Plasarea serverelor în centre de date fiabile din Europa. Deschideți serverul VPS / VDS bazat pe cloud pe SSD-uri rapide în 1 minut!
Cel mai bun Gazduire:
- protejează datele de accesul nedorit într-un centru de date european protejat
- va accepta plata cel puțin în taxe.
- vă va permite să vă distribuiți distribuția
- protecția împotriva atacurilor DDos
- copie de rezervă gratuită
- Uptime 99.9999%
- Centrul de date - TIER III
- furnizor - TIER I
Sprijinim în limba rusă 24/7/365 Lucrăm cu persoane juridice și persoane fizice. Acum aveți nevoie de 24 nuclee și 72 GB de memorie RAM. Vă rog!
Tarifele noastre avantajoase vor dovedi că nu ați știut încă ieftinul de găzduire!
Minute: selectați configurația, plătiți și CMS de pe VPS este gata.
Banii înapoi - 30 de zile!
Carduri bancare, e-valută, prin intermediul terminalelor Qiwi, Webmoney, PayPal, Novoplat etc.
Puneți o întrebare la sprijinul 24/7/365
Găsiți răspunsuri în baza noastră de date și cunoașteți recomandările
Acest ghid vă va ajuta să configurați Certificarea TLS / SSL pentru Apache pe serverul Debian 8 și să vă automatizați actualizarea.
Certificatele SSL sunt necesare pentru ca serverele Web să cripteze traficul între server și client, ceea ce sporește securitatea datelor utilizatorului și aplicațiilor. Serviciul Criptare vă permite să obțineți rapid și ușor un astfel de certificat.
cerinţe
1: Instalarea clientului certbot
Mai întâi trebuie să instalați certbot. Acesta este clientul Criptați, care vă permite să obțineți un certificat SSL.
Pachetul certbot nu se află în depozitul oficial al Debian 8. Puteți descărca pachetul certbot din depozitul backports al Jessie.
Adăugați acest depozit:
Actualizați indexul de pachete:
sudo apt-get update
Acum puteți instala pachetul python-certbot-apache.
Notă. Depozitele backports nu sunt recomandate pentru actualizările la nivel de sistem. Instalați numai pachetele de care aveți nevoie. Backports pachetele sunt mai puțin compatibile decât pachetele din depozitele principale.
Pentru a evita instalarea sau actualizarea accidentală a pachetelor din depozitul backports, utilizați pavilionul -t în fața numelui repository.
sudo apt-get instala certbot -t jessie-backports
Clientul certbot este pregătit să lucreze.
2: Configurarea Apache
Domeniile pentru care este destinat certificatul pot fi transmise utilitarului certbot ca argumente. Cu toate acestea, certbot le poate citi, de asemenea, în fișierul de configurare Apache. Pentru aceasta, specificați domeniul în direcția ServerName și subdomeniul în ServerAlias.
Dacă serverul Apache nu a fost instalat mai devreme, acesta a fost inclus în instalarea pachetului python-certbot-apache. Deschideți gazda virtuală în mod implicit:
sudo nano /etc/apache2/sites-available/000-default.conf
Adăugați o direcție ServerName la fișier și specificați un nume de domeniu în el. Suprafețele alternative sau adiționale care trebuie să fie întreținute de server trebuie să fie adăugate la directiva ServerAlias.
Setările arată astfel:
.
ServerName example.com
ServerAlias www.example.com
.
Pentru a salva și a închide fișierul, apăsați CTRL + X, Y și Enter.
Verificați fișierul pentru erori:
sudo apache2ctl configtest
Echipa ar trebui să se întoarcă:
Dacă există erori în fișier, remediați-le. Apoi, reporniți serverul web:
sudo systemctl reporni apache2
3: Configurarea paravanului de protecție
Dacă ați activat paravanul de protecție, trebuie să deblocați traficul SSL.
Notă. Dacă firewall-ul este dezactivat, puteți sări peste această secțiune.
UFW firewall
statutul sudo ufw
Dacă lista de reguli arată astfel, atunci paravanul de protecție transmite numai traficul HTTP:
Stare: activă
La acțiune de la
-- ------ ----
SSH ALLOW Anywhere
SSH (v6) PLEASE ORICE Oriunde (v6)
Pentru a activa traficul HTTPS, activați suportul profilului WWW.
sudo ufw permite "WWW Full"
Acum lista regulilor arată astfel:
statutul sudo ufw
Stare: activă
La acțiune de la
-- ------ ----
SSH ALLOW Anywhere
WWW ALL ALLOW Anywhere
SSH (v6) PLEASE ORICE Oriunde (v6)
WWW Full (v6) PLEASE ORICE Oriunde (v6)
Acum firewall-ul suportă traficul HTTPS.
