Certifikáty SSL se používají na webových serverech k šifrování provozu mezi serverem a klientem, čímž poskytují uživatelům přistupující k vaší aplikaci další zabezpečení. Let’s Encrypt poskytuje snadný způsob, jak zdarma získat a nainstalovat důvěryhodné certifikáty.
Tento tutoriál vám ukáže, jak nastavit certifikáty TLS/SSL z Let’s Encrypt pro zabezpečení více virtuálních hostitelů na Apache na serveru Ubuntu 14.04.
Probereme také, jak automatizovat proces obnovy certifikátu pomocí úlohy cron.
K dokončení tohoto průvodce budete potřebovat:
Je důležité, aby každý virtuální hostitel byl nastaven ve vlastním samostatném konfiguračním souboru a byl k němu externí přístup prostřednictvím prohlížeče. Podrobný návod, jak správně nastavit virtuální hostitele Apache na Ubuntu, naleznete na tomto odkazu.
Pro účely této příručky nainstalujeme certifikáty Let’s Encrypt pro domény example.com a test.com. V průvodci na ně bude odkazováno, ale při sledování byste je měli nahradit svými vlastními doménami.
Až budete připraveni pokračovat, přihlaste se na svůj server pomocí svého účtu sudo.
Prvním krokem k získání certifikátu SSL pomocí Let's Encrypt je instalace softwaru certbot na váš server. Vývojáři Certbot udržují své vlastní softwarové úložiště Ubuntu s aktuálními verzemi softwaru. Protože Certbot je v tak aktivním vývoji, vyplatí se použít toto úložiště k instalaci novějšího Certbota, než poskytuje Ubuntu.
Nejprve přidejte úložiště:
sudo add-apt-repository ppa:certbot/certbotPro přijetí budete muset stisknout ENTER. Poté aktualizujte seznam balíčků a vyzvedněte si informace o balíčcích nového úložiště:
A nakonec nainstalujte Certbot z nového úložiště pomocí apt-get:
sudo apt-get install python-certbot-apacheKlient certbot Let’s Encrypt je nyní připraven k použití.
Vygenerování certifikátu SSL pro Apache pomocí klienta certbot Let’s Encrypt je poměrně jednoduché. Klient automaticky získá a nainstaluje nový SSL certifikát, který je platný pro domény uvedené jako parametry.
Přestože je možné sdružit více certifikátů Let’s Encrypt dohromady, i když se názvy domén liší, doporučujeme vytvořit samostatné certifikáty pro jedinečné názvy domén. Obecně platí, že by se měly sdružovat pouze subdomény určité domény.
Začneme nastavením certifikátu SSL pro prvního virtuálního hostitele, example.com.
Provedeme interaktivní instalaci a získáme přibalený certifikát platný pro doménu a subdoménu, konkrétně example.com jako základní doménu a www.example.com jako subdoménu. Jakékoli další subdomény, které jsou aktuálně nakonfigurovány ve vašem nastavení Apache, můžete zahrnout jako virtuální hostitele nebo aliasy.
Spusťte příkaz certbot pomocí:
sudo certbot --apache -d example.com -d www.example.comVšimněte si, že první název domény v seznamu parametrů bude základní doména, kterou používá Let's Encrypt k vytvoření certifikátu, a proto doporučujeme předat holý název domény nejvyšší úrovně jako první v seznamu a za ním další subdomény nebo aliasy.
V tomto příkladu bude základní doménou example.com.
Po instalaci závislostí se vám zobrazí podrobný průvodce přizpůsobením možností certifikátu. Budete požádáni o zadání e-mailové adresy pro obnovení ztraceného klíče a upozornění a budete si moci vybrat mezi povolením přístupu http i https nebo vynucení všech požadavků k přesměrování na https.
Po dokončení instalace byste měli být schopni najít vygenerované soubory certifikátů v /etc/letsencrypt/live. Stav svého certifikátu SSL můžete ověřit pomocí následujícího odkazu (nezapomeňte nahradit example.com svou základní doménou):
https://www.ssllabs.com/ssltest/analyze.html?d=example.com&latestNyní byste měli mít přístup ke svému webu pomocí předpony https.
Generování certifikátů pro vaše další virtuální hostitele by mělo probíhat stejným způsobem jako v předchozím kroku.
Zopakujte příkaz k instalaci certifikátu, nyní s druhým virtuálním hostitelem, kterého chcete zabezpečit pomocí Let’s Encrypt:
sudo certbot --apache -d test.com -d www.test.comPro tento příklad bude základní doménou test.com.
Stav svého certifikátu SSL můžete opět ověřit pomocí následujícího odkazu (nezapomeňte nahradit test.com svou základní doménou):
https://www.ssllabs.com/ssltest/analyze.html?d=test.com&latestPokud chcete vygenerovat certifikáty pro další virtuální hostitele, jednoduše proces opakujte a nezapomeňte použít holou doménu nejvyšší úrovně jako vaši základní doménu.
Certifikáty Let's Encrypt jsou platné pouze devadesát dní. Účelem je povzbudit uživatele, aby automatizovali proces obnovy certifikátu. Budeme muset nastavit pravidelně spouštěný příkaz pro kontrolu vypršení platnosti certifikátů a jejich automatické obnovení.
Pro každodenní spouštění kontroly obnovy použijeme cron, standardní systémovou službu pro spouštění pravidelných úloh. Cronovi říkáme, co má dělat, otevřením a úpravou souboru zvaného crontab.
Váš textový editor otevře výchozí crontab, což je textový soubor s nějakým textem nápovědy. Vložte následující řádek na konec souboru, poté jej uložte a zavřete:
crontab
. . .15 3 * * * /usr/bin/certbot renew --quietČást 15 3 * * * tohoto řádku znamená „spustit následující příkaz ve 3:15 každý den“. Můžete si vybrat kdykoli.
Příkaz pro obnovení pro Certbot zkontroluje všechny certifikáty nainstalované v systému a aktualizuje všechny, jejichž platnost vyprší za méně než třicet dní. --quiet říká Certbotu, aby nevydával informace ani nečekal na vstup uživatele.
cron nyní bude tento příkaz spouštět denně. Protože jsme nainstalovali naše certifikáty pomocí pluginu --apache, bude Apache také znovu načten, aby bylo zajištěno použití nových certifikátů.
Další informace o tom, jak vytvářet a plánovat úlohy cron, najdete v našem průvodci VPS, jak používat cron k automatizaci úloh.
V této příručce jsme viděli, jak nainstalovat bezplatné certifikáty SSL z Let’s Encrypt, abychom na Apache zabezpečili více virtuálních hostitelů. Doporučujeme, abyste se čas od času podívali na oficiální blog Let’s Encrypt, kde najdete důležité aktualizace.
PREV: Jak se připojit k ESXi k AD pro vylepšenou správu a zabezpečení
NEXT: Centrálně spravujte zabezpečení účtu tím, že se připojíte k hostitelům ESXi...
![[Vyřešeno] Nelze se připojit k serveru MySql na localhost (10061) (Zobrazit téma) * Fórum komunity Apache OpenOffice](http://website-google-hk.oss-cn-hongkong.aliyuncs.com/drawing/26/2022-3-1/7051.jpeg "[Vyřešeno] Nelze se připojit k serveru MySql na localhost (10061) (Zobrazit téma) * Fórum komunity Apache OpenOffice")
