Безопасный Apache с давайте шифровать на Ubuntu 18.04

Let's Encrypt - это центр сертификации, созданный Исследовательской группой по безопасности в Интернете (ISRG). Он предоставляет бесплатные сертификаты SSL через полностью автоматизированный процесс, предназначенный для устранения ручного создания, проверки, установки и обновления сертификатов.

Сертификаты, выпущенные Let's Encrypt, сегодня доверяют всем основным браузерам.

В этом руководстве мы предоставим пошаговые инструкции по защите вашего Apache с помощью Let's Encrypt с использованием инструмента certbot в Ubuntu 18.04.

Предпосылки

Убедитесь, что вы выполнили следующие предварительные условия, прежде чем продолжить этот урок:

• Доменное имя, указывающее на IP вашего публичного сервера. Мы будем использовать example.com . У вас установлен Apache с виртуальным хостом apache для вашего домена.

Установить Certbot

Certbot - это полнофункциональный и простой в использовании инструмент, который может автоматизировать задачи по получению и обновлению SSL-сертификатов Let's Encrypt и настройке веб-серверов. Пакет certbot включен в стандартные хранилища Ubuntu.

Обновите список пакетов и установите пакет certbot:

sudo apt update sudo apt install certbot

Генерация группы Strong Dh (Diffie-Hellman)

Обмен ключами Диффи-Хеллмана (DH) - это метод безопасного обмена криптографическими ключами по незащищенному каналу связи. Мы собираемся сгенерировать новый набор 2048-битных параметров DH для усиления безопасности:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048 Если вы хотите, вы можете изменить размер до 4096 бит, но в этом случае генерация может занять более 30 минут в зависимости от энтропии системы.

Получение SSL-сертификата Let's Encrypt

Чтобы получить SSL-сертификат для домена, мы собираемся использовать плагин Webroot, который работает путем создания временного файла для проверки запрашиваемого домена в каталоге ${webroot-path}/.well-known/acme-challenge . Сервер Let's Encrypt отправляет HTTP-запросы во временный файл для проверки того, что запрашиваемый домен разрешается на сервере, на котором работает certbot.

Чтобы упростить .well-known/acme-challenge мы собираемся отобразить все HTTP-запросы для .well-known/acme-challenge в один каталог /var/lib/letsencrypt .

Следующие команды создадут каталог и сделают его доступным для записи для сервера Apache.

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp www-data /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

Чтобы избежать дублирования кода, создайте следующие два фрагмента конфигурации:

/etc/apache2/conf-available/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS /etc/apache2/conf-available/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

Приведенный выше фрагмент использует перехватчики, рекомендованные Cipherli.st, включает сшивание OCSP, HTTP Strict Transport Security (HSTS) и применяет несколько ориентированных на безопасность заголовков

Перед включением файлов конфигурации убедитесь, что оба mod_ssl и mod_headers включены, mod_headers :

sudo a2enmod ssl sudo a2enmod headers

Затем включите файлы конфигурации SSL, выполнив следующие команды:

sudo a2enconf letsencrypt sudo a2enconf ssl-params

Включите модуль HTTP / 2, который сделает ваши сайты быстрее и надежнее:

sudo a2enmod

Перезагрузите конфигурацию Apache, чтобы изменения вступили в силу:

sudo systemctl reload apache2

Теперь мы можем запустить инструмент Certbot с помощью плагина webroot и получить файлы сертификатов SSL, набрав:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Если сертификат SSL успешно получен, certbot напечатает следующее сообщение:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-10-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

Теперь, когда у вас есть файлы сертификатов, измените конфигурацию виртуального хоста вашего домена следующим образом:

/etc/apache2/sites-available/example.com.conf

ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration

В приведенной выше конфигурации мы форсируем HTTPS и перенаправляем с www на версию без www. Не стесняйтесь, чтобы настроить конфигурацию в соответствии с вашими потребностями.

Перезагрузите службу Apache, чтобы изменения вступили в силу:

sudo systemctl reload apache2

Теперь вы можете открыть свой сайт, используя https:// , и вы увидите зеленый значок замка.

Автообновление Let's Encrypt SSL сертификата

Сертификаты Let's Encrypt действительны в течение 90 дней. Для автоматического продления сертификатов до истечения срока их действия пакет certbot создает cronjob, который запускается два раза в день и автоматически обновляет любой сертификат за 30 дней до истечения срока его действия.

После обновления сертификата нам также необходимо перезагрузить службу Apache. Добавьте --renew-hook "systemctl reload apache2" к файлу /etc/cron.d/certbot чтобы он выглядел следующим образом:

/etc/cron.d/certbot

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload apache2"

Чтобы проверить процесс обновления, вы можете использовать ключ --dry-run :

sudo certbot renew --dry-run

Если ошибок нет, значит, процесс обновления прошел успешно.

Вывод

В этом руководстве вы использовали клиентский сертификат Let's Encrypt для загрузки SSL-сертификатов для вашего домена. Вы также создали фрагменты Apache, чтобы избежать дублирования кода, и настроили Apache для использования сертификатов. В конце урока вы установили cronjob для автоматического продления сертификата.

Apache Ubuntu давайте зашифровать Certbot SSL

Этот пост является частью серии статей "Как установить лампу в стеке на Ubuntu-18-04".

Другие посты в этой серии:

• Как установить Apache на Ubuntu 18.04 • Как настроить виртуальные хосты Apache на Ubuntu 18.04 • Безопасный Apache с Let's Encrypt на Ubuntu 18.04 • Как установить MySQL на Ubuntu 18.04 • Как установить PHP на Ubuntu 18.04