Biztonsági apache titkosítással a centos 8-on

A Let's Encrypt egy ingyenes, automatizált és nyílt tanúsítási jogosultság, amelyet az Internet Security Research Group (ISRG) fejlesztett ki és ingyenes SSL tanúsítványokat biztosít.

A Let's Encrypt által kiállított tanúsítványok minden nagyobb böngészőben megbíznak, és a kiadás dátumától számított 90 napig érvényesek.

Ez az oktatóanyag elmagyarázza, hogyan telepítsünk egy ingyenes Let's Encrypt SSL tanúsítványt az Apache-t webkiszolgálóként futtató CentOS 8-ra. A certbot eszközt fogjuk használni a tanúsítványok beszerzéséhez és megújításához.

Előfeltételek

Folytatás előtt győződjön meg arról, hogy a következő feltételek teljesülnek:

• Van egy domain név, amely a nyilvános kiszolgáló IP-jére mutat. A példát.com fogjuk használni. AzApache telepítve van és fut a kiszolgálón, a domainjéhez konfigurált virtuális gazdagéppel. A 80. és 443. portok nyitva vannak a tűzfalon.

Telepítse a következő csomagokat, amelyek szükségesek egy SSL titkosított webszerverhez:

sudo dnf install mod_ssl openssl

A mod_ssl csomag telepítésekor létre kell hoznia egy önaláírt kulcs- és tanúsítványfájlokat a localhost számára. Ha a fájlokat nem hozza létre automatikusan, akkor azokat az openssl paranccsal hozhatja létre:

sudo openssl req -newkey rsa:4096 -x509 -sha256 -days 3650 -nodes \ -out /etc/pki/tls/certs/localhost.crt \ -keyout /etc/pki/tls/private/localhost.key

Telepítse a Certbotot

A Certbot egy ingyenes parancssori eszköz, amely leegyszerűsíti a titkosítási SSL-tanúsítványok beszerzésének és megújításának folyamatát a szerver HTTPS-jéről, valamint az automatikus engedélyezést.

A certbot csomag nem része a szabványos CentOS 8 tárolóknak, de letölthető a gyártó weboldaláról.

Futtassa a következő wget parancsot root vagy sudo felhasználóként, és töltse le a certbot szkriptet a /usr/local/bin könyvtárba:

sudo wget -P /usr/local/bin

A letöltés befejezése után tegye a fájlt végrehajthatóvá:

sudo chmod +x /usr/local/bin/certbot-auto

Erős Dh (Diffie-Hellman) csoport létrehozása

A Diffie – Hellman kulcscsere (DH) a kriptográfiai kulcsok biztonságos cseréje egy nem biztonságos kommunikációs csatornán. Generáljon egy új, 2048 bites DH paramétereket a biztonság megerősítése érdekében:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

A méret akár 4096 bit is megváltoztatható, de a generálás a rendszer entrópiájától függően 30 percnél tovább tarthat.

SSL tanúsítvány beszerzése

A domain SSL-tanúsítványának beszerzéséhez a Webroot plugint fogjuk használni, amely ideiglenes fájlt hoz létre a kért tartomány érvényesítéséhez a ${webroot-path}/.well-known/acme-challenge könyvtárban. A Let's Encrypt szerver HTTP kéréseket küld az ideiglenes fájlhoz annak ellenőrzésére, hogy a kért tartomány feloldja-e azt a szervert, amelyen a certbot fut.

A telepítés egyszerűbbé tétele érdekében a .well-known/acme-challenge összes HTTP kérését a /var/lib/letsencrypt könyvtárba /var/lib/letsencrypt .

Futtassa a következő parancsokat a könyvtár létrehozásához és az Apache szerver számára írhatóvá tételéhez.

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp apache /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

A kód sokszorosításának elkerülése és a konfiguráció fenntarthatóbbá tétele érdekében hozza létre a következő két konfigurációs kódrészletet:

/etc/httpd/conf.d/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS /etc/httpd/conf.d/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM # Requires Apache 2.4.36 & OpenSSL 1.1.1 SSLProtocol -all +TLSv1.3 +TLSv1.2 SSLOpenSSLConfCmd Curves X25519:secp521r1:secp384r1:prime256v1 # Older versions # SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

A fenti részlet a Cipherli.st által ajánlott aprítókat használja. Lehetővé teszi az OCSP tűzést, a HTTP szigorú szállításbiztonságot (HSTS), a Dh-kulcsot, és kevés biztonsági szempontból összpontosított HTTP-fejlécet hajt végre.

Töltse újra az Apache konfigurációját, hogy a változások érvénybe lépjenek:

sudo systemctl reload

Most futtathatja a certbot szkriptet a webroot pluginnel, és le tudja tölteni az SSL tanúsítványfájlokat:

sudo /usr/local/bin/certbot-auto certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Siker esetén a certbot a következő üzenetet nyomtatja ki:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2020-01-26. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

Most, hogy minden fel van állítva, módosítsa a domain virtuális gazdagép konfigurációját az alábbiak szerint:

/etc/httpd/conf.d/example.com.conf

ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration

A fenti konfiguráció kényszeríti a HTTPS-t és átirányítja a www-ról a nem-www verzióra. Ezenkívül lehetővé teszi a HTTP / 2 használatát, amely gyorsabbá és robusztusabbá teszi webhelyeit. Ha szabadon beállíthatja a konfigurációt az Ön igényei szerint.

Indítsa újra az Apache szolgáltatást:

sudo systemctl restart

Most már megnyithatja webhelyét a https:// , és egy zöld zár ikonra kattint.

Automatikus megújítás Titkosítsuk az SSL tanúsítványt

Titkosítsuk a tanúsítványok 90 napig érvényesek. A tanúsítványok automatikus megújításához, mielőtt azok lejárnak, létrehozunk egy cronjob-ot, amely naponta kétszer fut, és automatikusan megújítja a tanúsítványokat 30 nappal a lejárta előtt.

Futtassa a következő parancsot egy új cronjob létrehozásához, amely megújítja a tanúsítványt és újraindítja az Apache-t:

echo "0 0, 12 * * * root python3 -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/bin/certbot-auto -q renew --renew-hook \"systemctl reload httpd\"" | sudo tee -a /etc/crontab > /dev/null

A megújítási folyamat teszteléséhez használja a certbot parancsot, majd a --dry-run kapcsolót:

sudo /usr/local/bin/certbot-auto renew --dry-run

Ha nincs hiba, ez azt jelenti, hogy a megújítási folyamat sikeres volt.

Következtetés

Ebben az oktatóanyagban arról beszéltünk, hogyan lehet a EncOSpt kliens tanúsítványát használni a CentOS-on, hogy SSL-tanúsítványokat szerezzen a domainjeire. Megmutatta azt is, hogyan konfigurálhatja az Apache-t a tanúsítványok használatához, és beállíthat egy cronjob-ot az automatikus tanúsítvány-megújításhoz.

Ha többet szeretne megtudni a Certbot szkriptről, keresse fel a Certbot dokumentációt.

apache centos titkosítsuk a certbot ssl-t