GNU/Linux >> Znalost Linux >  >> Debian

Jak nainstalovat Let’s Encrypt SSL v Apache na Debianu 11

Let’s Encrypt je certifikační autorita, která poskytuje bezplatné SSL certifikáty pro webové stránky. Byl spuštěn v roce 2014 s cílem, aby všechny webové stránky byly zabezpečené a HTTP.

Kromě nabídky SSL certifikátů pomáhá také zavádění a automatické obnovování certifikátů. Let’s Encrypt je největší certifikační autorita na světě, kterou používá více než 250 milionů webů.

Při psaní tohoto příspěvku podporuje Let’s Encrypt automatickou instalaci certifikátů na Apache, Nginx, Plex a Haproxy.

Zde uvidíme, jak nainstalovat Let’s Encrypt SSL Certificate v Apache na Debianu 11.

Předpoklady

Nainstalujte webový server Apache

Než budete pokračovat dále, doporučuji nainstalovat webový server Apache na váš systém.

ČTĚTE: Jak nainstalovat LAMP Stack na Debian 11

NEBO

Použijte apt příkaz k instalaci webového serveru Apache.

sudo apt updatesudo apt install -y apache2

Povolit moduly

Pomocí níže uvedeného příkazu povolíte SSL a přepisovací moduly.

sudo a2enmod přepsání ssl

Vytvořit virtuální hostitele

Nejprve budeme muset vytvořit virtuálního hostitele Apache, který bude sloužit HTTP verzi vašeho webu.

sudo nano /etc/apache2/sites-available/www.itzgeek.net.conf

Pro svůj web použijte níže uvedenou konfiguraci. Nezapomeňte změnit hodnoty na základě vašeho požadavku. Pokud nepoužíváte subdoménu www, můžete odstranit ServerAlias .

 ServerName itzgeek.net ServerAlias ​​www.itzgeek.net ServerAdmin [email protected] DocumentRoot /var/www/html/www.itzgeek.net ErrorLog ${APACHE_LOG_DIR}/www.itzgeek.net_error.log CustomLog ${APACHE_LOG_DIR}/www.itzgeek.net_access.log kombinovaný /var/www/html/www.itzgeek.net> Možnosti FollowSymlinks AllowOverride All Vyžadovat uděleno vše

Jakmile vytvoříte konfigurační soubor virtuálního hostitele, povolte web.

sudo a2ensite www.itzgeek.net

Dále vytvořte kořenový adresář pro uložení souborů vašeho webu.

sudo mkdir -p /var/www/html/www.itzgeek.net/

Potom změňte vlastnictví a skupinu adresáře.

sudo chown -R www-data:www-data /var/www/html/www.itzgeek.net/

Nakonec umístěte testovací soubor HTML do kořenového adresáře dokumentu na webu.

echo "Toto je testovací stránka @ www.itzgeek.net" | sudo tee /var/www/html/www.itzgeek.net/index.html

Restartujte službu Apache, abyste si znovu přečetli konfigurace.

sudo systemctl reload apache2

Vytvořit / aktualizovat záznam DNS

Chcete-li vygenerovat certifikát Let's Encrypt SSL, budete muset svou doménu nasměrovat na IP serveru. Přejděte tedy ke svému registrátorovi domény a vytvořte záznam A/CNAME pro svou doménu. Například níže uvedený obrázek ukazuje záznam A/CNAME pro doménu www.itzgeek.net.

POZNÁMKA:Po provedení změn v DNS záznamu budete muset počkat několik minut až hodin v závislosti na TTL, kterou jste pro DNS záznam nastavili.

Nainstalujte Let’s Encrypt SSL certifikát do Apache

Nainstalujte Certbot

Klient Certbot ACME zpracovává vydání certifikátu a instalaci bez prostojů. Je k dispozici jako balíček snap pro operační systém Debian. Nejprve tedy nainstalujte balíček Snapd.

sudo apt updatesudo apt install -y snapd

Poté aktualizujte snapd na nejnovější verzi.

instalační jádro sudo snap; obnovovací jádro sudo snap

Nakonec nainstalujte klienta Certbot pomocí příkazu snap a propojte jej, abyste mohli příkaz certbot vyvolat odkudkoli bez ohledu na aktuální pracovní adresář.

instalace sudo snap --classic certbotsudo ln -s /snap/bin/certbot /usr/bin/certbot

Nainstalujte Let's Encrypt Certificate

Pomocí příkazu certbot vytvořte certifikát Let’s Encrypt a nakonfigurujte Apache, aby certifikát používal.

sudo certbot --apache

Budete muset následovat interaktivní výzvu a nainstalovat certifikát. Protože jsem vytvořil virtuálního hostitele pro itzgeek.net i www.itzgeek.net, budu také muset nainstalovat SSL certifikáty pro obě domény. Poté přesměruji veškerý provoz na www.itzgeek.net pomocí pravidel přepisu.

