Hvordan sikre Apache med gratis Let's Encrypt SSL-sertifikat på Ubuntu og Debian

Du har et nylig registrert domenenavn og webserveren din opererer med et SSL Self-Signed Certificate utstedt av deg som forårsaker hodepine for klientene dine mens de besøker domenet på grunn av sertifikatgenererte feil? Du har et begrenset budsjett og har ikke råd til å kjøpe et sertifikat utstedt av en pålitelig CA? Dette er når programvaren La oss kryptere kommer inn i scenen og redder dagen.

Hvis du ønsker å installere Let's Encrypt for Apache eller NginxRHEL, CentOS, Fedora eller Ubuntu og Debian, følg disse veiledningene nedenfor:

Konfigurer La oss kryptere for å sikre Apache på RHEL og CentOS 7/6

Oppsett La oss kryptere for å sikre Nginx på Ubuntu og Debian

Let's Encrypt er en sertifikatautoritet (CA) som gjør det lettere for deg å anskaffe gratis SSL/TLS-sertifikater som trengs for server for å kjøre sikkert, noe som gir en jevn nettleseropplevelse for brukerne dine, uten feil.

Testing av prøvemiljø

Alle trinnene som kreves for å generere et sertifikat er for det meste automatiserte for Apache-nettserveren. Til tross for nettserverprogramvaren din, må noen trinn utføres manuelt og sertifikatene må installeres manuelt, spesielt i tilfelle innholdet på nettstedet ditt betjenes av Nginx-daemonen.

Denne veiledningen vil veilede deg om hvordan du kan installere La oss kryptere-programvare på Ubuntu eller Debian, generere og få et gratis sertifikat for domenet ditt og hvordan du kan manuelt installere sertifikatet i Apache og Nginx webservere.

Krav

  1. Et offentlig registrert domenenavn med gyldige A-poster for å peke tilbake til serverens eksterne IP-adresse. I tilfelle serveren din er bak en brannmur, ta de nødvendige tiltakene for å sikre at serveren din er tilgjengelig for hele ordet fra internett ved å legge til port forward-regler på rutersiden.
  2. Apache-nettserver installert med SSL-modul aktivert og virtuell hosting aktivert, i tilfelle du er vert for flere domener eller underdomener.

Trinn 1: Installer Apache og aktiver SSL-modulen

1. Hvis du ikke allerede har Apache-webserver installert på maskinen din, utfør følgende kommando for å installere apache-demonen.

sudo apt-get install apache2

2. SSL-modulaktivering for Apache-nettserver på Ubuntu eller Debian det er ganske enkelt. Aktiver SSL-modulen og aktiver apache standard virtuelle SSL-vert ved å utstede kommandoene nedenfor:

sudo a2enmod ssl
sudo a2ensite default-ssl.conf
sudo service apache2 restart
or
sudo systemctl restart apache2.service

Besøkende kan nå få tilgang til domenenavnet ditt via HTTPS-protokollen. Men fordi det selvsignerte sertifikatet på serveren ikke er utstedt av en klarert sertifiseringsinstans, vil et feilvarsel bli vist i nettleserne deres som illustrert på bildet nedenfor.

https://yourdomain.com

Trinn 2: Installer gratis Let's Encrypt Client

3. For å installere La oss kryptere-programvare på serveren din må du ha installert git-pakken på systemet ditt. Utfør følgende kommando for å installere git-programvare:

sudo apt-get -y install git

4. Deretter velger du en katalog fra systemhierarkiet der du vil klone La oss kryptere git-depot. I denne opplæringen vil vi bruke katalogen /usr/local/ som installasjonsbane for Let's Encrypt.

Bytt til katalogen /usr/local og installer letsencrypt-klienten ved å utstede følgende kommandoer:

cd /usr/local
sudo git clone https://github.com/letsencrypt/letsencrypt

Trinn 4: Generer et SSL-sertifikat for Apache

5. Prosessen med å skaffe et SSL-sertifikat for Apache er automatisert takket være Apache-plugin. Generer sertifikatet ved å utstede følgende kommando mot domenenavnet ditt. Oppgi domenenavnet ditt som en parameter til -d-flagget.

cd /usr/local/letsencrypt
sudo ./letsencrypt-auto --apache -d your_domain.tld

Hvis du for eksempel trenger at sertifikatet skal operere på flere domener eller underdomener, legg til alle ved å bruke -d-flagget for hver ekstra gyldige DNS-post etter basedomenenavnet.

sudo ./letsencrypt-auto --apache -d your_domain.tld  -d www. your_domain.tld

6. Godta lisensen, skriv inn en e-postadresse for gjenoppretting og velg om klienter kan bla gjennom domenet ditt ved å bruke både HTTP-protokoller (sikre og usikre) eller omdirigere alle ikke-sikre forespørsler til HTTPS.

7. Etter at installasjonsprosessen er fullført, vises en gratulasjonsmelding på konsollen din som informerer deg om utløpsdatoen og hvordan du kan teste konfigurasjonen som illustrert på skjermbildene nedenfor.

Nå skal du kunne finne sertifikatfilene dine i katalogen /etc/letsencrypt/live med en enkel katalogoppføring.

sudo ls /etc/letsencrypt/live

8. Til slutt, for å bekrefte statusen til SSL-sertifikatet ditt, besøk følgende kobling. Bytt ut domenenavnet tilsvarende.

https://www.ssllabs.com/ssltest/analyze.html?d=your_domain.tld&latest

Dessuten kan besøkende nå få tilgang til domenenavnet ditt ved hjelp av HTTPS-protokollen uten at det vises noen feil i nettleserne deres.

Trinn 4: Automatisk fornyelse lar kryptere sertifikater

9. Som standard er sertifikater utstedt av myndigheten Let's Encrypt gyldige i 90 dager. For å fornye sertifikatet før utløpsdatoen må du manuelt kjøre klienten på nytt ved å bruke nøyaktige flagg og parametere som tidligere.

sudo ./letsencrypt-auto --apache -d your_domain.tld

Eller i tilfelle av flere underdomener:

sudo ./letsencrypt-auto --apache -d your_domain.tld  -d www. your_domain.tld

10. Sertifikatfornyelsesprosessen kan automatiseres til å kjøre på mindre enn 30 dager før utløpsdatoen ved å bruke Linux-planleggings-cron daemon.

sudo crontab -e

Legg til følgende kommando på slutten av crontab-filen med kun én linje:

0 1 1 */2 * cd /usr/local/letsencrypt && ./letsencrypt-auto certonly --apache --renew-by-default --apache -d domain.tld >> /var/log/domain.tld-renew.log 2>&1

11. Detaljer om konfigurasjonsfilen for fornyelsesdomene for Let's Encrypt-programvaren finner du i katalogen /etc/letsencrypt/renewal/.

cat /etc/letsencrypt/renewal/caeszar.tk.conf

Du bør også sjekke filen /etc/letsencrypt/options-ssl-apache.conf for å se den nye SSL-konfigurasjonsfilen for Apache-nettserveren.

12. Også, La oss kryptere apache-plugin modifiserer noen filer i nettserverkonfigurasjonen. For å sjekke hvilke filer som har blitt endret, lister du innholdet i katalogen /etc/apache2/sites-enabled.

ls /etc/apache2/sites-enabled/
sudo cat /etc/apache2/sites-enabled/000-default-le-ssl.conf

Det er alt for nå! I neste serie med opplæringsprogrammer vil vi diskutere hvordan du kan skaffe og installere et La oss kryptere-sertifikat for Nginx nettserver på Ubuntu og Debian< og på CentOS også.