Sikre Apache med Let's Encrypt Certificate på Rocky Linux

I vår forrige guide ledet vi deg gjennom installasjonen av LAMP-stakken på Rocky Linux og fortsatte videre med å konfigurere virtuelle Apache-verter i tilfelle du trenger å være vert for flere nettsteder på en enkelt server.

Men det slutter ikke bare der. Nettstedsikkerhet er nå en av de største bekymringene i de fleste organisasjoner og brukere i møte med økende cybertrusler. Det er flere måter å sikre nettstedet ditt på. En av de viktigste måtene å implementere grunnleggende beskyttelse mot hackere på er å kryptere nettstedet ditt ved å bruke et SSL/TLS-sertifikat.

Et SSL/TLS-sertifikat er et kryptografisk sertifikat som autentiserer identiteten til nettstedet ditt og krypterer data som utveksles mellom en brukers nettleser og en nettserver.

Faktisk bytter nettstedet ditt fra å bruke HTTP-protokollen som sender data i ren tekst til HTTPS (HTTP Secure) som krypterer dataene. Uten kryptering kan hackere enkelt få tak i konfidensiell informasjon som brukernavn og passord ved å avlytte dataene som utveksles mellom nettserveren og nettleseren.

For en stund tilbake gjorde Google et poeng av å varsle brukere som besøker ukrypterte nettsteder ved å plassere en «Ikke sikker»-etikett på URL-linjen. Dette er for å ønske brukere av risikoen som er involvert mens de surfer på nettstedet.

Hvis du er en nettsideeier, vil du absolutt ikke sette kundene og besøkende på nettstedet i fare for å få deres personlige informasjon utsatt for hackere. Det er av denne grunn at installasjon av et SSL-sertifikat på webserveren din er et grunnleggende skritt mot å sikre nettstedet ditt.

I denne veiledningen vil vi vise deg hvordan du sikrer en Apache-nettserver på Rocky Linux 8 ved å bruke Lets Encrypt SSL-sertifikat.

Forutsetninger

For at dette skal fungere, må du ha domenet pekt til nettstedets offentlige IP-adresse. Derfor må du gå over til webverten din og sørge for at domenenavnet peker til IP-en til webserveren din.

Her har vi domenet tecmint.info pekt på den offentlige IP-adressen til vår virtuelle server.

Trinn 1: Installer EPEL Repo i Rocky Linux

Vi starter med å installere forutsetningspakker som vil vise seg å være nyttige underveis. Vi vil installere EPEL-depotet og mod_ssl-pakken som er en sikkerhetsmodul for Apache HTTP-server som gir sterk kryptografi ved å utnytte SSL/TLS-protokoller ved å bruke OpenSSL.

sudo dnf install epel-release mod_ssl

Trinn 2: Installer Certbot i Rocky Linux

La oss nå installere Certbot – er en klient som henter SSL-sertifikatet fra Let's Encrypt-autoriteten og automatiserer installasjonen og konfigurasjonen. Dette eliminerer smerten og maset ved å utføre hele prosessen manuelt.

sudo dnf install certbot python3-certbot-apache 

Certbot er nå ferdig installert og godt konfigurert.

Trinn 3: Installere et SSL-sertifikat for Apache i Rocky Linux

Det siste trinnet er å hente og installere La oss kryptere SSL-sertifikatet. For å oppnå dette, kjør kommandoen:

sudo certbot --apache

Dette setter i gang en rekke meldinger. Først må du oppgi e-postadressen din. Deretter skumles du gjennom vilkårene for bruk i nettadressen som er oppgitt, og trykk 'Y' for å godta vilkårene, og trykk ENTER.

Deretter vil du bli spurt om du er villig til å dele e-postadressen din med EFF (Electronic Frontier Foundation) som er grunnleggeren av Let's Encrypt.

Ved å dele e-postadressen din vil du abonnere på nyheter, kampanjer og andre oppdateringer om organisasjonen. Hvis du er komfortabel med å oppgi e-postadressen din, trykk 'Y', ellers trykk 'N' og trykk ENTER.

Den neste ledeteksten vil gi en liste over domener basert på nettserverkonfigurasjonen og spørre deg hvilken du foretrekker å aktivere HTTPS på. Du kan velge enten '1' eller '2'. Men for enhetlighet trykker du bare ENTER for å aktivere HTTPS til alle domenene.

Certbot vil fullføre installasjonen og konfigurasjonen av Let's Encrypt og lagre sikkerhetsnøklene i /etc/letsencrypt/live/yourdomain/ banen.

Hvis alt gikk etter planen, vil du få utgangen vist.

Trinn 4: Automatisk fornyelse av SSL-sertifikat for Apache i Rocky Linux

Certbot gir et skript for å fornye sertifikatet bare noen dager før det utløper. Du kan utføre en tørrkjøring for å teste skriptet som vist.

sudo certbot renew --dry-run

Nå, for å automatisere fornyelsen av sertifikatet ved hjelp av skriptet, rediger crontab.

crontab -e

Spesifiser cron-jobben som vises og lagre endringene.

0 * * * * /usr/sbin/certbot-auto renew

Trinn 4: Bekreft Apache SSL-sertifikat i Rocky Linux

For å bekrefte at nettstedet ditt er kryptert, gå ganske enkelt over til nettleseren din og last inn nettstedet på nytt. Denne gangen bør du se et hengelåsikon rett før nettstedets URL.

For å samle flere detaljer, klikk på ikonet og klikk på «Sertifikat»-alternativet i menyen som vises.

Dette fyller ut alle sertifikatdetaljer som oppgitt.

Du kan teste styrken til sertifikatet ditt ved å gå over til SSL Labs Test. Oppgi nettstedets URL eller domenenavn og trykk ENTER.

Du bør få en A-vurdering som angitt her.

Konklusjon

Hvis du har kommet så langt, bør du være i stand til å kryptere Apache-nettserveren din ved å bruke La oss kryptere SSL-sertifikatet ved å utnytte Certbot-klienten fra EFF.