V tomto článku se dozvíte, jak nainstalovat certifikát SSL na CentOS 7.
SSL (Security Socket Layer) je webový protokol používaný k ochraně provozu na váš server pomocí šifrování. Znamená to, že všechny informace jsou uzamčeny a přístup k nim má pouze zamýšlený příjemce.
Běžně se očekává, že elektronický obchod nebo online finanční služby budou mít tento protokol, protože uchovávají citlivé informace, jako jsou údaje o kreditních kartách.
Certifikát SSL je však ve skutečnosti povinný pro všechny weby, aby chránil důvěrná data uživatelů, jako jsou přihlašovací údaje, rodná čísla, průkazy totožnosti atd.
Naštěstí můžete snadno získat certifikát SSL od poskytovatele, jako je COMODO SSL a Let’s Encrypt, který bude použit v našem instalačním tutoriálu.
Ruční instalace Apache
Před instalací SSL se ujistěte, že Apache (software webového serveru) je již nainstalován ve vašem CentOS.
Můžete to snadno otestovat zadáním httpd -v při přístupu na server přes SSH. Pokud je nainstalován Apache, uvidíte výsledek podobný tomu níže.
Naštěstí na Hostingeru si uživatelé mohou vybrat, zda budou mít Apache na svých serverech předinstalovaný, nebo si jej nainstalují ručně.
Na CentOS 7 lze Apache nainstalovat prostřednictvím softwarových úložišť zadáním tohoto příkazu na terminálu:
sudo yum install httpd
Nyní, abyste mohli začít používat Apache, zadejte:
sudo systemctl start httpd
Pokud chcete, aby se Apache spouštěl automaticky při startu, povolte jej pomocí:
sudo systemctl enable httpd
Jak nainstalovat certifikát SSL pomocí Let’s Encrypt
Let’s Encrypt nabízí bezplatný certifikát SSL. Podívejme se, jak jej nainstalovat na váš server.
Důležité! Používáme „hostinger-dev-9.xyz ” jako náš testovací web, ale musíte jej změnit na název svého webu.
Doporučujeme nejprve zkontrolovat systém, abyste se ujistili, že je aktualizován.
yum -y update
Dále budete potřebovat mod_ssl pro konfiguraci Let’s Encrypt.
yum -y install mod_ssl
Nyní nakonfigurujte Apache vytvořením kořenové složky dokumentu pro web.
mkdir /var/www/hostinger-dev-9.xyz
V tomto kroku je vyžadován konfigurační soubor virtuálního hostitele. Můžete jej vytvořit pomocí nano a zadat následující řádky:
nano /etc/httpd/conf.d/hostinger-dev-9.xyz.conf
V nano zadejte tento kód
<VirtualHost *:80> ServerAdmin [email protected] DocumentRoot "/var/www/hostinger-dev-9.xyz" ServerName hostinger-dev-9.xyz ServerAlias www.hostinger-dev-9.xyz.com ErrorLog "/var/log/httpd/test.error_log" CustomLog "/var/log/httpd/test.access_log" common </VirtualHost>
Nahraďte vlastníka /var/www/hostinger-dev-9.xyz adresář s vaším uživatelem Apache, aby mohl rozpoznat adresář
chown -R apache:apache /var/www/hostinger-dev-9.xyz
Instalace Certbot
Před instalací certbota se ujistěte, že máte úložiště EPEL aktivujete zadáním tohoto příkazu:
yum -y install epel-release
Dále je třeba nainstalovat yum-utils
yum -y install yum-utils
Teprve poté můžete nainstalovat certbot pro Apache
yum -y install certbot-apache
Po instalaci certbota spusťte příkazem:
certbot
Zobrazí se výzva s dotazem na jména, na kterých chcete aktivovat https:
Saving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator apache, Installer apacheStarting new HTTPS connection (1): acme-v01.api.letsencrypt.org Which names would you like to activate HTTPS for? ------------------------------------------------------------------------------- 1: hostinger-dev-9.xyz 2: www.hostinger-dev-9.xyz ------------------------------------------------------------------------------- Select the appropriate numbers separated by commas and/or spaces, or leave input blank to select all options shown (Enter 'c' to cancel):
Stačí stisknout enter, takže obě hostinger-dev-9.xyz a www.hostinger-dev-9.xyz bude přesměrován na https
Zobrazí se další výzva:
Choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access. ------------------------------------------------------------------------------- 1: No redirect – Make no further changes to the web server configuration. 2: Redirect – Make all requests redirect to secure HTTPS access. Choose this for new sites, or if you're confident your site works on HTTPS. You can undo this change by editing your web server's configuration. ------------------------------------------------------------------------------- Select the appropriate number [1-2] then [enter] (press 'c' to cancel):
Vyberte číslo 2 pro přesměrování obou názvů vašich webových stránek na https.
