Apache aman dengan mengenkripsi mari di centos 8

Let's Encrypt adalah otoritas sertifikat gratis, otomatis, dan terbuka yang dikembangkan oleh Internet Security Research Group (ISRG) yang menyediakan sertifikat SSL gratis.

Sertifikat yang dikeluarkan oleh Let's Encrypt dipercaya oleh semua browser utama dan berlaku selama 90 hari sejak tanggal penerbitan.

Tutorial ini menjelaskan cara memasang Mari Mengenkripsi sertifikat SSL gratis di CentOS 8 yang menjalankan Apache sebagai server web. Kami akan menggunakan alat certbot untuk mendapatkan dan memperbarui sertifikat.

Prasyarat

Pastikan prasyarat berikut dipenuhi sebelum melanjutkan:

• Minta nama domain yang menunjuk ke IP server publik Anda. Kami akan menggunakan example.com Apache diinstal dan dijalankan di server Anda dengan virtual host yang dikonfigurasi untuk domain Anda. Laporan 80 dan 443 terbuka di firewall Anda.

Instal paket-paket berikut yang diperlukan untuk server web terenkripsi SSL:

sudo dnf install mod_ssl openssl

Ketika paket mod_ssl diinstal, itu harus membuat kunci yang ditandatangani sendiri dan file sertifikat untuk localhost. Jika file tidak dibuat secara otomatis, Anda dapat membuatnya menggunakan perintah openssl :

sudo openssl req -newkey rsa:4096 -x509 -sha256 -days 3650 -nodes \ -out /etc/pki/tls/certs/localhost.crt \ -keyout /etc/pki/tls/private/localhost.key

Instal Certbot

Certbot adalah alat baris perintah gratis yang menyederhanakan proses untuk memperoleh dan memperbarui Mari Enkripsi sertifikat SSL dari dan HTTPS yang mengaktifkan otomatis di server Anda.

Paket certbot tidak termasuk dalam repositori CentOS 8 standar, tetapi dapat diunduh dari situs web vendor.

Jalankan perintah wget berikut sebagai pengguna root atau sudo untuk mengunduh skrip certbot ke /usr/local/bin :

sudo wget -P /usr/local/bin

Setelah unduhan selesai, buat file tersebut dapat dieksekusi:

sudo chmod +x /usr/local/bin/certbot-auto

Hasilkan Grup Dh (Diffie-Hellman) yang Kuat

Pertukaran kunci Diffie – Hellman (DH) adalah metode pertukaran kunci kriptografi yang aman melalui saluran komunikasi yang tidak aman. Hasilkan satu set parameter DH 2048 bit baru untuk memperkuat keamanan:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Anda dapat mengubah ukuran hingga 4096 bit, tetapi pembuatannya dapat memakan waktu lebih dari 30 menit tergantung pada entropi sistem.

Memperoleh Mari Mengenkripsi sertifikat SSL

Untuk mendapatkan sertifikat SSL untuk domain, kita akan menggunakan plugin Webroot yang berfungsi dengan membuat file sementara untuk memvalidasi domain yang diminta dalam direktori ${webroot-path}/.well-known/acme-challenge . Server Let's Encrypt membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta menyelesaikan ke server tempat certbot berjalan.

Untuk membuat pengaturan lebih sederhana, kita akan memetakan semua permintaan HTTP untuk. .well-known/acme-challenge ke satu direktori, /var/lib/letsencrypt .

Jalankan perintah berikut untuk membuat direktori dan membuatnya dapat ditulis untuk server Apache.

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp apache /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

Untuk menghindari duplikasi kode dan membuat konfigurasi lebih mudah dikelola, buat dua snippet konfigurasi berikut:

/etc/httpd/conf.d/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS /etc/httpd/conf.d/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM # Requires Apache 2.4.36 & OpenSSL 1.1.1 SSLProtocol -all +TLSv1.3 +TLSv1.2 SSLOpenSSLConfCmd Curves X25519:secp521r1:secp384r1:prime256v1 # Older versions # SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

Cuplikan di atas menggunakan chipper yang direkomendasikan oleh Cipherli.st. Ini memungkinkan Stapel OCSP, Keamanan Transportasi Ketat HTTP (HSTS), kunci Dh, dan memberlakukan beberapa tajuk HTTP yang berfokus pada keamanan.

Muat ulang konfigurasi Apache agar perubahan diterapkan:

sudo systemctl reload

Sekarang, Anda dapat menjalankan skrip certbot dengan plugin webroot dan mengambil file sertifikat SSL:

sudo /usr/local/bin/certbot-auto certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Jika berhasil, certbot akan mencetak pesan berikut:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2020-01-26. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

Sekarang semuanya sudah diatur, edit konfigurasi host virtual domain Anda sebagai berikut:

/etc/httpd/conf.d/example.com.conf

ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration

Konfigurasi di atas adalah memaksa HTTPS dan mengalihkan dari versi www ke versi non-www. Ini juga memungkinkan HTTP / 2, yang akan membuat situs Anda lebih cepat dan lebih kuat. Jatuh bebas untuk menyesuaikan konfigurasi sesuai dengan kebutuhan Anda.

Mulai ulang layanan Apache:

sudo systemctl restart

Anda sekarang dapat membuka situs web Anda menggunakan https:// , dan Anda akan melihat ikon kunci hijau.

Perpanjangan otomatis Mari Enkripsi sertifikat SSL

Sertifikat Let's Encrypt berlaku selama 90 hari. Untuk memperbarui sertifikat secara otomatis sebelum kedaluwarsa, kami akan membuat cronjob yang akan berjalan dua kali sehari dan secara otomatis memperbarui sertifikat apa pun 30 hari sebelum berakhir.

Jalankan perintah berikut untuk membuat cronjob baru yang akan memperbarui sertifikat dan mulai ulang Apache:

echo "0 0, 12 * * * root python3 -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/bin/certbot-auto -q renew --renew-hook \"systemctl reload httpd\"" | sudo tee -a /etc/crontab > /dev/null

Untuk menguji proses pembaruan, gunakan perintah certbot diikuti oleh --dry-run switch:

sudo /usr/local/bin/certbot-auto renew --dry-run

Jika tidak ada kesalahan, itu berarti proses pembaruan berhasil.

Kesimpulan

Dalam tutorial ini, kami berbicara tentang cara menggunakan certbot klien Let's Encrypt di CentOS untuk mendapatkan sertifikat SSL untuk domain Anda. Anda juga telah menunjukkan kepada Anda cara mengkonfigurasi Apache untuk menggunakan sertifikat dan mengatur cronjob untuk pembaruan sertifikat otomatis.

Untuk mempelajari lebih lanjut tentang skrip Certbot, kunjungi dokumentasi Certbot.

apache centos mari kita mengenkripsi certbot ssl