Apache aman dengan mengenkripsi mari di centos 7

Let's Encrypt adalah otoritas sertifikat gratis, otomatis, dan terbuka yang dikembangkan oleh Internet Security Research Group (ISRG). Sertifikat yang dikeluarkan oleh Let's Encrypt berlaku selama 90 hari sejak tanggal penerbitan dan dipercaya oleh semua browser utama hari ini.

Dalam tutorial ini, kita akan membahas langkah-langkah yang diperlukan untuk menginstal sertifikat SSL Mari Enkripsi gratis pada server CentOS 7 yang menjalankan Apache sebagai server web. Kami akan menggunakan utilitas certbot untuk mendapatkan dan memperbarui sertifikat Mari Enkripsi.

Prasyarat

Pastikan Anda telah memenuhi prasyarat berikut sebelum melanjutkan dengan tutorial ini:

• Minta nama domain yang menunjuk ke IP server publik Anda. Kami akan menggunakan example.com Apache diinstal dan dijalankan di server Anda. Punya host virtual Apache untuk domain Anda. Laporan 80 dan 443 terbuka di firewall Anda.

Instal paket-paket berikut yang diperlukan untuk server web terenkripsi SSL:

yum install mod_ssl openssl

Instal Certbot

Certbot adalah alat yang menyederhanakan proses untuk mendapatkan sertifikat SSL dari Let's Encrypt dan HTTPS yang mengaktifkan otomatis di server Anda.

Paket certbot dapat digunakan untuk instalasi dari EPEL. Jika repositori EPEL tidak diinstal pada sistem Anda, Anda dapat menginstalnya menggunakan perintah berikut:

sudo yum install epel-release

Setelah repositori EPEL diaktifkan, instal paket certbot dengan mengetik:

sudo yum install certbot

Hasilkan Grup Dh (Diffie-Hellman) yang Kuat

Pertukaran kunci Diffie – Hellman (DH) adalah metode pertukaran kunci kriptografi yang aman melalui saluran komunikasi yang tidak aman. Hasilkan satu set parameter DH 2048 bit baru untuk memperkuat keamanan:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048 Anda dapat mengubah ukuran hingga 4096 bit, tetapi dalam hal ini, pembuatannya dapat memakan waktu lebih dari 30 menit tergantung pada entropi sistem.

Memperoleh Mari Mengenkripsi sertifikat SSL

Untuk mendapatkan sertifikat SSL untuk domain kami, kami akan menggunakan plugin Webroot yang berfungsi dengan membuat file sementara untuk memvalidasi domain yang diminta dalam direktori ${webroot-path}/.well-known/acme-challenge . Server Let's Encrypt membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta menyelesaikan ke server tempat certbot berjalan.

Untuk membuatnya lebih sederhana, kita akan memetakan semua permintaan HTTP untuk. .well-known/acme-challenge ke direktori tunggal, /var/lib/letsencrypt .

Jalankan perintah berikut untuk membuat direktori dan membuatnya dapat ditulis untuk server Apache:

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp apache /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

Untuk menghindari duplikasi kode, buat dua snippet konfigurasi berikut:

/etc/httpd/conf.d/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS /etc/httpd/conf.d/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off

Cuplikan di atas menggunakan chipper yang direkomendasikan oleh Cipherli.st, memungkinkan OCSP Stapling, HTTP Strict Transport Security (HSTS) dan memberlakukan beberapa header HTTP yang berfokus pada keamanan.

Muat ulang konfigurasi Apache agar perubahan diterapkan:

sudo systemctl reload

Sekarang, kita dapat menjalankan alat Certbot dengan plugin webroot dan mendapatkan file sertifikat SSL dengan mengetik:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Jika sertifikat SSL berhasil diperoleh, certbot akan mencetak pesan berikut:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-12-07. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

CentOS 7 dikirimkan dengan Apache versi 2.4.6, yang tidak termasuk arahan SSLOpenSSLConfCmd . Arahan ini hanya tersedia di Apache 2.4.8 nanti, dan digunakan untuk konfigurasi parameter OpenSSL seperti Diffie-Hellman key exchange (DH).

Kami harus membuat file gabungan baru menggunakan sertifikat Mari Enkripsi SSL dan file DH yang dihasilkan. Untuk melakukan ini, ketik:

cat /etc/letsencrypt/live/example.com/cert.pem /etc/ssl/certs/dhparam.pem >/etc/letsencrypt/live/example.com/cert.dh.pem

Sekarang semuanya sudah diatur, edit konfigurasi host virtual domain Anda sebagai berikut:

/etc/httpd/conf.d/example.com.conf

ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration

Dengan konfigurasi di atas, kami memaksa HTTPS dan mengalihkan dari versi www ke versi non-www. Jatuh bebas untuk menyesuaikan konfigurasi sesuai dengan kebutuhan Anda.

Mulai ulang layanan Apache agar perubahan diterapkan:

sudo systemctl restart

Anda sekarang dapat membuka situs web Anda menggunakan https:// dan Anda akan melihat ikon kunci hijau.

Perpanjangan otomatis Mari Enkripsi sertifikat SSL

Sertifikat Let's Encrypt berlaku selama 90 hari. Untuk memperbarui sertifikat secara otomatis sebelum habis masa berlakunya, kami akan membuat cronjob yang akan berjalan dua kali sehari dan secara otomatis memperbarui sertifikat apa pun 30 hari sebelum berakhirnya.

Jalankan perintah crontab untuk membuat cronjob baru yang akan memperbarui sertifikat, membuat file gabungan baru termasuk kunci DH dan restart apache:

sudo crontab -e

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload

Simpan dan tutup file.

Untuk menguji proses pembaruan, Anda dapat menggunakan perintah certbot diikuti oleh --dry-run switch:

sudo certbot renew --dry-run

Jika tidak ada kesalahan, itu berarti proses pembaruan berhasil.

Kesimpulan

Dalam tutorial ini, Anda menggunakan Certbot klien Let's Encrypt klien untuk mengunduh sertifikat SSL untuk domain Anda. Anda juga telah membuat snippet Apache untuk menghindari duplikasi kode dan mengkonfigurasi Apache untuk menggunakan sertifikat. Di akhir tutorial, Anda telah menyiapkan cronjob untuk perpanjangan sertifikat otomatis.

apache centos mari kita mengenkripsi certbot ssl

Posting ini adalah bagian dari seri Instal LAMP Stack on CentOS 7.

Posting lain dalam seri ini:

• Cara Menginstal Apache pada CentOS 7 • Menginstal MySQL pada CentOS 7 • Cara Mengatur Apache Virtual Hosts pada CentOS 7 • Amankan Apache dengan Let's Encrypt on CentOS 7