Sikker Apache med Lader kryptere SSL-certifikat på CentOS 8
Sikring af din webserver er altid en af de nøglefaktorer, som du bør overveje, før du går live med dit websted. Et sikkerhedscertifikat er afgørende for at sikre trafik, der sendes fra webbrowsere til webservere, og dermed inspirerer det brugerne til at udveksle data med dit websted i fuld viden om, at den sendte trafik er sikret.
I de fleste tilfælde betales og fornyes sikkerhedscertifikater årligt. Lad os kryptere certifikat er en gratis, åben og automatiseret certifikatmyndighed, som du kan bruge til at kryptere dit websted. Certifikatet udløber hver 90. dag og fornyes automatisk uden omkostninger.
Anbefalet læsning: Sådan sikres Nginx med Lad os kryptere på CentOS 8
I denne artikel viser vi dig, hvordan du kan installere Lad os kryptere certifikat med Certbot til Apache-webserver og senere konfigurere certifikatet til automatisk fornyelse på CentOS 8.
Før du kommer i gang, skal du sikre dig, at du har følgende på plads:
1. En forekomst af CentOS 8-server med Apache HTTP-webserver installeret og kører. Du kan bekræfte, at din apache-webserver er i gang.
$ sudo dnf install httpd $ sudo systemctl status httpd
2. Et fuldt kvalificeret domænenavn (FQDN), der peger på din webserveres offentlige IP-adresse på din DNS-webhostudbyder. I denne vejledning bruger vi linuxtechwhiz.info , der peger på serverens IP 34.67.63.136 .
Trin 1. Installer Certbot i CentOS 8
Certbot er en klient, der automatiserer installationen af sikkerhedscertifikatet. Det henter certifikatet fra Lad os kryptere myndighed og distribuerer det på din webserver uden meget besvær.
Certbot er helt gratis og giver dig mulighed for at installere certifikatet på en interaktiv måde ved at generere instruktioner baseret på din webservers konfiguration.
Før du downloader certbot, skal du først installere pakker, der er nødvendige for konfigurationen af en krypteret forbindelse.
$ sudo dnf install mod_ssl openssl
Download certbot ved hjælp af curl-kommandoen.
$ sudo curl -O https://dl.eff.org/certbot-auto
Dernæst skal du flytte certbot-filen til mappen /usr/local/bin og tildele de udførte filtilladelser.
$ sudo mv certbot-auto /usr/local/bin $ sudo chmod 755 /usr/local/bin/certbot-auto
Trin 2: Opret en Apache Virtual Host
Det næste trin vil være at oprette en virtuel værtsfil til vores domæne - linuxtechwhiz.info . Start med først at oprette dokumentroden, hvor du placerer dine HTML-filer.
$ sudo mkdir /var/www/linuxtechwhiz.info.conf
Opret en test index.html -fil som vist.
$ sudo echo “<h1>Welcome to Apache HTTP server</h1>” > /var/www/linuxtechwhiz.info/index.html
Opret derefter en virtuel værtsfil som vist.
$ sudo vim /etc/httpd/conf.d/linuxtechwhiz.info
Tilføj konfigurationen nedenfor.
<VirtualHost *:443>
ServerName linuxtechwhiz.info
ServerAlias www.linuxtechwhiz.info
DocumentRoot /var/www/linuxtechwhiz.info/
<Directory /var/www/linuxtechwhiz.info/>
Options -Indexes +FollowSymLinks
AllowOverride All
</Directory>
ErrorLog /var/log/httpd/www.linuxtechwhiz.info-error.log
CustomLog /var/log/httpd/www.linuxtechwhiz.info-access.log combined
</VirtualHost>
Gem og luk.
Tildel tilladelserne til dokumentroden som vist.
$ sudo chown -R apache:apache /var/www/linuxtechwhiz.info
For at ændringerne skal træde i kraft, skal du genstarte Apache-tjenesten.
$ sudo systemctl restart httpd
Trin 3: Installer Lad os kryptere SSL-certifikat på CentOS 8
Kør nu certbot som vist for at starte installationen af Lad os kryptere certifikat.
$ sudo /usr/local/bin/certbot-auto --apache
Et antal Python-pakker installeres vist nedenfor.
Når installationen af pakkerne er vellykket, vil certbot starte en interaktiv kommandolinjesession, der vil guide dig med installationen af Lad os kryptere certifikat.
Hvis alt gik godt, skal du modtage en lykønskningsmeddelelse i slutningen, der fortæller dig, at dit websted er blevet sikret ved hjælp af Lad os kryptere certifikat. Dit certifikats gyldighed vises også - hvilket normalt er efter 90 dage efter implementeringen.
Gå nu tilbage til din virtuelle værtsfil, og tilføj følgende konfigurationslinjer.
SSLEngine On SSLCertificateFile /etc/letsencrypt/live/linuxtechwhiz.info/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/linuxtechwhiz.info/privkey.pem
Gem og luk.
Den endelige konfiguration af den virtuelle Apache-vært vil se sådan ud:
<VirtualHost *:443>
ServerName linuxtechwhiz.info
ServerAlias www.linuxtechwhiz.info
DocumentRoot /var/www/linuxtechwhiz.info/
<Directory /var/www/linuxtechwhiz.info/>
Options -Indexes +FollowSymLinks
AllowOverride All
</Directory>
ErrorLog /var/log/httpd/www.linuxtechwhiz.info-error.log
CustomLog /var/log/httpd/www.linuxtechwhiz.info-access.log combined
SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/linuxtechwhiz.info/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/linuxtechwhiz.info/privkey.pem
</VirtualHost>
Genstart Apache igen.
$ sudo systemctl restart httpd
Trin 4: Bekræftelse af Lad os kryptere SSL-certifikat
For at kontrollere, at alt fungerer, skal du starte din browser og besøge serverens IP-adresse. Du skal nu se et hængelås-symbol i starten af URL'en.
For at få flere detaljer skal du klikke på hængelås-symbolet og klikke på indstillingen 'Certifikat' i rullemenuen, der vises.
Certifikatoplysningerne vises i det næste pop op-vindue.
Du kan også teste din server på https://www.ssllabs.com/ssltest/ , og dit websted skal have en 'A' -kvalitet som vist.
Trin 5: Forny automatisk Lad os kryptere SSL-certifikat
Lets Encrypt er kun gyldig i 90 dage. Normalt udføres fornyelsesprocessen af certbot-pakken, der tilføjer et fornyelseskript til /etc/cron.d-biblioteket. Scriptet kører to gange dagligt og fornyer automatisk ethvert certifikat inden for 30 dage efter udløbet.
For at teste den automatiske fornyelsesproces skal du udføre en tørkørselstest med certbot.
$ sudo /usr/local/bin/certbot-auto renew --dry-run
Hvis der ikke blev stødt på nogen fejl, betyder det, at du er god at gå.
Dette bringer os til slutningen af denne vejledning. I denne vejledning demonstrerede vi, hvordan du kan bruge certbot til at installere og konfigurere Lad os kryptere certifikat på Apache-webserver, der kører på et CentOS 8-system.