Το Let's Encrypt είναι μια αρχή έκδοσης πιστοποιητικών που δημιουργήθηκε από την Ομάδα Έρευνας Ασφάλειας Διαδικτύου (ISRG). Παρέχει δωρεάν πιστοποιητικά SSL μέσω μιας πλήρως αυτοματοποιημένης διαδικασίας που έχει σχεδιαστεί για την εξάλειψη της μη αυτόματης δημιουργίας, επικύρωσης, εγκατάστασης και ανανέωσης πιστοποιητικού.
Τα πιστοποιητικά που εκδίδονται από το Let's Encrypt ισχύουν για 90 ημέρες από την ημερομηνία έκδοσης και είναι αξιόπιστα από όλα τα μεγάλα προγράμματα περιήγησης σήμερα.
Αυτό το σεμινάριο δείχνει πώς να εγκαταστήσετε ένα δωρεάν πιστοποιητικό Let's Encrypt SSL στο Debian 10, το Buster που εκτελεί τον Apache ως διακομιστή ιστού. Θα δείξουμε επίσης πώς να ρυθμίσετε τον Apache ώστε να χρησιμοποιεί το πιστοποιητικό SSL και να ενεργοποιεί το HTTP/2.
Προαπαιτούμενα
Βεβαιωθείτε ότι πληρούνται οι ακόλουθες προϋποθέσεις πριν προχωρήσετε με τον οδηγό:
Συνδεθείτε ως root ή χρήστης με δικαιώματα sudo .
Ο τομέας για τον οποίο θέλετε να αποκτήσετε το πιστοποιητικό SSL πρέπει να παραπέμπει στη δημόσια διεύθυνση IP του διακομιστή σας. θα χρησιμοποιήσουμε example.com.
Εγκατεστημένο το Apache .
Εγκατάσταση Certbot
Θα χρησιμοποιήσουμε το εργαλείο certbot για να αποκτήσουμε και να ανανεώσουμε τα πιστοποιητικά.
Το Certbot είναι ένα πλήρως εξοπλισμένο και εύκολο στη χρήση εργαλείο που αυτοματοποιεί τις εργασίες για την απόκτηση και την ανανέωση πιστοποιητικών Let's Encrypt SSL και τη διαμόρφωση των διακομιστών ιστού για χρήση των πιστοποιητικών.
Το πακέτο certbot περιλαμβάνεται στα προεπιλεγμένα αποθετήρια του Debian. Εκτελέστε τις ακόλουθες εντολές για να εγκαταστήσετε το certbot:
Code:
sudo apt update
sudo apt install certbotΔημιουργία Ομάδας Strong Dh (Diffie-Hellman).
Η ανταλλαγή κλειδιών Diffie–Hellman (DH) είναι μια μέθοδος ασφαλούς ανταλλαγής κρυπτογραφικών κλειδιών μέσω ενός μη ασφαλούς καναλιού επικοινωνίας.
Εκτελέστε την ακόλουθη εντολή για να δημιουργήσετε ένα νέο κλειδί DH 2048 bit:
Code:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Εάν θέλετε, μπορείτε να αλλάξετε το μέγεθος έως και 4096 bit, αλλά η δημιουργία μπορεί να διαρκέσει περισσότερα από 30 λεπτά, ανάλογα με την εντροπία του συστήματος.
Λήψη πιστοποιητικού Let's Encrypt SSL
Για να αποκτήσουμε ένα πιστοποιητικό SSL για τον τομέα, θα χρησιμοποιήσουμε την προσθήκη Webroot που λειτουργεί δημιουργώντας ένα προσωρινό αρχείο για την επικύρωση του ζητούμενου τομέα στον ${webroot-path}/.well-known/acme-challenge κατάλογο. Ο διακομιστής Let's Encrypt κάνει αιτήματα HTTP στο προσωρινό αρχείο για να επικυρώσει ότι ο ζητούμενος τομέας επιλύεται στον διακομιστή όπου εκτελείται το certbot.
Για να το κάνουμε πιο απλό, θα αντιστοιχίσουμε όλα τα αιτήματα HTTP .well-known/acme-challengeσε έναν μόνο κατάλογο, /var/lib/letsencrypt.
Εκτελέστε τις ακόλουθες εντολές για να δημιουργήσετε τον κατάλογο και να τον κάνετε εγγράψιμο για τον διακομιστή Apache.
Code:
sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp www-data /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencryptΓια να αποφύγετε την αντιγραφή κώδικα, δημιουργήστε τα ακόλουθα δύο αποσπάσματα διαμορφώσεων:
/etc/apache2/conf-available/letsencrypt.conf
Code:
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
AllowOverride None
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
Require method GET POST OPTIONS
</Directory>/etc/apache2/conf-available/ssl-params.conf
Code:
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder off
SSLSessionTickets off
SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options SAMEORIGIN
Header always set X-Content-Type-Options nosniff
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"Ο κώδικας στο παραπάνω απόσπασμα χρησιμοποιεί τα chipper που προτείνει η Mozilla , ενεργοποιεί τη συρραφή OCSP, την αυστηρή ασφάλεια μεταφοράς HTTP (HSTS) και επιβάλλει λίγες κεφαλίδες HTTP που εστιάζονται στην ασφάλεια.
