Jak nainstalovat Pojďme se zašifrovat pomocí Apache na CentOS 7

V tomto tutoriálu vám ukážeme, jak nainstalovat klienta Let's Encrypt CentOS 7 VPS a vydejte certifikát SSL pro vaši doménu.

Zvýšení zabezpečení vašeho webu pomocí šifrování SSL může zvýšit důvěru vašich návštěvníků ve váš web. V minulosti bylo nastavení šifrování SSL na webu komplikovaným úkolem. Let's Encrypt je však bezplatná a otevřená certifikační autorita (CA), která umožňuje získávání a instalaci certifikátů pomocí jednoduchých automatizovaných příkazů. Díky nim je nastavení šifrování a zvýšení zabezpečení vašeho webu mnohem snazší. Pojďme šifrovat poskytuje platný certifikát SSL pro vaši doménu bez jakýchkoli nákladů a lze jej také použít pro produkční / komerční použití.

Začněme s instalací - je to jednoduchá instalace a netrvá to dlouho.

Obsah

Předpoklady

  • Pro účely tohoto tutoriálu použijeme CentOS 7 VPS.
  • Rovněž je vyžadován úplný kořenový přístup SSH nebo uživatel s oprávněními sudo.
  • Platný název domény směřující na adresu IP vašeho serveru. V tomto tutoriálu budeme používat domain.com.

Krok 1: Připojte se přes SSH a aktualizujte OS

Připojte se k serveru pomocí SSH jako uživatel root pomocí následujícího příkazu:

ssh [chráněno e-mailem] IP_ADDRESS -p PORT_NUMBER

Nezapomeňte nahradit „IP_ADDRESS“ a „PORT_NUMBER“ příslušnou IP adresou vašeho serveru a číslem portu SSH.

Před zahájením instalace budete muset aktualizovat balíčky operačního systému na nejnovější verze. Je to snadné a nebude to trvat déle než několik minut.

Můžete to provést spuštěním následujícího příkazu:

yum aktualizace

Po dokončení aktualizací můžeme přejít k dalšímu kroku.

Krok 2: Nainstalujte zásobník LAMP

Musíme nainstalovat zásobník LAMP na server. Skládá se z Linuxu (který již máme), Apache, MySQL a PHP. Můžeme jej nainstalovat spuštěním následujícího příkazu:

yum install httpd mariadb-server php php-cli php-common

Po instalaci všech balíčků spusťte služby Apache a MariaDB:

systemctl start httpd systemctl start mariadb

Umožněte jim spuštění při spuštění serveru pomocí následujícího příkazu:

systemctl enable httpd systemctl enable mariadb

Krok 3: Konfigurace Apache

Musíme vytvořit nový konfigurační soubor Apache. Můžeme jej vytvořit pomocí následujícího příkazu:

nano /etc/httpd/conf.d/domain.com.conf

Přidejte následující řádky:

<VirtualHost *: 80> ServerAdmin [chráněn e-mailem] domain.com DocumentRoot "/ var / www / html" DirectoryIndex index.html ServerName domain.com ErrorLog "/var/log/httpd/domain.com.error_log" CustomLog "/ var /log/httpd/domain.com.access_log "common </VirtualHost>

Uložte a zavřete soubor.

Poté vytvořte index.html soubor pro účely testování s následujícím příkazem:

nano /var/www/html/index.html

Přidejte následující řádky:

<html> Test - Vítejte na webovém serveru Apache. </html>

Uložte soubor a změňte vlastníka souboru '/var/www/html/index.html' uživateli Apache, aby jej Apache mohl přečíst:

chown -R apache: apache /var/www/html/index.html

Nezapomeňte změnit domain.com s vaším skutečným názvem domény.
Nyní, když máme nainstalovaný Apache, můžeme pokračovat a nainstalovat certbot.

Krok 4: Nainstalujte Certbot

Musíme nainstalovat Certbot a povolit mod_ssl Modul Apache na serveru. Certbot je jednoduchý a snadno použitelný nástroj, který zjednodušuje správu serveru automatizací získávání certifikátů a konfigurací webových služeb, aby je používaly.

Ve výchozím nastavení není balíček Certbot k dispozici ve výchozím úložišti OS CentOS 7. Musíme povolit úložiště EPEL a nainstalovat Certbot.

Chcete-li přidat úložiště EPEL, spusťte následující příkaz:

yum nainstalovat epel-vydání

Po povolení nainstalujte všechny požadované balíčky pomocí následujícího příkazu:

yum install certbot python2-certbot-apache mod_ssl

Po instalaci můžeme přistoupit k dalšímu kroku.

Krok 5: Získejte a nainstalujte SSL pro svou doménu

Nyní, když je nainstalován Certbot, můžete jej použít k získání a instalaci certifikátu SSL pro vaši doménu.

Jednoduše spusťte následující příkaz k získání a instalaci certifikátu SSL pro vaši doménu:

certbot --apache -d domain.com

Můžeme také nainstalovat jeden certifikát pro více domén a subdomén hostovaných na serveru s příznakem '-d', např .:

certbot --apache -d domain.com -d www.domain.com -d doména2.com -d test.domain2.com

Budeme požádáni o poskytnutí e-mailové adresy a souhlasíme s podmínkami služby.

