Kako nastaviti brezplačni certifikat SSL za Apache v Debianu 10


Zaradi naraščajočih kibernetskih napadov in kršitev je zaščita vašega spletnega mesta glavna prednostna naloga pri zaščiti sebe in obiskovalcev spletnega mesta pred hekerji. V tej vadnici raziskujemo, kako lahko nastavite brezplačno potrdilo SSL s pomočjo Šifrirajmo SSL za Apache v Debianu 10.

Let’s Encrypt je brezplačno potrdilo SSL, ki ga je napisal organ Let’s Encrypt in je veljavno le 90 dni, vendar ga lahko kadar koli obnovite.

Preden nadaljujemo, Kaj je potrdilo SSL? Potrdilo SSL je digitalno potrdilo, ki šifrira komunikacijo med brskalnikom in spletnim strežnikom. To šifrira in zagotavlja, da so vse informacije, poslane na spletni strežnik, zasebne in zaupne. Potrdila SSL se pogosto uporabljajo na spletnih mestih za e-poslovanje, spletnih mestih o bankah in na platformah za pošiljanje/nakazilo denarja, kot so PayPal, Payoneer in Skrill.

Spletna mesta, ki so zaščitena s protokolom SSL, imajo v naslovni vrstici simbol ključavnice, ki ji sledi kratica https (HyperText Transfer Protocol Secure), kot je prikazano na naslednjem posnetku zaslona.

Če spletno mesto ni zaščiteno s potrdilom SSL, bo Google pred naslovom spletnega mesta v naslovu prikazal opozorilo\"Ni varno".

Preden začnemo, se prepričajte, da so izpolnjene naslednje zahteve:

  1. Tekoči primerek strežnika Debian 10 Minimal.
  2. Tekoči primerek spletnega strežnika Apache z nastavitvijo domene v Debianu 10.
  3. Registrirano popolnoma kvalificirano ime domene (FQDN) z zapisom A , ki kaže na naslov IP sistema Debian 10 Linux pri vašem ponudniku domene.

V tej vadnici smo linux-console.net usmerili na naslov IP 192.168.0.104.

1. korak: Namestite Certbot v Debian 10

Za začetek moramo na naš primerek Debian 10 namestiti Certbot. Certbot je odjemalska programska oprema EFF (Electronic Frontier Foundation), ki pridobi Let’s Encrypt SSL in jo nastavi na spletnem strežniku.

Da bi to dosegli, najprej posodobite sistemske repozitorije.

$ sudo apt update

Nato dodajte repozitorij v sistem Debian s pomočjo spodnjega ukaza.

$ sudo apt install python-certbot-apache -t buster-backports

2. korak: pridobite potrdilo SSL za domeno

Po uspešni namestitvi odjemalca certbot nadaljujemo in namestimo potrdilo Let's Encrypt z uporabo spodnjega ukaza.

$ sudo certbot --apache -d your_domain -d www.your_domain

Takoj boste zahtevali vaš e-poštni naslov, kot je prikazano spodaj.

Nato boste pozvani, da se strinjate s pogoji storitve. Vnesite A in pritisnite Enter.

Poleg tega vas bomo vprašali, ali bi bili pripravljeni deliti svoj e-poštni naslov s fundacijo EFF in prejemati redna obvestila o njihovem delu. Vnesite Y in pritisnite Enter.

Potem bo certbot stopil v stik s šifrirajmo strežnike in preveril, ali je domena, za katero zahtevate, registrirana in veljavna domena.

Nato vas bodo vprašali, ali želite vse zahteve preusmeriti na HTTPS. Ker želimo šifrirati dostop HTTP, za preusmeritev vnesite 2 in pritisnite ENTER.

In končno, če bo šlo vse v redu, boste spodaj dobili obvestilo, da ste na spletnem strežniku uspešno omogočili protokol HTTPS in datum poteka veljavnosti vašega SSL certifikata.

3. korak: Dovolite protokol HTTPS na požarnem zidu

Če je požarni zid UFW omogočen, kot je vedno priporočljivo iz varnostnih razlogov, morate dovoliti promet HTTPS prek njega, sicer ne bomo mogli dostopati do našega spletnega mesta v spletnem brskalniku.

Ker HTTPS deluje na vratih 443, odprite vrata tako, da zaženete.

$ sudo ufw allow 443/tcp

Nato znova naložite požarni zid, da izvedete spremembe.

$ sudo ufw reload

Če želite preveriti, ali so spremembe začele veljati, zaženite spodnji ukaz in preverite stanje požarnega zidu.

$ sudo ufw status

Kot lahko vidite iz zgornjega izhoda, so bila odprta vrata 443.

4. korak: Preverite HTTPS na spletnem mestu

Z vsemi opravljenimi in zaprašenimi konfiguracijami je čas, da preverimo, ali naš spletni strežnik uporablja protokol https. Odprite spletni brskalnik in v vrstico URL vnesite ime domene spletnega mesta, ki mu sledi kratica https.

Če ste malo radovedni in želite preveriti več informacij o potrdilu SSL, kliknite simbol ključavnice, kot je prikazano.

V spustnem meniju je možnost "Potrdilo" označena z "Veljaven".

Če želite raziskati več informacij, kliknite to možnost. Pojavi se pojavno okno z vsemi podrobnostmi, vključno z izdajateljem potrdil (Let's Encrypt Authority), datumom izdaje in datumom veljavnosti.

SSL certifikat svojega spletnega mesta lahko preizkusite tudi na https://www.ssllabs.com/ssltest/.

5. korak: Preverjanje samodejnega podaljšanja certifikata SSL Certbot

Certbot samodejno podaljša SSL certifikat 30 dni pred potekom veljavnosti. Če želite preveriti postopek obnovitve, zaženite spodnji ukaz.

$ sudo certbot renew --dry-run

Spodnji izhod potrjuje, da je vse v redu in da se bo certifikat SSL samodejno podaljšal pred 90-dnevnim obdobjem veljavnosti.

Končno smo prišli do konca te vaje. V tej vadnici ste se naučili, kako zaščititi spletni strežnik Apache z enkripcijo SSL. Če imate kakršne koli pripombe ali vprašanja, stopite v stik z nami.