Βεβαιωθείτε ότι και τα δύο mod_ssl και mod_headers είναι φορτωμένα:
Code:
sudo a2enmod ssl
sudo a2enmod headersΕνεργοποιήστε τη λειτουργική μονάδα HTTP/2, η οποία θα κάνει τους ιστότοπούς σας πιο γρήγορους και πιο ισχυρούς:
Code:
sudo a2enmod http2Ενεργοποιήστε τα αρχεία διαμόρφωσης SSL:
Code:
sudo a2enconf letsencrypt
sudo a2enconf ssl-paramsΦορτώστε ξανά τη διαμόρφωση του Apache για να τεθούν σε ισχύ οι αλλαγές:
Code:
sudo systemctl reload apache2Χρησιμοποιήστε το εργαλείο Certbot με την προσθήκη webroot για να αποκτήσετε τα αρχεία πιστοποιητικού SSL:
Code:
sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.comΕάν το πιστοποιητικό SSL αποκτηθεί με επιτυχία, το certbot θα εκτυπώσει το ακόλουθο μήνυμα:
Τώρα που έχετε τα αρχεία πιστοποιητικού, επεξεργαστείτε τη διαμόρφωση του εικονικού κεντρικού υπολογιστή του τομέα σας ως εξής:
/etc/apache2/sites-available/example.com.conf
Code:
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com
Redirect permanent / https://example.com/
</VirtualHost>
<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com
Protocols h2 http/1.1
<If "%{HTTP_HOST} == 'www.example.com'">
Redirect permanent / https://example.com/
</If>
DocumentRoot /var/www/example.com/public_html
ErrorLog ${APACHE_LOG_DIR}/example.com-error.log
CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined
SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
# Other Apache Configuration
</VirtualHost>Με την παραπάνω διαμόρφωση, επιβάλλουμε το HTTPS και ανακατευθύνουμε από www σε έκδοση εκτός www. Έπεσε ελεύθερος να προσαρμόσει τη διαμόρφωση σύμφωνα με τις ανάγκες σας.
Επαναλάβετε τη φόρτωση της υπηρεσίας Apache για να τεθούν σε ισχύ οι αλλαγές:
Code:
sudo systemctl reload apache2Ανοίξτε τον ιστότοπό σας χρησιμοποιώντας https://το και θα παρατηρήσετε ένα πράσινο εικονίδιο κλειδαριάς.
Εάν δοκιμάσετε τον τομέα σας χρησιμοποιώντας τη δοκιμή διακομιστή SSL Labs , θα λάβετε βαθμό A+, όπως φαίνεται παρακάτω:
Αυτόματη ανανέωση πιστοποιητικού Let's Encrypt SSL
Τα πιστοποιητικά Let's Encrypt ισχύουν για 90 ημέρες. Για την αυτόματη ανανέωση των πιστοποιητικών πριν λήξουν, το πακέτο certbot δημιουργεί ένα cronjob που εκτελείται δύο φορές την ημέρα και θα ανανεώνει αυτόματα οποιοδήποτε πιστοποιητικό 30 ημέρες πριν τη λήξη του.
Μόλις ανανεωθεί το πιστοποιητικό, πρέπει επίσης να φορτώσουμε ξανά την υπηρεσία Apache. Προσθήκη --renew-hook "systemctl reload apache2" στο /etc/cron.d/certbot αρχείο ώστε να μοιάζει με το εξής:
/etc/cron.d/certbot
Code:
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew --renew-hook "systemctl reload apache2"Για να δοκιμάσετε τη διαδικασία ανανέωσης, χρησιμοποιήστε το διακόπτη certbot --dry-run:
Code:
sudo certbot renew --dry-runΕάν δεν υπάρχουν σφάλματα, σημαίνει ότι η διαδικασία ανανέωσης ήταν επιτυχής.
Συμπέρασμα
Σε αυτό το σεμινάριο, μιλήσαμε για το πώς να χρησιμοποιήσετε το certbot client Let's Encrypt στο Debian για να αποκτήσετε πιστοποιητικά SSL για τους τομείς σας. Σας δείξαμε επίσης πώς να ρυθμίσετε το Apache ώστε να χρησιμοποιεί τα πιστοποιητικά και να ρυθμίζετε ένα cronjob για αυτόματη ανανέωση πιστοποιητικού.
Για να μάθετε περισσότερα σχετικά με το σενάριο Certbot, επισκεφτείτε την τεκμηρίωση του Certbot .
Εάν έχετε οποιεσδήποτε ερωτήσεις ή σχόλια, μην διστάσετε να αφήσετε ένα σχόλιο.
