VPS

Как Установить SSL Сертификат на Apache под Управлением CentOS 7

как установить ssl сертификат под управлением centos 7

Введение

В этом руководстве вы узнаете, как установить SSL/TLS сертификат на сервер Apache. После завершения данной процедуры, весь трафик между сервером и клиентом будет зашифрован. Это стандартная практика защиты сайтов электронной коммерции или других финансовых онлайн сервисов. Здесь мы будем использовать в качестве поставщика сертификата Let’s Encrypt – первопроходца в области внедрения технологий SSL.

Что вам понадобится

Перед тем, как вы начнете это руководство, вам понадобится следующее:

  • SSH root доступ к CentOS 7 VPS
  • Веб-сервер Apache с настроенным доменом и vhost

Шаг 1 — Установка зависимых модулей

Для установки сертификата нам необходим certbot, соответственно необходимо наличие EPEL хранилища, так как оно теперь недоступно по умолчанию. Также требуется mod_ssl для того, чтобы сервер Apache мог распознавать шифрование.

Для установки этих двух модулей, выполните данную команду в командной строке:

yum install epel-release mod_ssl

Приготовления завершены. Теперь вы готовы для установки самого certbot.

Шаг 2 — Установка клиента Let’s Encrypt

Установите certbot из EPEL хранилища выполнив команду:

yum install python-certbot-apache

Теперь сertbot должен быть установлен и готов к использованию.

Шаг 3 — Настройка SSL сертификата

Certbot – это отличный инструмент для управления SSL сертификатами, также он имеет возможность сгенерировать новый сертификат для определенного домена.

Здесь в качестве примера для которого будет создан сертификат, будет использоваться домен example.ru:

certbot --apache -d example.ru

Если вы хотите сгенерировать несколько SSL сертификатов для нескольких доменов и субдоменов, запустите эту команду:

certbot --apache -d example.ru -d www.example.ru

ВАЖНО! Первый домен должен быть вашим базовым доменом, в этом примере это example.ru.

В процессе установки вам будет представлено пошаговое руководство по настройке вашего сертификата. Вы сможете настроить использование HTTPS или оставить HTTP в качестве протокола по умолчанию, также вам будет необходимо предоставить адрес вашей электронной почты в целях безопасности.

Как только установка будет завершена, вы увидите следующее сообщение:

IMPORTANT NOTES:
 - If you lose your account credentials, you can recover through
   e-mails sent to user@example.com.
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/example.com/fullchain.pem. Your cert
   will expire on 2016-04-21. To obtain a new version of the
   certificate in the future, simply run Let's Encrypt again.
 - Your account credentials have been saved in your Let's Encrypt
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Let's
   Encrypt so making regular backups of this folder is ideal.
 - If you like Let's Encrypt, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Шаг 4 — Настройка автообновления SSL сертификата

Сертификат Let’s Encrypt действителен в течении 90 дней, но каждый веб-эксперт порекомендует вам обновлять его каждые 60 дней для избежания возникновения проблем с обновлением. Сделать это вам поможет сам certbot, с помощью команды renew. После выполнения команды он проверит время до истечения срока действия сертификата.

Для этого запустите данную команду:

certbot renew

Если установленный сертификат еще действителен, certbot проверит только дату истечения срока годности:

Processing /etc/letsencrypt/renewal/example.com.conf

The following certs are not due for renewal yet:
  /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

Для автоматизации данного процесса, вы можете настроить cronjob. Во-первых, откройте crontab:

crontab -e

Эта задача может быть записана в расписание на каждую полночь понедельника.

0 0 * * 1 /usr/bin/certbot renew >> /var/log/sslrenew.log

Журнал выполнения задачи будет выведен в файл /var/log/sslrenew.log.

Заключение

Вы только что защитили ваш веб-сервер Apache подключив бесплатный SSL сертификат! С этого момента весь трафик между сервером и клиентом будет шифроваться. Вы можете быть уверены, что никто не сможет перехватить сообщения или украсть важную информацию.

Добавить комментарий

Нажмите здесь, чтобы оставить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Присоединяйтесь к тысячам других подписчиков по всему миру

и получайте самые свежие руководства на вашу электронную почту

Пожалуйста, подождите...

Спасибо за подписку!

Начните экономить сейчас!

Хостинг и доменное имя от

руб.95
00