Varen Apache s certifikatom Let’s Encrypt na Rocky Linuxu

V našem prejšnjem vodniku smo vas vodili skozi konfiguriranje virtualnih gostiteljev Apache v primeru, da morate na enem strežniku gostiti več spletnih mest.

Vendar se ne konča samo tam. Varnost spletnega mesta je zdaj ena največjih skrbi v večini organizacij in uporabnikov ob vse večjih kibernetskih grožnjah. Obstaja več načinov za zaščito vaše spletne strani. Eden od glavnih načinov izvajanja osnovne zaščite pred hekerji je šifriranje vašega spletnega mesta s certifikatom SSL/TLS.

Potrdilo SSL/TLS je kriptografsko potrdilo, ki preverja pristnost vašega spletnega mesta in šifrira podatke, izmenjane med uporabnikovim brskalnikom in spletnim strežnikom.

Dejansko vaše spletno mesto preklopi z uporabe protokola HTTP, ki pošilja podatke v golem besedilu, na HTTPS (HTTP Secure), ki šifrira podatke. Brez šifriranja lahko hekerji zlahka pridejo do zaupnih informacij, kot so uporabniška imena in gesla, tako da prisluhnejo podatkom, ki si jih izmenjujeta spletni strežnik in brskalnik.

Pred časom je Google opozoril uporabnike, ki obiščejo nešifrirana spletna mesta, tako da je na naslovno vrstico postavil oznako »Ni varno«. S tem želimo, da bi uporabniki med brskanjem po spletnem mestu sodelovali pri tveganju.

Če ste lastnik spletnega mesta, zagotovo ne bi želeli svojih strank in obiskovalcev spletnega mesta ogroziti, da bodo njihovi osebni podatki izpostavljeni hekerjem. Zaradi tega je namestitev potrdila SSL na vaš spletni strežnik temeljni korak k zaščiti vašega spletnega mesta.

V tem priročniku vam bomo pokazali, kako zavarovati spletni strežnik Apache na Rocky Linux 8 z uporabo Lets Encrypt SSL certifikata.

Da bi to delovalo, morate imeti svojo domeno usmerjeno na javni IP naslov vašega spletnega mesta. Zato se morate odpraviti do svojega spletnega gostitelja in zagotoviti, da ime domene kaže na IP vašega spletnega strežnika.

Tukaj imamo domeno tecmint.info, ki kaže na javni naslov IP našega virtualnega strežnika.

1. korak: Namestite EPEL Repo v Rocky Linux

Začnemo z namestitvijo predpogojevnih paketov, ki se bodo na poti izkazali za koristne. Namestili bomo repozitorij EPEL in paket mod_ssl, ki je varnostni modul za strežnik Apache HTTP, ki zagotavlja močno kriptografijo z uporabo protokolov SSL/TLS z uporabo OpenSSL.

$ sudo dnf install epel-release mod_ssl

2. korak: Namestite Certbot v Rocky Linux

Zdaj namestimo Certbot – je odjemalec, ki pridobi potrdilo SSL od organa Let’s Encrypt in avtomatizira njegovo namestitev in konfiguracijo. To odpravlja bolečino in vrvež pri ročnem izvajanju celotnega postopka.

$ sudo dnf install certbot python3-certbot-apache 

Certbot je zdaj v celoti nameščen in dobro konfiguriran.

3. korak: Namestitev SSL certifikata za Apache v Rocky Linux

Zadnji korak je pridobivanje in namestitev certifikata Let’s Encrypt SSL. Če želite to doseči, zaženite ukaz:

$ sudo certbot --apache

To sproži vrsto pozivov. Najprej boste morali navesti svoj e-poštni naslov. Nato prelistajte pogoje storitve na navedenem URL-ju in pritisnite Y, da se strinjate s pogoji, in pritisnite ENTER.

Nato vas bodo vprašali, ali ste pripravljeni deliti svoj e-poštni naslov z EFF (Electronic Frontier Foundation), ki je ustanovni partner Let’s Encrypt.

Če delite svoj e-poštni naslov, se boste naročili na novice, akcije in druge posodobitve o organizaciji. Če vam je všeč, da navedete svoj e-poštni naslov, pritisnite Y, sicer pa pritisnite N in pritisnite ENTER.

Naslednji poziv bo zagotovil seznam domen na podlagi konfiguracije vašega spletnega strežnika in vas vprašal, na kateri želite omogočiti HTTPS. Izberete lahko bodisi 1 ali 2. Toda zaradi enotnosti preprosto pritisnite ENTER, da omogočite HTTPS za vse domene.

Certbot bo dokončal namestitev in konfiguracijo Let’s Encrypt ter shranil varnostne ključe na pot /etc/letsencrypt/live/yourdomain/.

Če je šlo vse po načrtu, se prikaže rezultat.

4. korak: Samodejno obnovite SSL certifikat za Apache v Rocky Linuxu

Certbot ponuja skript za podaljšanje certifikata le nekaj dni pred iztekom njegove veljavnosti. Za testiranje skripta lahko izvedete suhi tek, kot je prikazano.

$ sudo certbot renew --dry-run

Zdaj, če želite avtomatizirati obnovo potrdila s skriptom, uredite crontab.

$ crontab -e

Določite prikazano opravilo cron in shranite spremembe.

0 * * * * /usr/sbin/certbot-auto renew

4. korak: Preverite potrdilo Apache SSL v Rocky Linuxu

Če želite potrditi, da je vaše spletno mesto šifrirano, preprosto pojdite v brskalnik in znova naložite spletno mesto. Tokrat bi morali videti ikono ključavnice tik pred URL-jem spletnega mesta.

Če želite zbrati več podrobnosti, kliknite ikono in v meniju, ki se prikaže, kliknite možnost »Certifikat«.

To izpolni vse podrobnosti potrdila, kot so navedeni.

Moč svojega potrdila lahko preizkusite tako, da se odpravite na SSL Labs Test. Navedite URL spletnega mesta ali ime domene in pritisnite ENTER.

Morali bi dobiti oceno A, kot je navedeno tukaj.

Če ste prišli tako daleč, bi morali biti sposobni šifrirati svoj spletni strežnik Apache z uporabo certifikata Let’s Encrypt SSL z uporabo odjemalca Certbot iz EFF.