Prodloužení posledního Pojďme šifrovat tutoriál pokud jde o bezplatné certifikáty SSL/TLS, v tomto článku ukážeme, jak získat a nainstalovat bezplatné certifikáty SSL/TLS vydané Zašifrujeme certifikační autoritu pro Apache zapnutý webový server CentOS/RHEL 7/6 a také distribuce Fedory.
Pokud chcete nainstalovat Let’s Encrypt for Apache na Debian a Ubuntu, postupujte podle tohoto průvodce níže:
Nastavení Pojďme šifrovat pro zabezpečení Apache na Debianu a Ubuntu
A
záznamy směřující zpět na veřejnou IP adresu vašeho serveru.1. Pokud ještě není nainstalován, démon httpd lze nainstalovat zadáním následujícího příkazu:
# yum nainstalovat httpd.
2. Aby šifrovací software Let’s fungoval s Apache, zajistěte, aby byl modul SSL/TLS nainstalován zadáním následujícího příkazu:
# yum -y nainstalovat mod_ssl.
3. Nakonec spusťte server Apache následujícím příkazem:
# systemctl start httpd.service [Na RHEL/CentOS 7] # služba httpd start [Na RHEL/CentOS 6]
4. Nejjednodušší způsob instalace Pojďme šifrovat klient je klonováním úložiště github ve vašem souborovém systému. Chcete -li do svého systému nainstalovat git, musíte povolit úložiště Epel pomocí následujícího příkazu.
# yum nainstalovat epel-release.
5. Jakmile jsou úložiště Epel přidána do vašeho systému, pokračujte a nainstalujte klienta git spuštěním níže uvedeného příkazu:
# yum nainstalovat git.
6. Nyní, když jste nainstalovali všechny požadované závislosti, abyste se mohli vypořádat s Let’s Encrypt, přejděte na /usr/local/
adresář a začněte tahat klienta Let’s Encrypt z oficiálního úložiště github pomocí následujícího příkazu:
# cd/usr/local/ # git klon https://github.com/letsencrypt/letsencrypt.
7. Proces získávání bezplatného certifikátu Let’s Encrypt pro Apache je automatizován CentOS/RHEL díky pluginu apache.
Utíkejme Pojďme šifrovat skript za účelem získání certifikátu SSL. Přejděte do instalačního adresáře Let's Encrypt from /usr/local/letsencrypt
a spusťte letsencrypt-auto
povel poskytnutím --apache
možnost a -d
vlajka pro každou subdoménu potřebujete certifikát.
# cd/usr/local/letsencrypt. # ./letsencrypt-auto --apache -d vaše_doména.tld
8. Zadejte e -mailovou adresu, kterou použije Let’s Encrypt k obnovení ztraceného klíče nebo pro naléhavá oznámení, a stiskněte Vstupte pokračovat.
9. Souhlasíte s podmínkami licence stisknutím klávesy Enter.
10. Na CentOS/RHELVe výchozím nastavení server Apache nepoužívá koncept oddělení adresářů pro povolené hostitele od dostupných (neaktivních) hostitelů jako Debian založená distribuce dělat.
Také virtuální hosting je ve výchozím nastavení zakázán. Příkaz Apache, který určuje název serveru (Název serveru) není k dispozici v konfiguračním souboru SSL.
K aktivaci této směrnice vás Let’s Encrypt vyzve k výběru virtuálního hostitele. Protože nenajde žádný dostupný Vhost, vyberte ssl.conf
soubor, který má být automaticky upraven klientem Let’s Encrypt, a stiskněte Vstupte pokračovat.
11. Dále vyberte Snadný metoda pro HTTP žádosti a stiskněte Vstupte pohybovat se vpřed.
12. Pokud vše proběhlo hladce, měla by se na obrazovce zobrazit zpráva s gratulací. lis Vstupte výzvu uvolnit.
A je to! Úspěšně jste vydali a SSL/TLS certifikát pro vaši doménu. Nyní můžete začít procházet svůj web pomocí HTTPS protokol.
13. Chcete -li otestovat přímost handshake vaší domény SSL/TLS, navštivte níže uvedený odkaz a otestujte svůj certifikát na vaší doméně.
https://www.ssllabs.com/ssltest/analyze.html.
14. Pokud během provedených testů obdržíte řadu zpráv týkajících se zranitelnosti vaší domény, musíte tyto bezpečnostní díry urychleně opravit.
Celkové hodnocení C třída dělá vaši doménu velmi nejistou. Chcete -li tyto problémy se zabezpečením vyřešit, otevřete konfigurační soubor Apache SSL a proveďte následující změny:
# vi /etc/httpd/conf.d/ssl.conf.
Hledat řádek s SSL Protokol
prohlášení a přidat -SSLv3
na konci řádku.
