Let's Encrypt — это бесплатный, автоматизированный и открытый центр сертификации, разработанный Группой исследований интернет-безопасности (ISRG). Сертификаты, выдаваемые Let's Encrypt, действительны в течение 90 дней с даты выпуска и признаются доверенными всеми основными браузерами.
В этом руководстве мы рассмотрим шаги, необходимые для установки бесплатного SSL-сертификата Let's Encrypt на сервер CentOS 7, использующий Apache в качестве веб-сервера. Для получения и обновления сертификатов Let's Encrypt мы будем использовать утилиту certbot.
Предпосылки
Прежде чем продолжить изучение этого руководства, убедитесь, что выполнены следующие предварительные условия:
- Укажите доменное имя, указывающее на IP-адрес вашего публичного сервера. Мы будем использовать
example.com. - Apache установлен и запущен на вашем сервере.
- Используйте виртуальный хост Apache для вашего домена.
- Порты 80 и 443 открыты в вашем брандмауэре .
Установите следующие пакеты, необходимые для веб-сервера с шифрованием SSL:
yum install mod_ssl openssl
Установить Certbot
Certbot — это инструмент, который упрощает процесс получения SSL-сертификатов от Let's Encrypt и автоматического включения HTTPS на вашем сервере.
Пакет certbot доступен для установки из репозитория EPEL. Если репозиторий EPEL не установлен в вашей системе, вы можете установить его с помощью следующей команды:
sudo yum install epel-release
После включения репозитория EPEL установите пакет certbot, введя:
sudo yum install certbot
Генерация сильной группы Dh (Diffie-Hellman)
Обмен ключами Диффи–Хеллмана (DH) — это метод безопасного обмена криптографическими ключами по незащищённому каналу связи. Создайте новый набор 2048-битных параметров DH для повышения безопасности:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
Вы можете изменить размер до 4096 бит, но в этом случае генерация может занять более 30 минут в зависимости от энтропии системы.
Получение SSL-сертификата Let's Encrypt
Чтобы получить SSL-сертификат для нашего домена, мы воспользуемся плагином Webroot, который создаёт временный файл для проверки запрашиваемого домена в каталоге ${webroot-path}/.well-known/acme-challenge . Сервер Let's Encrypt отправляет HTTP-запросы к этому временному файлу, чтобы убедиться, что запрашиваемый домен соответствует серверу, на котором запущен certbot.
Чтобы упростить задачу, мы собираемся сопоставить все HTTP-запросы для .well-known/acme-challenge с одним каталогом, /var/lib/letsencrypt .
Выполните следующие команды, чтобы создать каталог и сделать его доступным для записи для сервера Apache:
sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp apache /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt
Чтобы избежать дублирования кода, создайте следующие два фрагмента конфигурации:
/etc/httpd/conf.d/letsencrypt.conf
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" "/var/lib/letsencrypt/" > AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS
/etc/httpd/conf.d/ssl-params.conf
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options SAMEORIGIN Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off
Приведенный выше фрагмент включает рекомендуемые чипперы, включает OCSP Stapling, HTTP Strict Transport Security (HSTS) и применяет несколько HTTP-заголовков, ориентированных на безопасность.
Перезагрузите конфигурацию Apache, чтобы изменения вступили в силу:
sudo systemctl reload httpd
Теперь мы можем запустить инструмент Certbot с плагином webroot и получить файлы сертификата SSL, введя:
sudo certbot certonly --agree-tos --email admin@example.com --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com
Если SSL-сертификат успешно получен, certbot выведет следующее сообщение:
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-12-07. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
CentOS 7 поставляется с Apache версии 2.4.6, в которой отсутствует директива SSLOpenSSLConfCmd . Эта директива доступна только в Apache версии 2.4.8 и более поздних и используется для настройки параметров OpenSSL, таких как обмен ключами Диффи–Хеллмана (DH).
Нам потребуется создать новый объединённый файл, используя SSL-сертификат Let's Encrypt и сгенерированный файл DH. Для этого введите:
cat /etc/letsencrypt/live/example.com/cert.pem /etc/ssl/certs/dhparam.pem >/etc/letsencrypt/live/example.com/cert.dh.pem
Теперь, когда все настроено, отредактируйте конфигурацию виртуального хоста вашего домена следующим образом:
/etc/httpd/conf.d/example.com.conf
*:80 > ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ *:443 > ServerName example.com ServerAlias www.example.com "%{HTTP_HOST} == 'www.example.com'" > Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration
Приведённая выше конфигурация принудительно включает HTTPS и перенаправляет с www на версию без www. Вы можете настроить конфигурацию в соответствии со своими потребностями.
Перезапустите службу Apache, чтобы изменения вступили в силу:
sudo systemctl restart httpd
Теперь вы можете открыть свой веб-сайт, используя https:// , и вы увидите зеленый значок замка.
Если вы протестируете свой домен с помощью SSL Labs Server Test , вы получите оценку A+, как показано ниже:
Автоматически обновляемый SSL-сертификат Let's Encrypt
Сертификаты Let's Encrypt действительны в течение 90 дней. Для автоматического продления сертификатов до истечения срока их действия мы создадим cronjob, который будет запускаться дважды в день и автоматически продлевать любой сертификат за 30 дней до истечения срока его действия.
Запустите команду crontab , чтобы создать новое задание cronjob, которое обновит сертификат, создаст новый комбинированный файл, включающий ключ DH, и перезапустит Apache:
sudo crontab -e
0 */12 * * * root test -x /usr/bin/certbot -a ! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload httpd"
Сохраните и закройте файл.
Чтобы протестировать процесс обновления, вы можете использовать команду certbot с параметром --dry-run :
sudo certbot renew --dry-run
Если ошибок нет, значит, процесс продления прошел успешно.
Заключение
В этом руководстве вы использовали клиент Let's Encrypt Certbot для загрузки SSL-сертификатов для своего домена. Вы также создали фрагменты кода Apache, чтобы избежать дублирования кода, и настроили Apache на использование сертификатов. В конце руководства вы настроили cron-задание для автоматического обновления сертификатов.
Если вы хотите узнать больше о том, как использовать Certbot, хорошей отправной точкой станет его документация .
Если у вас есть вопросы или пожелания, не стесняйтесь оставлять комментарии.
Apache Centos Давайте зашифруем Certbot SSL
Эта публикация является частью серии «Установка LAMP Stack на CentOS 7» .
Другие посты в этой серии:
Не используете CentOS 7?
Выберите другую ОС: центос 8 дебиан 10 дебиан 9 убунту 18.04 убунту 20.04
Связанные руководства
- Защитите Apache с помощью Let's Encrypt на CentOS 8
- Защитите Apache с помощью Let's Encrypt в Debian 9
- Защитите Apache с помощью Let's Encrypt в Ubuntu 18.04
- Защитите Nginx с помощью Let's Encrypt на CentOS 7
- Защитите Apache с помощью Let's Encrypt в Ubuntu 20.04
- Защитите Apache с помощью Let's Encrypt в Debian 10
- Защитите Nginx с помощью Let's Encrypt на CentOS 8