Sådan sikres Apache med gratis lader kryptere SSL-certifikat på Ubuntu og Debian


Du har et nyregistreret domænenavn, og din webserver fungerer med et SSL-selvunderskrevet certifikat udstedt af dig, der forårsager hovedpine for dine kunder, mens de besøger domænet på grund af certifikatets genererede fejl? Du har et begrænset budget, og du har ikke råd til at købe et certifikat udstedt af en betroet CA? Dette er, når Let’s Encrypt-software kommer på banen og redder dagen.

Hvis du ønsker at installere Lad os kryptere til Apache eller Nginx på RHEL, CentOS, Fedora eller Ubuntu og Debian, skal du følge disse vejledninger nedenfor:

Let’s Encrypt er en Certificate Authority (CA), der letter dig med at erhverve gratis SSL/TLS-certifikater, der er nødvendige for, at din server kan køre sikkert, hvilket giver en jævn browseroplevelse for dine brugere uden fejl.

Alle de nødvendige trin for at generere et certifikat er for det meste automatiseret til Apache webserver. På trods af din webserversoftware skal nogle trin imidlertid udføres manuelt, og certifikaterne skal installeres manuelt, især hvis dit webstedsindhold serveres af Nginx-dæmonen.

Denne vejledning vil guide dig om, hvordan du kan installere Lad os kryptere software på Ubuntu eller Debian, generere og få et gratis certifikat til dit domæne, og hvordan du manuelt kan installere certifikatet i Apache og Nginx webservere.

  1. Et offentligt registreret domænenavn med gyldige A poster for at pege tilbage til din server eksterne IP-adresse. Hvis din server står bag en firewall, skal du træffe de nødvendige foranstaltninger for at sikre, at din server er tilgængelig overalt fra internettet ved at tilføje regler for portoverføring på routersiden.
  2. Apache-webserver installeret med SSL-modul aktiveret og virtuel hosting aktiveret, hvis du er vært for flere domæner eller underdomæner.

Trin 1: Installer Apache og aktiver SSL-modul

1. Hvis du ikke allerede har installeret Apache-webserver på din maskine, skal du udstede følgende kommando for at installere apache-dæmonen.

$ sudo apt-get install apache2

2. SSL-modulaktivering til Apache-webserver på Ubuntu eller Debian, det er ret ligetil. Aktiver SSL-modul og aktiver apache-standard SSL-virtuel vært ved at udstede nedenstående kommandoer:

$ sudo a2enmod ssl
$ sudo a2ensite default-ssl.conf
$ sudo service apache2 restart
or
$ sudo systemctl restart apache2.service

Besøgende kan nu få adgang til dit domænenavn via HTTPS-protokol. Men fordi dit serversegnsignerede certifikat ikke er udstedt af en betroet certifikatmyndighed, vises en fejladvarsel i deres browsere som vist på billedet nedenfor.

https://yourdomain.com

Trin 2: Installer gratis Lad os kryptere klient

3. For at installere Lad os kryptere software på din server skal du have git-pakke installeret på dit system. Udsted følgende kommando for at installere git-software:

$ sudo apt-get -y install git

4. Vælg derefter en mappe fra dit systemhierarki, hvor du vil klone Lad os kryptere git-lageret. I denne vejledning bruger vi /usr/local/ -mappen som installationssti til Let's Encrypt.

Skift til /usr/local -mappen og installer letsencrypt-klient ved at udstede følgende kommandoer:

$ cd /usr/local
$ sudo git clone https://github.com/letsencrypt/letsencrypt

Trin 4: Generer et SSL-certifikat til Apache

5. Processen med at få et SSL-certifikat til Apache automatiseres takket være Apache-plugin. Generer certifikatet ved at udstede følgende kommando mod dit domænenavn. Angiv dit domænenavn som en parameter til -d flag.

$ cd /usr/local/letsencrypt
$ sudo ./letsencrypt-auto --apache -d your_domain.tld

For eksempel, hvis du har brug for certifikatet til at fungere på flere domæner eller underdomæner, skal du tilføje dem alle ved hjælp af -d -flagget for hver ekstra gyldige DNS-post efter basedomænenavnet.

$ sudo ./letsencrypt-auto --apache -d your_domain.tld  -d www. your_domain.tld 

6. Accepter licensen, indtast en e-mail-adresse til gendannelse, og vælg, om klienter kan gennemse dit domæne ved hjælp af både HTTP-protokoller (sikre og usikre) eller omdirigere alle ikke-sikre anmodninger til HTTPS.

7. Når installationen er afsluttet, vises en lykønskningsmeddelelse på din konsol, der informerer dig om udløbsdatoen, og hvordan du kan teste konfigurationen som illustreret på nedenstående skærmbilleder.

Nu skal du være i stand til at finde dine certifikatfiler i /etc/letsencrypt/live -mappen med en simpel katalogoversigt.

$ sudo ls /etc/letsencrypt/live

8. Endelig besøg følgende link for at bekræfte status for dit SSL-certifikat. Udskift domænenavnet i overensstemmelse hermed.

https://www.ssllabs.com/ssltest/analyze.html?d=your_domain.tld&latest

Besøgende kan også nu få adgang til dit domænenavn ved hjælp af HTTPS-protokol uden nogen fejl, der vises i deres webbrowsere.

Trin 4: Automatisk fornyelse lader kryptere certifikater

9. Som standard er certifikater udstedt af Let's Encrypt-autoritet gyldige i 90 dage. For at forny certifikatet inden udløbsdatoen skal du manuelt køre klienten igen ved hjælp af de nøjagtige flag og parametre som tidligere.

$ sudo ./letsencrypt-auto --apache -d your_domain.tld

Eller i tilfælde af flere underdomæner:

$ sudo ./letsencrypt-auto --apache -d your_domain.tld  -d www. your_domain.tld

10. Certifikatfornyelsesprocessen kan automatiseres til at køre på mindre end 30 dage før udløbsdatoen ved hjælp af Linux-plan cron-dæmon.

$ sudo crontab -e

Tilføj følgende kommando i slutningen af crontab-filen ved kun at bruge en linje:

0 1 1 */2 * cd /usr/local/letsencrypt && ./letsencrypt-auto certonly --apache --renew-by-default --apache -d domain.tld >> /var/log/domain.tld-renew.log 2>&1

11. Detaljer om din konfigurationsfil for fornyelsesdomæne til Let’s Encrypt-software findes i /etc/letsencrypt/renewal/ -mappen.

$ cat /etc/letsencrypt/renewal/caeszar.tk.conf

Du skal også kontrollere filen /etc/letsencrypt/options-ssl-apache.conf for at se den nye SSL-konfigurationsfil til Apache webserver.

12. Lad os også kryptere apache-plugin ændrer nogle filer i din webserverkonfiguration. For at kontrollere, hvilke filer der er blevet ændret, skal du liste indholdet af /etc/apache2/sites-enabled -mappen.

# ls /etc/apache2/sites-enabled/
# sudo cat /etc/apache2/sites-enabled/000-default-le-ssl.conf

Det er alt for nu! I den næste serie af tutorials vil vi diskutere, hvordan du kan få og installere et Lad os kryptere certifikat til Nginx webserver på Ubuntu og Debian og også på CentOS.