Безопасный Apache с давайте зашифровать на Centos 8

Let's Encrypt - это бесплатный, автоматизированный и открытый центр сертификации, разработанный исследовательской группой Internet Security Research Group (ISRG), который предоставляет бесплатные сертификаты SSL.

Сертификаты, выпущенные Let's Encrypt, являются доверенными для всех основных браузеров и действительны в течение 90 дней с даты выпуска.

В этом руководстве объясняется, как установить бесплатный SSL-сертификат Let's Encrypt на CentOS 8, где Apache работает как веб-сервер. Мы будем использовать инструмент certbot для получения и продления сертификатов.

Предпосылки

Прежде чем продолжить, убедитесь, что выполнены следующие условия:

• Иметь доменное имя, указывающее на IP вашего публичного сервера. Мы будем использовать example.com Apache установлен и работает на вашем сервере с виртуальным хостом, настроенным для вашего домена. Порты 80 и 443 открыты в вашем брандмауэре.

Установите следующие пакеты, необходимые для веб-сервера с шифрованием SSL:

sudo dnf install mod_ssl openssl

Когда пакет mod_ssl установлен, он должен создать самозаверяющий ключ и файлы сертификатов для локального хоста. Если файлы не создаются автоматически, вы можете создать их с помощью команды openssl :

sudo openssl req -newkey rsa:4096 -x509 -sha256 -days 3650 -nodes \ -out /etc/pki/tls/certs/localhost.crt \ -keyout /etc/pki/tls/private/localhost.key

Установить Certbot

Certbot - это бесплатный инструмент командной строки, который упрощает процесс получения и обновления SSL-сертификатов Let's Encrypt и автоматического включения HTTPS на вашем сервере.

Пакет certbot не входит в стандартные репозитории CentOS 8, но его можно загрузить с веб-сайта производителя.

Запустите следующую команду wget от имени пользователя root или sudo, чтобы загрузить скрипт certbot в каталог /usr/local/bin :

sudo wget -P /usr/local/bin

После завершения загрузки сделайте файл исполняемым:

sudo chmod +x /usr/local/bin/certbot-auto

Генерация группы Strong Dh (Diffie-Hellman)

Обмен ключами Диффи-Хеллмана (DH) - это метод безопасного обмена криптографическими ключами по незащищенному каналу связи. Создайте новый набор 2048-битных параметров DH для усиления безопасности:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Вы можете изменить размер до 4096 бит, но генерация может занять более 30 минут в зависимости от энтропии системы.

Получение SSL-сертификата Let's Encrypt

Чтобы получить SSL-сертификат для домена, мы собираемся использовать плагин Webroot, который работает путем создания временного файла для проверки запрашиваемого домена в каталоге ${webroot-path}/.well-known/acme-challenge . Сервер Let's Encrypt отправляет HTTP-запросы во временный файл для проверки того, что запрашиваемый домен разрешается на сервере, на котором работает certbot.

Чтобы упростить настройку, мы отобразим все HTTP-запросы для .well-known/acme-challenge в один каталог /var/lib/letsencrypt .

Выполните следующие команды, чтобы создать каталог и сделать его доступным для записи для сервера Apache.

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp apache /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

Чтобы избежать дублирования кода и сделать конфигурацию более понятной, создайте следующие два фрагмента конфигурации:

/etc/httpd/conf.d/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS /etc/httpd/conf.d/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM # Requires Apache 2.4.36 & OpenSSL 1.1.1 SSLProtocol -all +TLSv1.3 +TLSv1.2 SSLOpenSSLConfCmd Curves X25519:secp521r1:secp384r1:prime256v1 # Older versions # SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

В приведенном выше фрагменте используются отбойники, рекомендованные Cipherli.st. Он включает сшивание OCSP, HTTP Strict Transport Security (HSTS), ключ Dh и применяет несколько ориентированных на безопасность заголовков

Перезагрузите конфигурацию Apache, чтобы изменения вступили в силу:

sudo systemctl reload

Теперь вы можете запустить скрипт certbot с помощью плагина webroot и получить файлы сертификатов SSL:

sudo /usr/local/bin/certbot-auto certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

В случае успеха certbot напечатает следующее сообщение:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2020-01-26. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

Теперь, когда все настроено, измените конфигурацию виртуального хоста вашего домена следующим образом:

/etc/httpd/conf.d/example.com.conf

ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration

Приведенная выше конфигурация заставляет HTTPS и перенаправляет с www на версию без www. Он также включает HTTP / 2, что сделает ваши сайты быстрее и надежнее. Не стесняйтесь, чтобы настроить конфигурацию в соответствии с вашими потребностями.

Перезапустите сервис Apache:

sudo systemctl restart

Теперь вы можете открыть свой сайт, используя https:// , и вы увидите зеленый значок замка.

Автообновление Let's Encrypt SSL сертификата

Сертификаты Let's Encrypt действительны в течение 90 дней. Чтобы автоматически продлевать сертификаты до истечения срока их действия, мы создадим cronjob, который будет выполняться два раза в день, и автоматически обновят любой сертификат за 30 дней до его истечения.

Выполните следующую команду, чтобы создать новый cronjob, который обновит сертификат и перезапустит Apache:

echo "0 0, 12 * * * root python3 -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/bin/certbot-auto -q renew --renew-hook \"systemctl reload httpd\"" | sudo tee -a /etc/crontab > /dev/null

Чтобы протестировать процесс обновления, используйте команду certbot, за которой следует --dry-run :

sudo /usr/local/bin/certbot-auto renew --dry-run

Если ошибок нет, значит, процесс обновления прошел успешно.

Вывод

В этом руководстве мы рассказали о том, как использовать клиентский Certbot Let's Encrypt в CentOS для получения SSL-сертификатов для ваших доменов. Вы также показали, как настроить Apache для использования сертификатов и настроить cronjob для автоматического обновления сертификатов.

Чтобы узнать больше о скрипте Certbot, посетите документацию Certbot.

Apache Centos давайте зашифровать Certbot SSL