V tomto tutoriálu je ukázáno, jak zabezpečit webový server Apache pomocí Ubuntu 18.04 pomocí instalace certifikátu Secure Sockets Layer (SSL). Povolení šifrovaného připojení k webovému serveru je v dnešní době zásadní, protože vám umožňuje používat pro váš web zabezpečený protokol HTTPS.
K tomu poslouží Let's Encrypt, certifikační autorita, která vydává bezplatný certifikát zcela v souladu s požadovanými bezpečnostními standardy. Let's Encrypt zjednodušuje proces instalace bezpečnostního certifikátu a pomáhá i méně zkušeným uživatelům zabezpečit web pomocí klienta Certbot.
Nejprve se připojte k serveru prostřednictvím připojení SSH. Pokud jste tak ještě neučinili, doporučujeme vám postupovat podle našeho průvodce, abyste se bezpečně připojili pomocí protokolu SSH. V případě lokálního serveru přejděte k dalšímu kroku a otevřete terminál svého serveru.
Instalace CertBot
Přidejte úložiště Certbot.
$ sudo add-apt-repository ppa:certbot/certbotV tuto chvíli nainstalujte Certbot pomocí apt:
$ sudo apt install python-certbot-apachePo dokončení instalace můžete pokračovat v konfiguraci brány firewall.
Konfigurace brány firewall
V případě brány firewall ve vašem systému ji nastavte tak, aby povolovala provoz HTTP a HTTPS pro váš počítač.
Při použití brány firewall UFW budou pro Apache k dispozici předinstalované profily. Pojďme se tedy podívat, jak je povolit.
Chcete-li zkontrolovat dostupné profily nainstalované na firewallu UFW, spusťte tento příkaz:
$ sudo ufw app listNa obrazovce se zobrazí seznam podobný následujícímu:
Available applications:
Apache
Apache Full
Apache Secure
OpenSSHChcete-li povolit provoz HTTP (Port 80) a HTTPS (Port 443), použijte profil "Apache Full".
Zkontrolujte informace o svém profilu následovně:
$ sudo ufw app info "Apache Full"Objeví se popis profilu na obrazovce:
Profile: Apache Full
Title: Web Server (HTTP,HTTPS)
Description: Apache v2 is the next generation of the omnipresent Apache web
server.
Ports:
80,443/tcpPo kontrole profilu jej lze aktivovat:
$ sudo ufw allow in "Apache Full"Vytvoření certifikátu SSL
V tomto okamžiku požádejte o certifikát domény, kterou chcete chránit pomocí dříve nainstalovaného Certbota.
Nahraďte TUODOMINIO.IT názvem domény, kterou chcete chránit:
$ sudo certbot --apache -d TUODOMINIO.IT -d www.TUODOMINIO.ITN.B. formulace --apache určuje, že Certbot má používat plugin Apache, zatímco formulace - d označuje názvy domén, pro které bude certifikát použit.
V tomto okamžiku zadejte svou e-mailovou adresu, přijměte podmínky služby a uveďte, zda chcete přesměrovat připojení k vašemu webu na připojení HTTPS.
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - No further changes to the webserver configuration.
2: Redirect - To redirect all requests to secure HTTPS access. Choose this option fornew websites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):N.B. Pokud již na vašem webu existuje CMS nebo skript, doporučujeme před přesměrováním provozu zkontrolovat podle našeho průvodce, zda je kompatibilní s připojením HTTPS.
Zadejte číslo odpovídající vaší volbě a pokud je postup úspěšný. na obrazovce se zobrazí potvrzovací zpráva.
Ověření obnovení certifikátu
Certifikáty SSL společnosti Let's Encrypt jsou platné 90 dní, poté je třeba je obnovit. Certbot se také stará o automatickou obnovu certifikátů, ale aby bylo zajištěno správné fungování procedury, doporučujeme podle našeho průvodce ručně zkusit obnovit certifikát tímto způsobem:
$ sudo certbot renew --dry-runPokud se nezobrazí žádná chyba, bylo obnovení úspěšné. V opačném případě bude na adresu zadanou při vytváření certifikátu zaslán e-mail, když se blíží jeho expirace.