Безопасный Apache с давайте зашифруем на Debian 9

Let's Encrypt - это центр сертификации, созданный Исследовательской группой по безопасности в Интернете (ISRG). Он предоставляет бесплатные сертификаты SSL через полностью автоматизированный процесс, предназначенный для устранения ручного создания, проверки, установки и обновления сертификатов.

Сертификаты, выданные Let's Encrypt, действительны в течение 90 дней с даты выпуска и сегодня пользуются доверием всех основных браузеров.

Этот учебник проведет вас через процесс получения бесплатного Let's Encrypt с помощью инструмента certbot в Debian 9. Мы также покажем, как настроить Apache для использования нового сертификата SSL и включения HTTP / 2.

Предпосылки

Убедитесь, что вы выполнили следующие предварительные условия, прежде чем продолжить этот учебник:

• Вы вошли в систему как пользователь с привилегиями sudo. Укажите доменное имя, указывающее на IP-адрес публичного сервера вашего сервера. Мы будем использовать example.com Apache установлен. Виртуальный хост Apache для вашего домена. Вы можете следовать этим инструкциям для получения подробной информации о том, как его создать.

Установить Certbot

Certbot - это полнофункциональный и простой в использовании инструмент, который может автоматизировать задачи по получению и обновлению SSL-сертификатов Let's Encrypt. Пакет certbot входит в стандартные репозитории Debian.

Обновите список пакетов и установите пакет certbot, используя следующие команды:

sudo apt update sudo apt install certbot

Генерация группы Strong Dh (Diffie-Hellman)

Обмен ключами Диффи-Хеллмана (DH) - это метод безопасного обмена криптографическими ключами по незащищенному каналу связи.

Чтобы сгенерировать новый набор 2048-битных параметров DH, запустите:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048 При желании вы можете изменить размер до 4096 бит, но в этом случае генерация может занять более 30 минут в зависимости от энтропии системы.

Получение SSL-сертификата Let's Encrypt

Чтобы получить сертификат SSL для нашего домена, мы собираемся использовать плагин Webroot, который работает путем создания временного файла для проверки запрашиваемого домена в каталоге ${webroot-path}/.well-known/acme-challenge . Сервер Let's Encrypt отправляет HTTP-запросы во временный файл для проверки того, что запрашиваемый домен разрешается на сервере, на котором работает certbot.

Чтобы упростить .well-known/acme-challenge мы собираемся отобразить все HTTP-запросы для .well-known/acme-challenge в один каталог /var/lib/letsencrypt .

Следующие команды создают каталог и делают его доступным для записи для сервера Apache.

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp www-data /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

Чтобы избежать дублирования кода, создайте следующие два фрагмента конфигурации:

/etc/apache2/conf-available/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS /etc/apache2/conf-available/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

Приведенный выше фрагмент использует перехватчики, рекомендованные Cipherli.st, включает сшивание OCSP, HTTP Strict Transport Security (HSTS) и применяет несколько ориентированных на безопасность заголовков

Перед включением файлов конфигурации убедитесь, что оба mod_ssl и mod_headers включены, mod_headers :

sudo a2enmod ssl sudo a2enmod headers

Включите модуль HTTP / 2, который сделает ваши сайты быстрее и надежнее:

sudo a2enmod

Включите файлы конфигурации SSL, выполнив следующие команды:

sudo a2enconf letsencrypt sudo a2enconf ssl-params

Перезагрузите конфигурацию Apache, чтобы изменения вступили в силу:

sudo systemctl reload apache2

Используйте инструмент Certbot с плагином webroot для получения файлов сертификата SSL:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Если сертификат SSL успешно получен, certbot напечатает следующее сообщение:

IMPORTANT NOTES: IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will expire on 2019-01-17. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you lose your account credentials, you can recover through e-mails sent to [email protected]. - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

Теперь, когда у вас есть файлы сертификатов, измените конфигурацию виртуального хоста вашего домена следующим образом:

/etc/apache2/sites-available/example.com.conf

ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration

В приведенной выше конфигурации мы форсируем HTTPS и перенаправляем с www на версию без www. Не стесняйтесь, чтобы настроить конфигурацию в соответствии с вашими потребностями.

Перезагрузите службу Apache, чтобы изменения вступили в силу:

sudo systemctl reload apache2

Откройте свой веб-сайт, используя https:// , и вы увидите зеленый значок замка.

Автообновление Let's Encrypt SSL сертификата

Сертификаты Let's Encrypt действительны в течение 90 дней. Для автоматического продления сертификатов до истечения срока их действия пакет certbot создает cronjob, который запускается два раза в день и автоматически продлевает любой сертификат за 30 дней до истечения срока его действия.

После обновления сертификата нам также необходимо перезагрузить службу Apache. Добавьте --renew-hook "systemctl reload apache2" в файл /etc/cron.d/certbot чтобы он выглядел следующим образом:

/etc/cron.d/certbot

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload apache2"

Чтобы проверить процесс обновления, используйте ключ --dry-run :

sudo certbot renew --dry-run

Если ошибок нет, значит, процесс обновления прошел успешно.

Вывод

В этом руководстве вы использовали клиентский сертификат Let's Encrypt для получения SSL-сертификатов для вашего домена. Вы также создали фрагменты Apache, чтобы избежать дублирования кода, и настроили Apache для использования сертификатов. В конце урока вы установили cronjob для автоматического продления сертификата.

Apache Debian давайте зашифровать Certbot SSL

Этот пост является частью инструкции по установке стека LAMP в серии Debian 9.

Другие посты в этой серии:

• Как установить Apache на Debian 9 • Как установить PHP на Debian 9 • Как настроить виртуальные хосты Apache на Debian 9 • Как установить MariaDB на Debian 9 • Безопасный Apache с Let's Encrypt на Debian 9