Selamat apache dengan menyulitkan pada centos 7

Let's Encrypt adalah kuasa perakuan bebas, automatik dan terbuka yang dibangunkan oleh Kumpulan Penyelidikan Keamanan Internet (ISRG). Sijil yang dikeluarkan oleh Let's Encrypt sah selama 90 hari dari tarikh terbitan dan dipercayai oleh semua pelayar utama hari ini.

Dalam tutorial ini, kami akan membincangkan langkah-langkah yang perlu untuk memasang secara percuma Mari Sijikan perakuan SSL pada pelayan CentOS 7 yang menjalankan Apache sebagai pelayan web. Kami akan menggunakan utiliti certbot untuk mendapatkan dan memperbaharui Sijil Encrypt Let.

Prasyarat

Pastikan bahawa anda telah memenuhi prasyarat berikut sebelum meneruskan dengan tutorial ini:

• Mempunyai nama domain yang menunjuk ke IP pelayan awam anda. Kami akan menggunakan example.com .Apache dipasang dan berjalan pada server anda. Memiliki hos maya Apache untuk domain anda.Ports 80 dan 443 terbuka di firewall anda.

Pasang pakej berikut yang diperlukan untuk pelayan web yang disulitkan SSL:

yum install mod_ssl openssl

Pasang Certbot

Certbot adalah alat yang memudahkan proses mendapatkan sijil SSL dari Let's Encrypt dan mengaktifkan HTTPS secara automatik pada pelayan anda.

Pakej certbot boleh dijumpai untuk pemasangan dari EPEL. Sekiranya repositori EPEL tidak dipasang pada sistem anda, anda boleh memasangnya dengan menggunakan arahan berikut:

sudo yum install epel-release

Setelah repository EPEL diaktifkan, pasangkan pakej certbot dengan menaip:

sudo yum install certbot

Menjana Kumpulan Dh (Diffie-Hellman) yang kuat

Pertukaran utama Diffie-Hellman (DH) adalah satu kaedah yang selamat bertukar kunci kriptografi ke atas saluran komunikasi yang tidak bercagar. Menjana set baru 2048 bit DH parameter untuk menguatkan keselamatan:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048 Anda boleh menukar saiz sehingga 4096 bit, tetapi dalam hal ini, generasi mungkin mengambil masa lebih dari 30 minit bergantung pada sistem entropi.

Mendapatkan Sijil Encik Sijil SSL

Untuk mendapatkan sijil SSL untuk domain kami, kami akan menggunakan plugin Webroot yang berfungsi dengan membuat fail sementara untuk mengesahkan domain yang diminta dalam direktori ${webroot-path}/.well-known/acme-challenge . Server Let's Encrypt membuat permintaan HTTP ke fail sementara untuk mengesahkan bahawa domain yang diminta menyelesaikan ke pelayan di mana sertbot berjalan.

Untuk menjadikannya lebih mudah, kami akan memetakan semua permintaan HTTP untuk .well-known/acme-challenge kepada direktori tunggal, /var/lib/letsencrypt .

Jalankan arahan berikut untuk membuat direktori dan tuliskan untuk pelayan Apache:

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp apache /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

Untuk mengelakkan kod duplikasi, buat dua coretan konfigurasi berikut:

/etc/httpd/conf.d/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS /etc/httpd/conf.d/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off

Potongan di atas menggunakan chippers yang dicadangkan oleh Cipherli.st, membolehkan OCSP Stapling, HTTP Strict Transport Security (HSTS) dan menguatkan sedikit kepala HTTP yang berfokus pada keselamatan.

Muat semula konfigurasi Apache untuk melaksanakan perubahan:

sudo systemctl reload

Sekarang, kita boleh menjalankan alat Certbot dengan plugin webroot dan mendapatkan fail sijil SSL dengan menaip:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Jika sijil SSL berjaya diperolehi, certbot akan mencetak mesej berikut:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-12-07. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

CentOS 7 kapal dengan Apache versi 2.4.6, yang tidak termasuk arahan SSLOpenSSLConfCmd . Arahan ini hanya terdapat pada Apache 2.4.8 kemudian, dan digunakan untuk konfigurasi parameter OpenSSL seperti pertukaran kunci Diffie-Hellman (DH).

Kita perlu membuat fail gabungan baru menggunakan sijil SSL Let's Encrypt dan fail DH yang dihasilkan. Untuk melakukan ini, ketik:

cat /etc/letsencrypt/live/example.com/cert.pem /etc/ssl/certs/dhparam.pem >/etc/letsencrypt/live/example.com/cert.dh.pem

Sekarang semua telah disediakan, edit konfigurasi hos maya domain anda seperti berikut:

/etc/httpd/conf.d/example.com.conf

ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration

Dengan konfigurasi di atas, kami memaksa HTTPS dan mengalihkan dari www ke versi bukan-www. Jatuh bebas untuk menyesuaikan konfigurasi mengikut keperluan anda.

Mulakan semula perkhidmatan Apache untuk perubahan yang berlaku:

sudo systemctl restart

Anda kini boleh membuka laman web anda menggunakan https:// dan anda akan melihat ikon kunci hijau.

Pembaharuan Auto Mari Sahkan sijil SSL

Mari sifatkan sijil sah selama 90 hari. Untuk memperbaharui sijil secara automatik sebelum tamat tempoh, kami akan membuat cronjob yang akan berjalan dua kali sehari dan secara automatik memperbaharui sijil 30 hari sebelum tamat tempohnya.

Jalankan arahan crontab untuk membuat cronjob baru yang akan memperbaharui sijil, membuat fail gabungan baru termasuk kekunci DH dan mulakan semula apache:

sudo crontab -e

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload

Simpan dan tutup fail.

Untuk menguji proses pembaharuan, anda boleh menggunakan arahan certbot yang diikuti oleh suis - suis kering:

sudo certbot renew --dry-run

Sekiranya tiada kesilapan, ia bermakna proses pembaharuan berjaya.

Kesimpulannya

Dalam tutorial ini, anda menggunakan Certify client Encrypt untuk memuat turun sijil SSL untuk domain anda. Anda juga telah membuat coretan Apache untuk mengelakkan kod pendua dan konfigurasi Apache untuk menggunakan sijil. Pada akhir tutorial, anda telah menyediakan cronjob untuk pembaharuan sijil automatik.

apache centos mari kita menyulitkan sijbot ssl

Jawatan ini adalah sebahagian daripada Stack Install LAMP pada siri CentOS 7.

Jawatan lain dalam siri ini:

• Bagaimana Memasang Apache pada CentOS 7 • Pasang MySQL pada CentOS 7 • Bagaimana Menyediakan Host Virtual Apache di CentOS 7 • Selamat Apache dengan Let's Encrypt pada CentOS 7