Ukládání protokolu ladění do /var/log/letsencrypt/letsencrypt.logZadejte e-mailovou adresu (používá se pro naléhavá upozornění na obnovení a zabezpečení) (zadejte „c“ pro zrušení):[email protected] < - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Přečtěte si prosím Podmínky služby na https:// letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. Chcete-li se zaregistrovat na serveru ACME, musíte souhlasit. Souhlasíte?- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -(Y)es/( Ne:A < - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Byli byste ochotni, až bude váš první certifikát úspěšně vydán, chcete-li sdílet svou e-mailovou adresu s nadací Electronic Frontier Foundation, zakládajícím partnerem projektu Let's Encrypt a neziskovou organizací, která vyvíjí Certbot? Rádi bychom vám zaslali e-mail o naší práci při šifrování webu, zprávách EFF, kampaních a způsobech podpory digitální svobody.- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -(A)es/(N)ne:N < Účet zaregistrován. Pro která jména chcete aktivovat HTTPS?- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -1:itzgeek.net2:www.itzgeek.net- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -Vyberte příslušná čísla oddělená čárkami a/nebo mezerami, nebo ponechte vstup prázdný, chcete-li vybrat všechny zobrazené možnosti (zadejte 'c' pro zrušení):1,2 < Žádost o certifikát pro itzgeek.net a www.itzgeek.net Úspěšně přijatý certifikát. Certifikát je uložen na:/etc/letsencrypt/live/itzgeek.net/fullchain.pemKey je uložen na:/etc/letsencrypt/live/itzgeek.net/ privkey.pem Platnost tohoto certifikátu vyprší 21. 1. 2022. Tyto soubory budou aktualizovány, jakmile se certifikát obnoví. Certbot nastavil naplánovanou úlohu pro automatické obnovení tohoto certifikátu na pozadí. Nasazení certifikátuÚspěšně nasazený certifikát pro itzgeek.net do /etc/ apache2/sites-available/www.itzgeek.net-le-ssl.confÚspěšně nasazený certifikát pro www.itzgeek.net do /etc/apache2/sites-available/www.itzgeek.net-le-ssl.confBlahopřejeme! Úspěšně jste povolili HTTPS na https://itzgeek.net a https://www.itzgeek.net- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Pokud se vám líbí Certbot, zvažte prosím podporu naší práce:* Darováním pro ISRG / Let's Encrypt:https://letsencrypt.org/donate * Darováním pro EFF:https:/ /eff.org/donate-le- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 

 Jakmile aktivujete HTTPS pro svou doménu, klient Certbot umístí nezbytná pravidla přepisu pro přesměrování provozu z HTTP na web HTTPS.
 

 V mém případě to umístilo dvě pravidla pro níže uvedená přesměrování.
 
     
  1. http://itzgeek.net>> https://itzgeek.net
    2. 
 
  2. http://www.itzgeek.net>> https://www.itzgeek.net
    3. 
 
 

 Jak vidíte, první přesměrování není dosaženo na www HTTPS verzi domény. Takže možná budete muset postupovat podle níže uvedené části a nastavit to.
 
Přesměrujte požadavky HTTP bez www na www HTTPS pomocí Apache
 

 Možná budete chtít nakonfigurovat webový server Apache tak, aby přesměroval provoz z webu HTTP bez www na web WWW HTTPS, tj. http://itzgeek.net>> https://www.itzgeek.net .
 

 Upravte soubor virtuálního hostitele Let’s Encrypt SSL (nikoli původní soubor virtuálního hostitele).
 
sudo nano /etc/apache2/sites-available/www.itzgeek.net-le-ssl.conf
 

 Přidejte níže uvedená pravidla před </VirtualHost> . Změňte název domény podle svých požadavků.
 
 # Přesměrování NON-WWW HTTP na WWW HTTPS RewriteEngine na RewriteCond %{SERVER_NAME} =itzgeek.net RewriteRule ^ https://www.itzgeek.net %{REQUEST_URI} [END,NE,R=permanent]1,L]
 

 Poté restartujte službu Apache.
 
sudo systemctl restart apache2
 
Ověřte certifikát Let's Encrypt
 

 Certifikát Let’s Encrypt můžete ověřit na svém webu.
 http://vaše-http-webové-stránky 

 NEBO
 https://vaše-https-webové-stránky 

 Nyní byste měli získat verzi svého webu HTTPS.
  
Test certifikát SSL
 

 Na níže uvedené adrese URL otestujte svůj certifikát Let’s Encrypt SSL na případné problémy a hodnocení zabezpečení.
 https://www.ssllabs.com/ssltest/analyze.html?d=www.itzgeek.net 
Obnovení certifikátu Let's Encrypt
 

 Jak víte, certifikáty Let’s Encrypt mají platnost 90 dní a musíte zajistit jejich včasnou obnovu. Proces obnovy je nyní automatizovaný a díky službě systemd poskytované klientem Certbot. Nemusíte je tedy obnovovat ručně.
 

 Doporučuje se však otestovat obnovení certifikátů simulací automatického obnovení certifikátů SSL spuštěním níže uvedeného příkazu.
 
sudo certbot renew --dry-run
 

 Výstup: 
 
Ukládání protokolu ladění do /var/log/letsencrypt/letsencrypt.log- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -Zpracování /etc/letsencrypt/renewal/itzgeek.net.conf- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -Účet registrován. Simulace obnovení stávajícího certifikátu pro itzgeek.net a www.itzgeek.net- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Gratulujeme, všechna simulovaná obnovení byla úspěšná:/etc/letsencrypt/live/itzgeek.net/fullchain.pem (úspěch)- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
 

 Pokud výstup potvrdí, že obnovení testu bylo úspěšné, automatické obnovení proběhne podle očekávání.
 
Závěr
 

 To je vše. Doufám, že jste se naučili, jak nainstalovat Let’s Encrypt SSL certifikát v Apache na Debianu 11.
Debian

  1. Jak nainstalovat Apache Maven na Debian 10

  2. Jak nainstalovat Apache Maven na Debian 11

  3. Jak nainstalovat Let's Encrypt SSL s Apache na Debian 11

  1. Jak nainstalovat Apache na Debian 9

  2. Jak nainstalovat Apache Cassandra na Debian 9

  3. Jak nainstalovat Apache ActiveMQ na Debian 10

  1. Jak nainstalovat Joomla s Apache a nechat šifrovat SSL na Debian 10

  2. Jak nainstalovat Apache Tomcat 10 na Debian 10

  3. Jak nainstalovat Apache Solr na Debian 11