Hvernig á að tryggja Apache með lætur dulkóða á Ubuntu 18.04 VPS eða hollur framreiðslumaður

Kynning

Let’s Encrypt er ókeypis, áreiðanlegt og sjálfvirkt vottorðaryfirvöld (CA) hannað af Internet Security Research Group (ISRG). Flugmálastjórnin notar fullkomlega sjálfvirkar aðferðir til að afhenda ókeypis SSL / TLS vottorð og draga úr þörfinni fyrir stofnun, uppsetningu, staðfestingu og endurnýjun SSL vottorðs handvirkt..


Let’s Encrypt er treyst fyrir leiðandi forritum einfaldlega vegna þess að það er öruggt, gagnsætt, samstarfssamt og sjálfvirkt. CA veitir stafrænu skírteinin sem þarf til að virkja HTTPS fyrir vefsíður og búa til persónuverndarverndar og öruggan vef.

Þessi kennsla mun hjálpa þér að tryggja Apache þjónustuna með því að nota Let’s Encrypt með áreiðanlegu certbot tólinu í Ubuntu 18.04 VPS hýsingunni eða hollur framreiðslumaður hýsing.

Tilbúinn? Byrjum!

Áður en þú byrjar

Til að þetta ferli gangi snurðulaust þarftu eftirfarandi:

  • Lén
  • Apache sett upp á netþjóninum þínum
  • Alveg stilla Apache sýndarvélar fyrir lénið. Þú getur notað handbókina okkar „Hvernig á að setja upp Apache Virtual Hosts á Ubuntu 18.04“ til að stilla sýndarhýsin.

Ef allt er til staðar getum við núna ráðist í uppsetninguna.

Skref 1 – Setja upp Certbot

Það fyrsta þegar Apache er tryggt með Let’s Encrypt er að setja upp certbot tólið. Þetta tól sjálfvirkir og hagræðir ferlið við að fá og endurnýja SSL vottorð frá Let’s Encrypt. Að auki mun það hjálpa þér að stilla vefþjóninn þinn til að nota þessi vottorð.

Í fyrsta lagi skaltu uppfæra vísitölu pakkningar á staðnum:

Uppfærsla $ sudo apt

Framkvæmdu síðan skipunina hér að neðan til að setja upp Certbot:

$ Sudo apt install certbot

Það er það! Þú hefur sett upp certbot tólið með góðum árangri.

Skref 2 – Að búa til sterkan DH Group

DH eða Diffie Hellman hópurinn er áreiðanlegur takkaskiptihópur sem skapar öruggt umhverfi til að auðvelda skipti á dulmálslyklum um samskiptaleið sem er ótryggð.

Keyra skipunina hér að neðan til að búa til föruneyti með 2048 bita DH-stöfum:

$ sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Athugasemd: Ef þú vilt að þú getir skipt um stærð 2048 fyrir 4096. Með því að gera það, þá ættir þú að vera þolinmóður vegna þess að myndun DH-breytanna getur tekið þrjátíu mínútur eða fleiri mínútur eftir því hvaða kerfisflæði þú ert..

Skref 3 – Að fá SSL vottorð

Þegar Dh hópurinn er búinn til geturðu nú fengið SSL vottorðið sem þarf fyrir þitt einstaka lén. Í þessari einkatími notum við dæmi.com sem lén okkar; mundu að skipta um gildi fyrir hið raunverulega lén.

Í þessu skrefi munum við nota Webroot viðbætur til að búa til skrá fyrir dæmi.com í skránni $ {webroot-path} /. velþekkt / acme-áskorun. Staðfestingarþjónninn fyrir Let’s Encrypt gerir HTTP kærur til að staðfesta að DNS lénsins leysist á netþjóninn sem keyrir certbot tólið.

