Suojaa apache salaamalla ubuntu 18.04

Let's Encrypt on Internet Security Research Groupin (ISRG) luoma varmenteen myöntäjä. Se tarjoaa ilmaisia ​​SSL-varmenteita täysin automatisoidun prosessin avulla, joka on suunniteltu poistamaan manuaalinen varmenteiden luominen, validointi, asennus ja uusiminen.

Kaikkien tärkeimpien selainten luottamuksena ovat Let's Encryptin myöntämät varmenteet.

Tässä opetusohjelmassa annamme vaiheittaiset ohjeet siitä, kuinka suojata Apache-sovellus Let's Encrypt -sovelluksella käyttämällä certbot-työkalua Ubuntu 18.04: ssä.

edellytykset

Varmista, että olet täyttänyt seuraavat ehdot, ennen kuin jatkat tätä opastusta:

• Verkkotunnus, joka osoittaa julkisen palvelimen IP-osoitteeseen. Käytämme example.com . Sinulla on Apache asennettuna apache-virtuaalipalvelimeen verkkotunnuksellesi.

Asenna Certbot

Certbot on täysin varusteltu ja helppokäyttöinen työkalu, joka pystyy automatisoimaan Let's Encrypt SSL -sertifikaattien hankkimista ja uusimista sekä web-palvelimien määrittämistä koskevat tehtävät. Certbot-paketti sisältyy oletus Ubuntun arkistoihin.

Päivitä pakettiluettelo ja asenna certbot-paketti:

sudo apt update sudo apt install certbot

Luo vahva Dh (Diffie-Hellman) -ryhmä

Diffie – Hellman-avaintenvaihto (DH) on menetelmä salausavainten vaihtamiseksi turvallisesti suojaamattoman tietoliikennekanavan kautta. Aiomme luoda uuden sarjan 2048-bittisiä DH-parametreja turvallisuuden parantamiseksi:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048 Halutessasi voit muuttaa kokoa enintään 4096 bittiä, mutta tällöin luominen voi viedä yli 30 minuuttia järjestelmän entroopiasta riippuen.

Salamme SSL-varmenteen

SSL-varmenteen saamiseksi verkkotunnukselle aiomme käyttää Webroot-laajennusta, joka toimii luomalla väliaikaisen tiedoston ${webroot-path}/.well-known/acme-challenge verkkotunnuksen validoimiseksi ${webroot-path}/.well-known/acme-challenge hakemistossa ${webroot-path}/.well-known/acme-challenge . Let's Encrypt -palvelin tekee HTTP-pyyntöjä väliaikaiseen tiedostoon vahvistaakseen, että pyydetty verkkotunnus ratkaisee palvelimelle, jossa certbot toimii.

Yksinkertaistamiseksi aiomme kartoittaa kaikki. Hyvin .well-known/acme-challenge HTTP-pyynnöt yhteen hakemistoon, /var/lib/letsencrypt .

Seuraavat komennot luovat hakemiston ja tekevät siitä kirjoitettavan Apache-palvelimelle.

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp www-data /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

Koodin päällekkäisyyksien välttämiseksi luo seuraavat kaksi kokoonpanokatkelmaa:

/etc/apache2/conf-available/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS /etc/apache2/conf-available/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

Yllä oleva katkelma käyttää Cipherli.st: n suosittelemia hakkereita, mahdollistaa OCSP-nidonnan, HSTS-tiukan liikenneturvallisuuden (HSTS) ja valvoo muutamaa turvallisuuteen keskittynyttä

Varmista ennen määritystiedostojen käyttöönottoa, että sekä mod_ssl että mod_headers ovat käytössä antamalla:

sudo a2enmod ssl sudo a2enmod headers

Ota seuraavaksi käyttöön SSL-määritystiedostot suorittamalla seuraavat komennot:

sudo a2enconf letsencrypt sudo a2enconf ssl-params

Ota HTTP / 2-moduuli käyttöön, mikä tekee sivustosi nopeammiksi ja kestävämmiksi:

sudo a2enmod

Lataa Apache-asetukset uudelleen, jotta muutokset tulevat voimaan:

sudo systemctl reload apache2

Nyt voimme suorittaa Certbot-työkalun webroot-laajennuksen avulla ja hankkia SSL-varmennetiedostot kirjoittamalla:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Jos SSL-varmenne saadaan onnistuneesti, certbot tulostaa seuraavan viestin:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-10-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

Nyt kun sinulla on varmennetiedostot, muokkaa verkkotunnuksen virtuaalisen palvelimen kokoonpanoa seuraavasti:

/etc/apache2/sites-available/example.com.conf

ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration

Yllä olevalla kokoonpanolla pakotamme HTTPS: n ja ohjaamme www-osoitteesta muuhun kuin www-versioon. Voit vapaasti säätää kokoonpanoa tarpeidesi mukaan.

Lataa Apache-palvelu uudelleen, jotta muutokset tulevat voimaan:

sudo systemctl reload apache2

Voit nyt avata verkkosivustosi osoitteella https:// , ja huomaat vihreän lukituskuvakkeen.

Automaattinen uusiminen Let's Encrypt SSL -varmenne

Salatko varmenteet ovat voimassa 90 päivää. Voit uusia sertifikaatit automaattisesti ennen niiden voimassaolon päättymistä. Certbot-paketti luo cronjobin, joka suoritetaan kahdesti päivässä ja uusii sertifikaatit automaattisesti 30 päivää ennen niiden voimassaolon päättymistä.

Kun varmenne uusitaan, meidän on myös ladattava Apache-palvelu uudelleen. Lisää --renew-hook "systemctl reload apache2" tiedostoon /etc/cron.d/certbot siten, että se näyttää seuraavalta:

/etc/cron.d/certbot

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload apache2"

Voit testata uusimisprosessia käyttämällä certbot --dry-run -kytkintä:

sudo certbot renew --dry-run

Jos virheitä ei ole, uusimisprosessi onnistui.

johtopäätös

Tässä opetusohjelmassa käytit Let's Encrypt Client -sertifikaattia ladataksesi verkkotunnuksesi SSL-varmenteet. Olet myös luonut Apache-katkelmat koodin päällekkäisyyksien välttämiseksi ja määrittänyt Apachen käyttämään varmenteita. Opetusohjelman lopussa olet asettanut cronjob-sertifikaatin automaattiseen uusimiseen.

apache ubuntu salattava certbot ssl

Tämä viesti on osa kuinka asentaa-lamppu-pino-on-ubuntu-18-04-sarja.

Muut tämän sarjan viestit:

• Kuinka asentaa Apache Ubuntu 18.04 -versioon • Kuinka asentaa Apache-virtuaalipalvelimia Ubuntu 18.04 -sovellukseen • Suojaa Apache salaamalla Ubuntu 18.04 -sovellus