You should see the output below if the process is done correctly ------------------------------------------------------------------------------- Congratulations! You have successfully enabled https://hostinger-dev-9.xyz and https://www.hostinger-dev-9.xyz You should test your configuration at: https://www.ssllabs.com/ssltest/analyze.html?d=hostinger-dev-9.xyz https://www.ssllabs.com/ssltest/analyze.html?d=www.hostinger-dev-9.xyz -------------------------------------------------------------------------------
Automatické obnovení certifikátu
Dobrá věc na používání Let’s Encrypt je, že si můžete nastavit automatické obnovení certifikátu.
Chcete-li nastavit automatické obnovení, zadejte tento příkaz:
export EDITOR=/bin/nano
Nastaví nano jako výchozí editor a nyní může upravovat crontab :
crontab -e
Let’s Encrypt ve skutečnosti navrhuje, aby se úloha automatického obnovení cron spouštěla dvakrát denně. Chcete-li tak učinit, vložte tento příkaz a uložte crontab:
* */12 * * * /usr/bin/certbot renew >/dev/null 2>&1
Jak nainstalovat certifikát SSL s Comodo
COMODO SSL je poskytovatel placených SSL certifikátů. Díky tomu si uživatelé mohou zvolit šifrování provozu na svém serveru. Zde je návod, jak jej nainstalovat na CentOS 7
Stáhněte si Intermediate (ComodoRSACA.crt ) a Primární certifikát (název_domény.crt ) a zkopírujte je do adresáře serveru. Uloží váš certifikát a soubory klíčů.
Najděte Apache config soubor. Obvykle je název souboru httpd.conf nebo apache2.conf . Běžná umístění souboru jsou buď /etc/httpd/ nebo /etc/apache2/ . Pokud jej nelze najít, alternativou je hledat pomocí grep zadáním příkazu níže:
grep -i -r "SSLCertificateFile" /etc/httpd/
Důležité! Změňte „/etc/httpd/ ” do vašeho základního adresáře instalace Apache.
Nyní, pokud chcete na svém serveru povolit SSL, nakonfigurujte jej pomocí svého
<VirtualHost 31.220.62.130> DocumentRoot /var/www/hostinger-dev-9.xyz ServerName www.hostinger-dev-9.xyz SSLEngine on SSLCertificateFile /var/www/hostinger-dev-9.xyz.crt SSLCertificateKeyFile /var/www/your_private.key SSLCertificateChainFile /var/www/ComodoCA.crt </VirtualHost>
- 31.220.62.130 :změňte toto na IP adresu vašeho serveru
- SSLCertificateFile je třeba změnit na váš soubor certifikátu COMODO (například název_domény.crt)
- SSLCertificateKeyFile je vygenerovaný soubor klíče, když jste vytvořili CSR (Certificate Signing Request)
- SSLCertificateChainFile je soubor přechodného certifikátu COMODO (ComodoRSACA.crt)
Před restartem je důležité zkontrolovat konfigurační soubor Apache. Pokud dojde k chybě syntaxe, Apache se nemusí vůbec spustit. Chcete-li se ujistit, že vše funguje správně, můžete zadat tento příkaz:
apachectl configtest
Po zaškrtnutí všeho restartujte Apache s podporou SSL:
apachectl stop
a poté
apachectl start
V případě, že se Apache nespustí s podporou SSL, použijte místo toho „apachectl beginsl“.
Závěry
SSL je vyžadováno k zabezpečení provozu na vašem webu, zejména pokud se zabývá transakcemi. COMODO SSL a Let’s Encrypt jsou dva poskytovatelé, kteří vám umožňují nainstalovat certifikát SSL na CentOS 7. Instalace jednoho z nich může být složitá, ale stojí za to.