Cách Cài đặt Cho Phép Mã Hóa SSL Trên CentOS 7 Chạy Máy Chủ ...

• Giới thiệu
• Điều kiện tiên quyết
• Cài đặt các mô-đun phụ thuộc
• Đang tải xuống ứng dụng khách Encrypt
• Lấy và định cấu hình chứng chỉ SSL
• Cấu hình gia hạn chứng chỉ tự động
• Phần kết luận

Giới thiệu

Trong hướng dẫn này, bạn sẽ tìm hiểu quy trình cài đặt chứng chỉ TLS / SSL trên máy chủ web Apache. Khi kết thúc, tất cả lưu lượng giữa máy chủ và máy khách sẽ được mã hóa. Đây là một thông lệ tiêu chuẩn để bảo vệ các trang web thương mại điện tử và các dịch vụ tài chính trực tuyến khác. Let Encrypt là nhà tiên phong triển khai SSL miễn phí và sẽ được sử dụng làm nhà cung cấp chứng chỉ trong trường hợp này.

Điều kiện tiên quyết

Trước khi bạn bắt đầu hướng dẫn này, bạn sẽ cần những điều sau đây:

• Quyền truy cập root SSH vào VPS CentOS 7
• Máy chủ web Apache với tên miền và vhost được cấu hình đúng
• Một người dùng sudo không root

Cài đặt các mô-đun phụ thuộc

Để cài đặt certbot, bạn sẽ phải cài đặt kho lưu trữ EPEL vì nó không có sẵn theo mặc định, mod_sslcũng được yêu cầu để mã hóa được Apache nhận ra:

sudo yum install -y epel-release mod_ssl

Đang tải xuống ứng dụng khách Encrypt

Tiếp theo, bạn sẽ cài đặt ứng dụng khách certbot từ kho lưu trữ EPEL:

sudo yum install python-certbot-apache

Lấy và định cấu hình chứng chỉ SSL

Certbot sẽ xử lý việc quản lý chứng chỉ SSL khá dễ dàng. Nó sẽ tạo một chứng chỉ mới cho miền được cung cấp dưới dạng tham số.

Trong trường hợp này, example.comsẽ được sử dụng làm tên miền mà chứng chỉ sẽ được cấp:

sudo certbot --apache -d example.com

Nếu bạn muốn tạo SSL cho nhiều tên miền hoặc tên miền phụ, hãy sử dụng lệnh sau:

sudo certbot --apache -d example.com -d www.example.com

Lưu ý: Tên miền đầu tiên phải là tên miền cơ sở của bạn, trong ví dụ này : example.com.

Khi bạn cài đặt chứng chỉ, bạn sẽ nhận được hướng dẫn từng bước cho phép bạn tùy chỉnh các chi tiết chứng chỉ. Bạn sẽ có thể chọn giữa buộc HTTPShoặc rời khỏi HTTPgiao thức mặc định. Cung cấp một địa chỉ email cũng sẽ được yêu cầu, vì lý do bảo mật.

Khi cài đặt hoàn tất, bạn sẽ nhận được một thông báo tương tự:

IMPORTANT NOTES: - If you lose your account credentials, you can recover through emails sent to [email protected]. - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will expire on 2019-04-21. To obtain a new version of the certificate in the future, simply run Let's Encrypt again. - Your account credentials have been saved in your Let's Encrypt configuration directory at / etc / letsencrypt. You should make a secure backup of this folder now. This configuration directory will also have certificates and private keys obtained by Let's Encrypt so regular backups of this folder is ideal. - If you like Let's Encrypt, please consider supporting our work by:

Cấu hình gia hạn chứng chỉ tự động

Chứng chỉ mã hóa cho phép có hiệu lực trong 90 ngày. Nên gia hạn trong vòng 60 ngày, để tránh mọi vấn đề. Để đạt được điều này, certbot sẽ hỗ trợ chúng tôi với lệnh gia hạn của bạn. Nó sẽ xác minh rằng chứng chỉ còn ít hơn 30 ngày kể từ ngày hết hạn:

sudo certbot renew

Nếu chứng chỉ đã cài đặt gần đây, certbot sẽ chỉ xác minh ngày hết hạn:

Processing /etc/letsencrypt/renewal/example.com.conf The following certs are not due for renewal yet: /etc/letsencrypt/live/example.com/fullchain.pem (skipped) No renewals were attempted.

To automate this renewal process, you can set up a cronjob. First, open the crontab:

sudo crontab -e

This work can be safely scheduled to run every Monday at midnight:

0 0 * * 1 / usr / bin / certbot renew >> /var/log/sslrenew.log

The output of the script will be piped to the /var/log/sslrenew.log file.

Conclusion

You just secured your Apache web server by implementing a free SSL certificate. From now on all traffic between server and client is encrypted.