Firewall-ul Iptables
sudo iptables -S
Pe ecran apare o listă de reguli. De exemplu:
-INTRARE DROP
-P PENTRU ACCEPTUL FORWARD
-P PENTRU ACCEPTAREA OUTPUTULUI
-A INPUT -i lo -j ACCEPT
-A INTRARE -m conntrack -ctstate RELATED, ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp -dport 80 -j ACCEPT
Ce reguli trebuie adăugate pentru a configura suportul SSL depinde de regulile firewall existente. Dacă utilizați un set de reguli de bază, utilizați această regulă:
sudo iptables -I INPUT -p tcp -dport 443 -j ACCEPT
sudo iptables -S
-INTRARE DROP
-P PENTRU ACCEPTUL FORWARD
-P PENTRU ACCEPTAREA OUTPUTULUI
-A INPUT -p tcp -m tcp -dport 443 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INTRARE -m conntrack -ctstate RELATED, ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp -dport 80 -j ACCEPT
Dacă regulile iptables sunt încărcate automat cu serverul, adăugați o nouă regulă la această setare.
4: Crearea unui certificat SSL
Generați un certificat SSL pentru Apache utilizând aplicația Descărcați clientul Criptați. E destul de simplu. Clientul va primi automat și va instala un certificat SSL valabil pentru domeniile specificate în fișierul de configurare Apache
Pentru a rula instalarea interactivă și pentru a obține un certificat pentru toate aceste domenii, executați următoarea comandă:
sudo certbot --apache
Utilitarul certbot va citi setările Apache, va găsi toate domeniile necesare și va crea un certificat pentru ele. Mai târziu, puteți elimina unele domenii din listă, iar certificatul nu se va aplica pentru acestea.
După ce instalarea este finalizată, certificatul va fi plasat în / etc / letsencrypt / live. Verificați starea certificatului SSL cu următorul link:
Notă. Înlocuiți example.com cu domeniul dvs.
Aceasta poate dura câteva minute până la finalizare. Veți avea acces la site prin https.
5: Actualizare automată
Certificatele Criptare sunt valabile timp de 90 de zile, însă este recomandat să efectuați actualizarea în prealabil (de exemplu, după 60 de zile de utilizare a certificatului). Criteriul Let's Encrypt oferă o comandă de reînnoire care verifică certificatul curent și îl actualizează dacă este mai puțin de 30 de zile înainte de data expirării.
Pentru a configura o actualizare pentru toate domeniile existente, executați:
sudo certbot reînnoi
Deoarece certificatul tocmai a fost primit, echipa nu o va actualiza. Pur și simplu informează că acest certificat nu trebuie să fie actualizat.
Salvarea jurnalului de depanare la /var/log/letsencrypt/letsencrypt.log
-------------------------------------------------------------------------------
Procesarea /etc/letsencrypt/renewal/example.com.conf
-------------------------------------------------------------------------------
Cert nu este încă datorată reînnoirii
Următoarele cerințe nu sunt încă în curs de reînnoire:
/etc/letsencrypt/live/example.com/fullchain.pem (omis)
Nu s-au încercat reînnoiri.
Notă: dacă ați creat un certificat pentru mai multe domenii, numai domeniul de bază va fi afișat în ieșirea comenzii, dar actualizarea va fi valabilă pentru toate domeniile și subdomeniile.
Pentru a vă asigura că certificatul este actualizat în timp, configurați daemonul cron pentru a rula automat comanda de reînnoire o dată pe săptămână sau în fiecare zi.
Editați crontab și creați o nouă înregistrare pentru comanda de reînnoire. Pentru a edita utilizatorul root crontab, tastați:
nu crontab pentru rădăcină - folosind un gol
Selectați un editor. Pentru a schimba mai târziu, executați "select-editor".
1. / bin / nano <---- самый простой
2. /usr/bin/vim.basic
3. /usr/bin/vim.tiny
Alegeți 1-3 [1]:
Adăugați următoarea intrare la sfârșitul tabelului:
30 2 * * 1 / usr / bin / certbot reinnoi >> /var/log/le-renew.log
Salvați și închideți fișierul. Acest lucru va crea un nou proces cron care va executa comanda letencrypt-auto renew în fiecare luni de la ora 2.3 noaptea. Rezultatul acestei comenzi va fi plasat în /var/log/le-renewal.log.
Acum, serverul web Apache este protejat cu certificatul SSL de tip Let's Encrypt. Mai multe informații utile (inclusiv actualizări) pot fi găsite în blogul Let's Encrypt.
Articole similare
Trimiteți-le prietenilor: