Öruggur Apache með Let's Encrypt Certificate á Rocky Linux

Í fyrri handbókinni okkar fórum við í gegnum stillingar Apache sýndargestgjafa ef þú þarft að hýsa margar vefsíður á einum netþjóni.

En það endar ekki bara þar. Öryggi vefsíðna er nú eitt af stærstu áhyggjum flestra stofnana og notenda í ljósi vaxandi netógna. Það eru nokkrar leiðir til að tryggja vefsíðuna þína. Ein helsta leiðin til að innleiða grunnvörn gegn tölvuþrjótum er að dulkóða síðuna þína með SSL/TLS vottorði.

SSL/TLS vottorð er dulritunarvottorð sem auðkennir auðkenni vefsíðunnar þinnar og dulkóðar gögn sem skiptast á milli vafra notanda og vefþjóns.

Í raun skiptir vefsíðan þín frá því að nota HTTP samskiptareglur sem sendir gögn í einföldum texta yfir í HTTPS (HTTP Secure) sem dulkóðar gögnin. Án dulkóðunar geta tölvuþrjótar auðveldlega komist yfir trúnaðarupplýsingar eins og notendanöfn og lykilorð með því að hlera gögnin sem skiptast á milli vefþjónsins og vafrans.

Fyrir nokkru síðan lagði Google áherslu á að gera notendum aðvart sem heimsækja ódulkóðaðar síður með því að setja „Ekki öruggt“ merki á vefslóðastikuna. Þetta er til að vilja notendur af áhættunni sem fylgir því þegar þeir vafra um síðuna.

Ef þú ert vefsíðueigandi myndirðu örugglega ekki setja viðskiptavini þína og gesti á vefsíðuna í hættu á að persónuupplýsingar þeirra verði fyrir tölvusnápur. Það er af þessari ástæðu að uppsetning SSL vottorðs á vefþjóninum þínum er grundvallarskref í átt að því að tryggja síðuna þína.

Í þessari handbók munum við sýna þér hvernig á að tryggja Apache vefþjón á Rocky Linux 8 með Lets Encrypt SSL Certificate.

Til að þetta virki þarftu að hafa lénið þitt bent á opinbera IP tölu vefsíðunnar þinnar. Þess vegna þarftu að fara til vefþjónsins og tryggja að lénið bendi á IP vefþjónsins þíns.

Hér höfum við lénið tecmint.info bent á opinbera IP tölu sýndarþjónsins okkar.

Skref 1: Settu upp EPEL Repo í Rocky Linux

Við byrjum á því að setja upp forsendur pakka sem munu reynast gagnlegar á leiðinni. Við munum setja upp EPEL geymsluna og mod_ssl pakkann sem er öryggiseining fyrir Apache HTTP netþjón sem veitir sterka dulritun með því að nýta SSL/TLS samskiptareglur með OpenSSL.

$ sudo dnf install epel-release mod_ssl

Skref 2: Settu upp Certbot í Rocky Linux

Við skulum nú setja upp Certbot – er viðskiptavinur sem sækir SSL vottorðið frá Let's Encrypt yfirvaldinu og gerir sjálfvirkan uppsetningu og stillingu þess. Þetta útilokar sársaukann og ysið við að framkvæma allt ferlið handvirkt.

$ sudo dnf install certbot python3-certbot-apache 

Certbot er nú að fullu uppsett og vel uppsett.

Skref 3: Að setja upp SSL vottorð fyrir Apache í Rocky Linux

Síðasta skrefið er að sækja og setja upp Let's Encrypt SSL vottorðið. Til að ná þessu skaltu keyra skipunina:

$ sudo certbot --apache

Þetta setur af stað röð af leiðbeiningum. Fyrst verður þú að gefa upp netfangið þitt. Næst skaltu renna í gegnum þjónustuskilmálana á vefslóðinni sem gefin er upp og ýta á Y til að samþykkja skilmálana og ýta á ENTER.

Næst verður þú spurður hvort þú sért tilbúinn að deila netfanginu þínu með EFF (Electronic Frontier Foundation) sem er stofnaðili Let's Encrypt.

Með því að deila netfanginu þínu muntu gerast áskrifandi að fréttum, herferðum og öðrum uppfærslum um stofnunina. Ef þér finnst gott að gefa upp netfangið þitt, ýttu á Y, annars ýttu á N og ýttu á ENTER.

Næsta hvetja mun gefa upp lista yfir lén byggt á stillingum vefþjónsins þíns og spyrja þig hvaða þú kýst að virkja HTTPS á. Þú getur valið annað hvort 1 eða 2. En fyrir einsleitni, ýttu einfaldlega á ENTER til að virkja HTTPS á öll lénin.

Certbot mun ganga frá uppsetningu og stillingum Let's Encrypt og vista öryggislyklana í /etc/letsencrypt/live/yourdomain/ slóðinni.

Ef allt gekk samkvæmt áætlun muntu fá framleiðslan sýnd.

Skref 4: Endurnýja sjálfkrafa SSL vottorð fyrir Apache í Rocky Linux

Certbot veitir handrit til að endurnýja vottorðið aðeins nokkrum dögum áður en það rennur út. Þú getur framkvæmt þurrkeyrslu til að prófa handritið eins og sýnt er.

$ sudo certbot renew --dry-run

Nú, til að gera sjálfvirka endurnýjun vottorðsins með handritinu, breyttu crontab.

$ crontab -e

Tilgreindu cron starfið sem sýnt er og vistaðu breytingarnar.

0 * * * * /usr/sbin/certbot-auto renew

Skref 4: Staðfestu Apache SSL vottorð í Rocky Linux

Til að staðfesta að vefsíðan þín sé dulkóðuð skaltu einfaldlega fara í vafrann þinn og endurhlaða vefsíðuna þína. Að þessu sinni ættirðu að sjá hengilástákn rétt fyrir vefslóð vefsíðunnar.

Til að afla frekari upplýsinga, smelltu á táknið og smelltu á „Skírteini“ valkostinn í valmyndinni sem birtist.

Þetta fyllir út allar upplýsingar skírteinisins eins og þær eru gefnar upp.

Þú getur prófað styrk vottorðsins þíns með því að fara í SSL Labs prófið. Gefðu upp vefslóð eða lén vefsíðunnar og ýttu á ENTER.

Þú ættir að fá A einkunn eins og tilgreint er hér.

Ef þú ert kominn svona langt, þá ættir þú að vera í aðstöðu til að dulkóða Apache vefþjóninn þinn með Let's Encrypt SSL vottorðinu með því að nýta Certbot biðlarann frá EFF.