Selamat apache dengan mari menyulitkan pada centos 8

Let's Encrypt adalah pihak berkuasa perakuan percuma, automatik dan terbuka yang dibangunkan oleh Kumpulan Penyelidikan Keamanan Internet (ISRG) yang menyediakan sijil SSL percuma.

Sijil yang dikeluarkan oleh Let's Encrypt dipercayai oleh semua pelayar utama dan sah selama 90 hari dari tarikh terbitan.

Tutorial ini menerangkan cara memasang secara percuma Mari Sijikan perakuan SSL pada CentOS 8 yang menjalankan Apache sebagai pelayan web. Kami akan menggunakan alat certbot untuk mendapatkan dan memperbaharui sijil.

Prasyarat

Pastikan prasyarat yang berikut dipenuhi sebelum meneruskan:

• Mempunyai nama domain yang menunjuk ke IP pelayan awam anda. Kami akan menggunakan example.com .Apache dipasang dan berjalan pada pelayan anda dengan hos maya yang dikonfigurasikan untuk domain anda.Ports 80 dan 443 terbuka di firewall anda.

Pasang pakej berikut yang diperlukan untuk pelayan web yang disulitkan SSL:

sudo dnf install mod_ssl openssl

Apabila pakej mod_ssl dipasang, ia mesti membuat fail utama dan fail sijil ditandatangani untuk localhost. Jika fail tidak dicipta secara automatik, anda boleh membuatnya menggunakan perintah openssl :

sudo openssl req -newkey rsa:4096 -x509 -sha256 -days 3650 -nodes \ -out /etc/pki/tls/certs/localhost.crt \ -keyout /etc/pki/tls/private/localhost.key

Pasang Certbot

Certbot adalah alat baris arahan percuma yang memudahkan proses mendapatkan dan memperbaharui Sijil Sijil SSL dari HTTPS dan mengaktifkan HTTPS pada pelayan anda.

Pakej certbot tidak termasuk dalam repositori CentOS 8 standard, tetapi ia boleh dimuat turun dari laman web vendor.

Jalankan perintah wget berikut sebagai root atau sudo pengguna untuk memuat turun script certbot ke direktori /usr/local/bin :

sudo wget -P /usr/local/bin

Sebaik sahaja muat turun selesai, buat fail boleh laku:

sudo chmod +x /usr/local/bin/certbot-auto

Menjana Kumpulan Dh (Diffie-Hellman) yang kuat

Pertukaran utama Diffie-Hellman (DH) adalah satu kaedah yang selamat bertukar kunci kriptografi ke atas saluran komunikasi yang tidak bercagar. Menjana set baru 2048 bit DH parameter untuk menguatkan keselamatan:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Anda boleh menukar saiz sehingga 4096 bit, tetapi generasi mungkin mengambil masa lebih daripada 30 minit bergantung kepada entropi sistem.

Mendapatkan Sijil Encik Sijil SSL

Untuk mendapatkan sijil SSL untuk domain kami akan menggunakan plugin Webroot yang berfungsi dengan membuat fail sementara untuk mengesahkan domain yang diminta dalam direktori ${webroot-path}/.well-known/acme-challenge . Server Let's Encrypt membuat permintaan HTTP ke fail sementara untuk mengesahkan bahawa domain yang diminta menyelesaikan ke pelayan di mana sertbot berjalan.

Untuk membuat persediaan lebih mudah, kami akan memetakan semua permintaan HTTP untuk .well-known/acme-challenge ke direktori tunggal, /var/lib/letsencrypt .

Jalankan perintah berikut untuk mencipta direktori dan membuatnya boleh ditulis untuk pelayan Apache.

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp apache /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

Untuk mengelakkan kod duplikat dan membuat konfigurasi lebih banyak boleh dipelihara, buat dua coretan konfigurasi berikut:

/etc/httpd/conf.d/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS /etc/httpd/conf.d/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM # Requires Apache 2.4.36 & OpenSSL 1.1.1 SSLProtocol -all +TLSv1.3 +TLSv1.2 SSLOpenSSLConfCmd Curves X25519:secp521r1:secp384r1:prime256v1 # Older versions # SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

Potongan di atas menggunakan chippers yang dicadangkan oleh Cipherli.st. Ia membolehkan Stapling OCSP, HTTP Strict Transport Security (HSTS), kunci DH, dan menguatkan beberapa kepala HTTP yang fokus kepada keselamatan.

Muat semula konfigurasi Apache untuk melaksanakan perubahan:

sudo systemctl reload

Kini, anda boleh menjalankan skrip certbot dengan plugin webroot dan mengambil fail sijil SSL:

sudo /usr/local/bin/certbot-auto certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Apabila berjaya, certbot akan mencetak mesej berikut:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2020-01-26. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

Sekarang semua telah disediakan, edit konfigurasi hos maya domain anda seperti berikut:

/etc/httpd/conf.d/example.com.conf

ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration

Konfigurasi di atas memaksa HTTPS dan mengalihkan dari www ke versi bukan-www. Ia juga membolehkan HTTP / 2, yang akan menjadikan tapak anda lebih cepat dan lebih mantap. Jatuh bebas untuk menyesuaikan konfigurasi mengikut keperluan anda.

Mulakan semula perkhidmatan Apache:

sudo systemctl restart

Anda kini boleh membuka laman web anda menggunakan https:// , dan anda akan melihat ikon kunci hijau.

Pembaharuan Auto Mari Sahkan sijil SSL

Mari sifatkan sijil sah selama 90 hari. Untuk memperbaharui sijil secara automatik sebelum tamat tempoh, kami akan membuat cronjob yang akan berjalan dua kali sehari dan secara automatik memperbaharui sijil 30 hari sebelum tamat tempohnya.

Jalankan arahan berikut untuk membuat cronjob baru yang akan memperbaharui sijil dan memulakan semula Apache:

echo "0 0, 12 * * * root python3 -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/bin/certbot-auto -q renew --renew-hook \"systemctl reload httpd\"" | sudo tee -a /etc/crontab > /dev/null

Untuk menguji proses pembaharuan, gunakan arahan certbot diikuti oleh suis - suis kering:

sudo /usr/local/bin/certbot-auto renew --dry-run

Sekiranya tiada kesilapan, ia bermakna proses pembaharuan berjaya.

Kesimpulannya

Dalam tutorial ini, kami bercakap tentang cara menggunakan Let's enkripsi klien certbot pada CentOS untuk mendapatkan sijil SSL untuk domain anda. Anda juga telah menunjukkan kepada anda bagaimana untuk mengkonfigurasi Apache untuk menggunakan sijil dan menyediakan cronjob untuk pembaharuan sijil automatik.

Untuk mengetahui lebih lanjut mengenai skrip Certbot, lawati dokumentasi Certbot.

apache centos mari kita menyulitkan sijbot ssl