Přejděte hlouběji do souboru, vyhledejte a okomentujte řádek pomocí SSLCipherSuite
umístěním a #
před něj a přidejte následující obsah pod tento řádek:
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-AES256-GCM-SHA384: DHE-RSA-A DHE-DSS-AES128-GCM-SHA256: kEDH+AESGCM: ECDHE-RSA-AES128-SHA256: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA: ECDHE-ECDSA-AES128-SHA: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-A RSA-AES256-SHA: ECDHE-ECDSA-AES256-SHA: DHE-RSA-AES128-SHA256: DHE-RSA-AES128-SHA: DHE-DSS-AES128-SHA256: DHE-RSA-AES256-SHA256: DHE-DSS-AES256-SHA: DHE- RSA-AES256-SHA: AES128-GCM-SHA256: AES256-GCM-SHA384: AES128-SHA256: AES256-SHA256: AES128-SHA: AES256-SHA: AES: CAMELLIA: DES-CBC3-SHA:! ANULL:! ENULL:! EXPORT:! DES:! RC4:! MD5:! PSK:! AECDH:! EDH-DSS-DES-CBC3-SHA:! EDH-RSA-DES-CBC3- SHA:! KRB5-DES-CBC3-SHA. Objednávka SSLHonorCipher je zapnutá. SSLOptions +StrictRequire.
15. Jakmile provedete všechny výše uvedené změny, uložte a zavřete soubor a poté restartujte démona Apache, aby se změny projevily.
# systemctl restart httpd.service [Na RHEL/CentOS 7] # služba httpd restart [Na RHEL/CentOS 6]
16. Nyní znovu otestujte stav šifrování vaší domény tak, že navštívíte stejný odkaz jako výše. Chcete -li provést opakované testy, klikněte na webu na odkaz Vymazat mezipaměť.
https://www.ssllabs.com/ssltest/analyze.html
Nyní byste měli dostat třídu A celkové hodnocení, což znamená, že vaše doména je vysoce zabezpečená.
17. Tato beta verze softwaru Let’s Encrypt vydává certifikáty s vypršením platnosti po 90 dny. Chcete -li obnovit certifikát SSL, musíte spustit letsencrypt-auto
příkaz znovu před datem vypršení platnosti, se stejnými možnostmi a příznaky použitými k získání počátečního certifikátu.
Níže je uveden příklad ručního obnovení certifikátu.
# cd/usr/local/letsencrypt. # ./letsencrypt-auto certonly --apache --renew-by-default -d your_domain.tld.
18. Chcete -li tento proces zautomatizovat, vytvořte následující skript bash poskytovaný uživatelem github erikaheidi, v /usr/local/bin/
adresář s následujícím obsahem. (skript je mírně upraven tak, aby odrážel náš instalační adresář letsencrypt).
# vi/usr/local/bin/le-renew-centos.
Přidejte následující obsah do le-renew-centos
soubor:
!/bin/bash doména = $ 1. le_path = '/usr/local/letsencrypt' le_conf = '/etc/letsencrypt' exp_limit = 30; get_domain_list () {certdomain = $ 1 config_file = "$ le_conf/renewal/$ certdomain.conf" pokud [! -f $ konfigurační_soubor]; pak echo "[CHYBA] Konfigurační soubor pro certifikát $ certdomain nebyl nalezen." exit 1; fi domény = $ (grep --only-matching --perl-regex "(? <= domains \ =).*" "$ {config_file}") last_char = $ (echo "$ {domains}" | awk '{ tisk substr ($ 0, délka, 1)} '), pokud ["$ {last_char}" = ","]; pak domény = $ (echo "$ {domains}" | awk '{print substr ($ 0, 1, length-1)}') fi echo $ domains; } if [-z "$ doména"]; poté zopakujte „[CHYBA] musíte zadat název domény pro obnovení certifikátu.“ exit 1; fi cert_file = "/etc/letsencrypt/live/$ domain/fullchain.pem" pokud [! -f $ cert_file]; poté zopakujte „Soubor certifikátu [ERROR] nebyl nalezen pro doménu $ doména.“ exit 1; fi exp = $ (date -d "` openssl x509 -in $ cert_file -text -noout | grep "Not After" | cut -c 25 -`" +%s) datenow = $ (datum -d "nyní" +%s) days_exp = $ (echo \ ($ exp - $ datenow \) / 86400 | bc) echo "Kontrola data vypršení platnosti pro $ doménu ...", pokud ["$ days_exp" -gt "$ exp_limit"]; poté zopakujte „Certifikát je aktuální, není třeba jej obnovovat (zbývá $ days_exp dní).“ exit 0; else echo „Platnost certifikátu pro $ doménu brzy vyprší. Spouštění žádosti o obnovení... "domain_list = $ (get_domain_list $ domain)" $ le_path "/letsencrypt-auto certonly --apache --renew-by-default --domény "$ {domain_list}" echo "Restartování Apache ..."/usr/bin/systemctl restart httpd echo "Proces obnovy pro doménu $ doména dokončen" exit 0; fi.
19. Udělte oprávnění ke spuštění skriptu, nainstalujte před naším letopočtem zabalte a spusťte skript, abyste jej mohli otestovat. Jako poziční parametr skriptu použijte název své domény. K provedení tohoto kroku zadejte následující příkazy:
# yum nainstalovat bc. # chmod +x/usr/local/bin/le-renew-centos. #/usr/local/bin/le-renew-centos your_domain.tld.
20. Nakonec pomocí plánování Linuxu přidejte novou úlohu cron, abyste mohli skript spouštět každé dva měsíce a zajistili, že váš certifikát bude aktualizován před datem vypršení platnosti.
# crontab -e.
Přidejte následující řádek do spodní části souboru.
0 1 1 */2 */usr/local/bin/le-renew-centos your_domain.tld >> /var/log/your_domain.tld-renew.log 2> & 1.
A je to! Váš server Apache běží nad CentOS/RHEL systém nyní poskytuje obsah SSL pomocí bezplatného certifikátu Let’s Encrypt SSL.