Við munum einfaldlega kortleggja HTTP-svín fyrir .vel þekkt / acme-áskorun að / var / lib / letsencrypt. Nú skaltu keyra skipanirnar hér að neðan til að búa til nauðsynlega skrá og gera henni kleift að skrifa fyrir Apache netþjóninn þinn.

$ Sudo mkdir -p /var/lib/letsencrypt/.well- þekkt
$ Sudo chgrp www-data / var / lib / letsencrypt
$ Sudo chmod g + s / var / lib / letsencrypt

Næst skaltu búa til tvö einstök stillibúnað til að koma í veg fyrir tvítekningu kóða. Í fyrsta lagi skaltu keyra skipunina hér að neðan til að opna fyrstu stillingarskrána:

$ sudo nano /etc/apache2/conf-available/letsencrypt.conf

Bættu innihaldinu hér að neðan við þessa skrá:

Alias ​​/.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"

AllowOrride Enginn
Valkostir MultiViews Vísitölur SymLinksIfOwnerMatch IncludesNoExec
Krefjast aðferð Sæktu valkosti í pósti

Vistaðu og lokaðu þessari skrá.

Næst skaltu framkvæma skipunina hér að neðan til að opna seinni stillingaskrána:

$ sudo /etc/apache2/conf-available/ssl-params.conf

Afritaðu og límdu innihaldið hér að neðan í þessa skrá:

SSLCipherSuite EECDH + AESGCM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder On
Fyrirsögn setur alltafStrict-Transport-Security"hámarksaldur = 63072000; includeSubDomains; forhleðsla"
Fyrirsögn stillir alltaf X-Frame-Options VELJA
Fyrirsögn setur alltaf X-Content-Type-Options nosniff
# Krefst Apache >= 2,4
Slökkt á SSLC
SSLUseStapling á
SSLStaplingCache "shmcb: logs / stapling-skyndiminni (150000)"
# Krefst Apache >= 2.4.11
SSLSessionTickets slökkt

SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

Vistaðu og lokaðu skránni.

Athugasemd: Í seinni stillingarútgáfunni eru notaðir flísar með heimild frá HSTS (HTTP Strict Transport Security) og Cipherli.st. Snippet framfylgir öryggismiðuðum HTTP hausum og virkjar OCSP hefta.

Nú skaltu keyra skipanirnar hér að neðan til að gera kleift Apache SSL mát og mod_headers:

$ Sudo a2enmod ssl
$ Sudo a2enmod hausar

Framkvæmdu síðan skipanirnar hér að neðan til að virkja SSL raunverulegur Host og ssl-params.conf skjal:

$ Sudo a2enconf letsencrypt
$ Sudo a2enconf ssl-params

Endurræstu Apache stillinguna þína til að framkvæma breytingarnar:

$ Sudo systemctl endurhlaða apache2

Sviðið er sett og þú getur nú útfært certbotinn með Webroot tappi til að fá SSL vottorðið þitt:

$ sudo certbot certonly –agree-tos – póstur [email protected] –webroot -w / var / lib / letsencrypt / -d example.com -d www.example.com

Þegar vottorðið er aflað færðu skilaboðin hér að neðan:

MIKILVÆGAR skýringar:
– Til hamingju! Vottorðið þitt og keðjan hefur verið vistuð á:
/etc/letsencrypt/live/example.com/fullchain.pem
Lykilskráin þín hefur verið vistuð á:
/etc/letsencrypt/live/example.com/privkey.pem
Vottorðið þitt rennur út 2018-10-28. Til að fá nýtt eða klip
útgáfa af þessu skírteini í framtíðinni, einfaldlega keyra certbot
aftur. Til að endurnýja * öll * skírteinin þín ekki með gagnvirkum hætti skaltu keyra
"certbot endurnýja"
– Ef þér líkar vel við Certbot skaltu íhuga að styðja starf okkar með því að:

Gefa til ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Gefa til EFF: https://eff.org/donate-le

Skref 4 – Breyta stillingu sýndarhýsilskrár

Framkvæmdu skipunina hér að neðan til að opna stillingarskrána fyrir þitt einstaka lén:

