Osigurajte apache uz šifriranje na ubuntu 18.04

Let's Encrypt je autoritet za certifikate koji je stvorila Internet Security Research Group (ISRG). Pruža besplatne SSL certifikate kroz potpuno automatizirani proces dizajniran za uklanjanje ručnog stvaranja, provjere valjanosti, instalacije i obnove certifikata.

Sve potvrde koje izdaje Let's Encrypt danas vjeruju u sve glavne preglednike.

U ovom ćemo vodiču dati detaljne upute o tome kako osigurati svoj Apache pomoću programa Šifriraj pomoću alata certbot na Ubuntu 18.04.

Preduvjeti

Prije nastavka s ovim vodičem provjerite jeste li ispunili sljedeće preduvjete:

• Naziv domene koji upućuje na IP vašeg javnog poslužitelja. Koristit ćemo example.com . Imate instaliran Apache s virtualnim hostom apache za vašu domenu.

Instalirajte Certbot

Certbot je potpuno opremljen i jednostavan za korištenje alat koji može automatizirati zadatke za dobivanje i obnavljanje Let's Šifriraj SSL certifikate i konfiguriranje web poslužitelja. Paket certbot nalazi se u zadanim Ubuntu spremištima.

Ažurirajte popis paketa i instalirajte certbot paket:

sudo apt update sudo apt install certbot

Stvaranje snažne Dh (Diffie-Hellman) grupe

Razmjena ključeva Diffie-Hellman (DH) metoda je sigurne razmjene kriptografskih ključeva preko nezaštićenog komunikacijskog kanala. Generirat ćemo novi skup 2048 bitnih DH parametara za jačanje sigurnosti:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048 Ako želite, možete promijeniti veličinu do 4096 bita, ali u tom slučaju generacija može potrajati više od 30 minuta, ovisno o entropiji sustava.

Dobivanje šifriramo SSL certifikat Let's Šifriraj

Za dobivanje SSL certifikata za domenu koristit ćemo Webroot dodatak koji djeluje stvaranjem privremene datoteke za provjeru tražene domene u ${webroot-path}/.well-known/acme-challenge direktoriju ${webroot-path}/.well-known/acme-challenge . Poslužitelj Let's Encrypt postavlja HTTP zahtjeve u privremenu datoteku kako bi potvrdio da se zatražena domena rješava na poslužitelju na kojem se pokreće certbot.

Da bismo to pojednostavili, /var/lib/letsencrypt ćemo sve HTTP zahtjeve za .well-known/acme-challenge u jedan direktorij, /var/lib/letsencrypt .

Sljedeće naredbe stvorit će direktorij i učiniti ga zapisljivim za Apache server.

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp www-data /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt sudo chgrp www-data /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

Da biste izbjegli dupliciranje koda, stvorite sljedeće dvije isječke konfiguracije:

/etc/apache2/conf-available/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS /etc/apache2/conf-available/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

Gornji isječak koristi sječiće koje preporučuje Cipherli.st, omogućuje OCSP spajanje, HTTP strogu transportnu sigurnost (HSTS) i nameće nekoliko HTTP zaglavlja usmjerenih na sigurnost.

Prije omogućavanja konfiguracijskih datoteka, provjerite jesu li mod_ssl i mod_headers i mod_headers izdavanjem:

sudo a2enmod ssl sudo a2enmod headers

Zatim omogućite SSL konfiguracijske datoteke izvođenjem sljedećih naredbi:

sudo a2enconf letsencrypt sudo a2enconf ssl-params

Omogućite HTTP / 2 modul, koji će vaše web stranice učiniti bržim i robusnijim:

sudo a2enmod

Učitajte ponovo Apache konfiguraciju da bi promjene stupile na snagu:

sudo systemctl reload apache2

Sada možemo pokrenuti alat Certbot s dodatkom webroot i dobiti datoteke SSL certifikata upisivanjem:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Ako je SSL certifikat uspješno dobiven, certbot će ispisati sljedeću poruku:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-10-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

Sada kada imate datoteke certifikata, uredite konfiguraciju virtualnog računala hosta na sljedeći način:

/etc/apache2/sites-available/example.com.conf

ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration

S gornjom konfiguracijom, prisiljavamo HTTPS i preusmjeravamo s www na verziju koja nije www. Slobodno prilagođavajte konfiguraciju prema vašim potrebama.

Učitajte ponovo Apache uslugu da bi promjene stupile na snagu:

sudo systemctl reload apache2

Sada možete otvoriti svoju web stranicu pomoću https:// i primijetit ćete zelenu ikonu zaključavanja.

Automatska obnova Let's Šifriraj SSL certifikat

Neka šifriraju potvrde vrijede 90 dana. Da bi automatski obnavljao certifikate prije njihovog isteka, certbot paket stvara cronjob koji se izvodi dva puta dnevno i automatski obnavlja svaki certifikat 30 dana prije njegovog isteka.

Nakon obnavljanja certifikata moramo ponovno učitati Apache uslugu. Dodajte --renew-hook "systemctl reload apache2" u /etc/cron.d/certbot datoteku tako da izgleda kao sljedeće:

/etc/cron.d/certbot

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload apache2"

Da biste testirali postupak obnove, možete koristiti certbot --dry-run sušenje --dry-run :

sudo certbot renew --dry-run

Ako nema pogrešaka, to znači da je proces obnove bio uspješan.

Zaključak

U ovom su udruženju koristili certbot Let's Encrypt klijenta za preuzimanje SSL certifikata za vašu domenu. Također ste stvorili isječke Apache da izbjegnete dupliciranje koda i konfigurirali Apache za korištenje certifikata. Na kraju udžbenika postavili ste cronjob za automatsku obnovu certifikata.

apache ubuntu neka šifriramo certbot ssl

Ovaj je post dio serije kako instalirati svjetiljku-slagati-na-ubuntu-18-04.

Ostali postovi u ovoj seriji:

• Kako instalirati Apache na Ubuntu 18.04 • Kako postaviti Apache virtualne hostove na Ubuntu 18.04 • Osigurati Apache pomoću šifriranja na Ubuntu 18.04 • Kako instalirati MySQL na Ubuntu 18.04 • Kako instalirati PHP na Ubuntu 18.04