Ukládání protokolu ladění do /var/log/letsencrypt/letsencrypt.log Vybrané pluginy: Apache Authenticator, Apache Installer Zadejte e-mailovou adresu (používá se pro naléhavé obnovení a bezpečnostní upozornění) (zadejte 'c' pro zrušení): [chráněno e-mailem] Spuštění nové HTTPS připojení (1): acme-v02.api.letsencrypt.org - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Přečtěte si prosím smluvní podmínky na adrese https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. Chcete-li se zaregistrovat na serveru ACME, musíte souhlasit na https://acme-v02.api.letsencrypt.org/directory - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (A) gree / (C) ancel: A - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Byli byste ochotni sdílet svou e-mailovou adresu s Electronic Frontier Foundation, zakládajícím partnerem projektu Let's Encrypt a neziskovou organizací, která vyvíjí Certbot ? Chtěli bychom vám poslat e-mail o naší práci, která šifruje web, zprávy EFF, kampaně a způsoby podpory digitální svobody. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Ano ne: N Zahájení nového připojení HTTPS (1): supporter.eff.org Získání nového certifikátu Provedení následujících výzev: http-01 výzva pro doménu.com Čekání na ověření ... Čištění výzev Vytvořeno SSL vhost na / etc / httpd / conf.d / domain.com-le-ssl.conf Nasazení certifikátu na VirtualHost /etc/httpd/conf.d/domain.com-le-ssl.conf

Zadejte Y a stiskněte [Enter] a měli byste vidět následující výstup:

Zvolte, zda přesměrovat nebo nepřesměrovat provoz HTTP na HTTPS, a tím odebrat přístup HTTP. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1: Žádné přesměrování - Žádné další změny konfigurace webového serveru. 2: Přesměrování - Přesměrování všech požadavků pro zabezpečení přístupu HTTPS. Vyberte tuto možnost pro nové weby nebo pokud jste si jisti, že váš web funguje na HTTPS. Tuto změnu můžete vrátit úpravou konfigurace webového serveru. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Vyberte příslušné číslo [1-2] a poté [enter] (stiskněte 'c' pro zrušení): 2

Chcete-li pokračovat, musíte vybrat jednu z možností. Pokud zvolíte možnost 1, stáhne pouze certifikát SSL a pro použití certifikátu SSL musíte Apache ručně nakonfigurovat. Pokud zvolíte možnost 2, automaticky stáhne a nakonfiguruje Apache tak, aby používal SSL certifikát. V takovém případě zvolte možnost 2 a stiskněte [Enter]. Po úspěšném dokončení instalace se zobrazí zpráva podobná této:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Gratulujeme! Úspěšně jste povolili https://domain.com
DŮLEŽITÉ POZNÁMKY: - Blahopřejeme! Váš certifikát a řetězec byly uloženy na adrese: /etc/letsencrypt/live/domain.com-0001/fullchain.pem Soubor vašeho klíče byl uložen na: /etc/letsencrypt/live/domain.com-0001/privkey.pem platnost certifikátu vyprší v 2019-10-22. Chcete-li v budoucnu získat novou nebo vylepšenou verzi tohoto certifikátu, jednoduše spusťte certbot znovu pomocí volby „certonly“. Chcete-li neinteraktivně obnovit * všechny * svých certifikátů, spusťte „certbot restore“ - Pokud se vám Certbot líbí, zvažte podporu naší práce: Darováním do ISRG / Pojďme se zašifrovat: https://letsencrypt.org/donate Darováním do EFF: https://eff.org/donate-le

Generované soubory certifikátů jsou k dispozici v /etc/letsencrypt/live/domain.com adresář. Nově vytvořený certifikát SSL můžete zkontrolovat pomocí následujícího příkazu:

ls /etc/letsencrypt/live/domain.com/

Měli byste vidět následující výstup:

cert.pem chain.pem fullchain.pem privkey.pem

Krok 6: Zkontrolujte svůj SSL certifikát

Otevřete webový prohlížeč a zadejte adresu URL https://domain.com . Chcete-li zkontrolovat certifikát SSL v prohlížeči Chrome, klikněte na ikonu visacího zámku v adresním řádku na adrese https://domain.com a v rozbalovacím poli klikněte na příkaz „Platný“ pod výzvu „Certifikát“.

Krok 7: Nastavení automatické obnovy

Ve výchozím nastavení jsou certifikáty Let's Encrypt platné po dobu 90 dní, proto se doporučuje certifikát obnovit před vypršením jeho platnosti. V ideálním případě by bylo nejlepší automatizovat proces obnovy pro pravidelné kontroly a obnovení certifikátu.

Proces obnovy můžeme otestovat ručně pomocí následujícího příkazu.

certbot renew - dry-run

Výše uvedený příkaz automaticky zkontroluje aktuálně nainstalované certifikáty a pokusí se je obnovit, pokud jsou kratší než 30 dní od data vypršení platnosti.

Můžeme také přidat cronjob pro automatické spuštění výše uvedeného příkazu dvakrát denně.

Chcete-li tak učinit, upravte crontab pomocí následujícího příkazu:

crontab -e

Přidejte následující řádek:

* * / 12 * * * root / usr / bin / certbot restore> / dev / null 2> & 1

Uložte a zavřete soubor.

Gratulujeme! Úspěšně jsme nainstalovali a nakonfigurovali Pojďme Encrypt with Apache na CentOS 7 VPS.

Zanechat komentář