$ sudo nano /etc/apache2/sites-available/example.com.conf

Bættu innihaldinu hér að neðan við þessa skrá;

Netfang netþjóns.com
ServerAlias ​​www.example.com

Beina til frambúðar / https://example.com/

Netfang netþjóns.com
ServerAlias ​​www.example.com

Beina til frambúðar / https://example.com/

DocumentRoot /var/www/example.com/public_html
VillaLog $ {APACHE_LOG_DIR} /example.com-error.log
CustomLog $ {APACHE_LOG_DIR} /example.com-access.log saman

SSLEngineOn
SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem

# Önnur Apache stilling

Næst skaltu endurhlaða Apache þjónustuna þína:

$ Sudo systemctl endurhlaða apache2

Opnaðu vefsíður þínar og athugaðu hvort þú sérð græna læsitáknið

Skref 5 – Uppsetning sjálfvirkrar endurnýjunar

Nýlega uppsett SSL vottorð gildir aðeins í 90 daga. Þú getur sett upp Certbot pakkann til að endurnýja SSL vottorðið þitt sjálfkrafa fyrir gildistíma þess. Pakkinn býr til cronjob sem keyrir tvisvar á dag og endurnýjar skírteinið mánuði áður en það rennur út.

Í hvert skipti sem SSL vottorðið er sjálfkrafa endurnýjað verður að endurhlaða Apache Service. Til að gera þetta kleift, breyttu /etc/cron.d/certbot skrá með –endurnýja krókinn "systemctl endurhlaða apache2", krókur.

Þessi skrá mun líta út eins og:

0 * / 12 * * * rótarpróf -x / usr / bin / certbot -a! -d / hlaupa / systemd / system && perl -e ‘sofa int (rand (3600))’ && certbot -q endurnýja – nýjan krók "systemctl endurhlaða apache2"

Næst skaltu keyra skipunina hér að neðan til að staðfesta sjálfvirka endurnýjun:

 $ sudo certbot endurnýja – þurrkað

Ef þú færð engar villur, þá hefur sjálfvirka endurnýjunarferlið SSL vottorð verið rétt stillt.

Niðurstaða

Það er það! Þú hefur notað certbot tólið og Let’s Encrypt til að fá SSL vottorð fyrir þitt sérstaka lén.

Skoðaðu þessar 3 helstu Linux hýsingarþjónustur

FastComet

Byrjunarverð:
$ 2,95


Áreiðanleiki
9.7


Verðlag
9.5


Notendavænn
9.7


Stuðningur
9.7


Lögun
9.6

Lestu umsagnir

Farðu á FastComet

Hostinger

Byrjunarverð:
$ 0,99


Áreiðanleiki
9.3


Verðlag
9.3


Notendavænn
9.4


Stuðningur
9.4


Lögun
9.2

Lestu umsagnir

Heimsæktu Hostinger

ChemiCloud

Byrjunarverð:
$ 2,76


Áreiðanleiki
10


Verðlag
9.9


Notendavænn
9.9


Stuðningur
10


Lögun
9.9

Lestu umsagnir

Heimsæktu ChemiCloud

Tengdar greinar um hvernig á að gera

  • Hvernig á að setja upp WordPress Multisite á Ubuntu 18.04 með Apache vefþjóninum
    millistig
  • Hvernig á að stilla KeepAlive stillingar fyrir Apache sem keyrir á Ubuntu 18.04 VPS
    millistig
  • Hvernig á að virkja Apache Mod_Rewrite á Ubuntu 18.04 VPS eða Hollur framreiðslumaður
    sérfræðingur
  • Hvernig á að nota .htaccess skrána í Ubuntu 18.04
    nýliði
  • Hvernig á að setja upp Apache, MySQL & PHP á Ubuntu 18.04 VPS eða Hollur framreiðslumaður
    millistig
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me