain Apache 2.4.8: ssa myöhemmin, ja sitä käytetään OpenSSL-parametrien, kuten Diffie – Hellman-avaimenvaihto (DH), määrittämiseen.

Meidän on luotava uusi yhdistetty tiedosto käyttämällä Let's Encrypt SSL -varmennetta ja luomaa DH-tiedostoa. Kirjoita tämä kirjoittamalla:

cat /etc/letsencrypt/live/example.com/cert.pem /etc/ssl/certs/dhparam.pem >/etc/letsencrypt/live/example.com/cert.dh.pem

Nyt kun kaikki on asetettu, muokkaa verkkotunnuksen virtuaalisen palvelimen määrityksiä seuraavasti:

/etc/httpd/conf.d/example.com.conf

ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration

Yllä olevalla kokoonpanolla pakotamme HTTPS: n ja ohjaamme www-osoitteesta muuhun kuin www-versioon. Voit vapaasti säätää kokoonpanoa tarpeidesi mukaan.

Käynnistä Apache-palvelu uudelleen, jotta muutokset tulevat voimaan:

sudo systemctl restart

Voit nyt avata verkkosivustosi https:// ja huomaat vihreän lukituskuvakkeen.

Automaattinen uusiminen Let's Encrypt SSL -varmenne

Salatko varmenteet ovat voimassa 90 päivää. Jotta uusimme varmenteet automaattisesti ennen niiden voimassaolon päättymistä, luomme cronjob, joka suoritetaan kahdesti päivässä ja uusitaan automaattisesti kaikki varmenteet 30 päivää ennen niiden voimassaolon päättymistä.

Suorita crontab komento luodaksesi uuden cronjobin, joka uusii varmenteen, luo uuden yhdistetyn tiedoston, joka sisältää DH-avaimen, ja käynnistä apache uudelleen:

sudo crontab -e

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload

Tallenna ja sulje tiedosto.

Voit testata uusimisprosessin käyttämällä certbot-komentoa, jota seuraa --dry-run kytkin:

sudo certbot renew --dry-run

Jos virheitä ei ole, uusimisprosessi onnistui.

johtopäätös

Tässä opetusohjelmassa käytit Let's Encrypt Client -sertifikaattia ladataksesi verkkotunnuksesi SSL-varmenteet. Olet myös luonut Apache-katkelmat koodin päällekkäisyyksien välttämiseksi ja määrittänyt Apachen käyttämään varmenteita. Opetusohjelman lopussa olet asettanut cronjob-sertifikaatin automaattiseen uusimiseen.

apache centos salataan certbot ssl

Tämä viesti on osa Install LAMP Stack -sovellusta CentOS 7 -sarjassa.

Muut tämän sarjan viestit:

• Kuinka asentaa Apache CentOS 7: ään • Asenna MySQL CentOS 7: ään • Kuinka asentaa Apache-virtuaalisia isäntiä CentOS 7: ään • Suojaa Apache salauksella CentOS 7: llä