Azure Friday | Apache Kafka on HDInsight
Obsah:
- Předpoklady
- Nainstalujte Certbot
- Vytvořte silnou skupinu Dh (Diffie-Hellman)
- Získání šifrovaného certifikátu SSL
- Automatické obnovení Pojďme šifrovat SSL certifikát
- Závěr
Pojďme Encrypt je certifikační autorita vytvořená Internet Security Research Group (ISRG). Poskytuje bezplatné SSL certifikáty prostřednictvím plně automatizovaného procesu navrženého tak, aby eliminoval ruční vytváření certifikátů, ověření, instalaci a obnovu.
Certifikáty vydané Let's Encrypt jsou dnes důvěryhodné ve všech hlavních prohlížečích.
V tomto tutoriálu vám krok za krokem poskytneme pokyny, jak zabezpečit Apache pomocí Let's Encrypt pomocí nástroje certbot na Ubuntu 18.04.
Předpoklady
Před pokračováním v tomto kurzu se ujistěte, že jste splnili následující předpoklady:
- Název domény směřující na IP vašeho veřejného serveru. Použijeme
example.com. Apache máte nainstalován s virtuálním hostitelem apache pro vaši doménu.
Nainstalujte Certbot
Certbot je plně vybavený a snadno použitelný nástroj, který může automatizovat úkoly pro získání a obnovu Let's Encrypt SSL SSL a konfiguraci webových serverů. Balíček certbot je součástí výchozích úložišť Ubuntu.
Aktualizujte seznam balíčků a nainstalujte balíček certbot:
sudo apt update
sudo apt install certbot
Vytvořte silnou skupinu Dh (Diffie-Hellman)
Výměna klíčů Diffie – Hellman (DH) je metoda bezpečné výměny kryptografických klíčů přes nezajištěný komunikační kanál. Budeme generovat novou sadu 2048 bitů DH parametrů pro posílení bezpečnosti:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
Pokud chcete, můžete změnit velikost až na 4096 bitů, ale v takovém případě může generování trvat déle než 30 minut v závislosti na entropii systému.
Získání šifrovaného certifikátu SSL
Abychom získali certifikát SSL pro doménu, použijeme plugin Webroot, který funguje vytvořením dočasného souboru pro ověření požadované domény ve složce
${webroot-path}/.well-known/acme-challenge
. Server Pojďme šifrovat provede požadavky HTTP na dočasný soubor, aby ověřil, že se požadovaná doména převede na server, na kterém je spuštěn certbot.
Aby to bylo jednodušší, budeme mapovat všechny požadavky HTTP na
.well-known/acme-challenge
do jednoho adresáře
/var/lib/letsencrypt
.
Následující příkazy vytvoří adresář a učiní jej zapisovatelným pro server Apache.
sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp www-data /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt
Chcete-li se vyhnout duplikování kódu, vytvořte následující dva úryvky konfigurace:
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"
Úryvek výše používá čipy doporučené společností Cipherli.st, umožňuje sešívání OCSP, HTTP Strict Transport Security (HSTS) a vynucuje několik záhlaví HTTP zaměřených na zabezpečení.
Před povolením konfiguračních souborů se ujistěte, že jsou povoleny
mod_ssl
a
mod_headers
vydáním:
sudo a2enmod ssl
sudo a2enmod headers
Dále povolte konfigurační soubory SSL spuštěním následujících příkazů:
sudo a2enconf letsencrypt
sudo a2enconf ssl-params
Aktivujte modul HTTP / 2, díky kterému budou vaše stránky rychlejší a robustnější:
sudo a2enmod
Znovu načtěte konfiguraci Apache, aby se změny projevily:
sudo systemctl reload apache2
Nyní můžeme spustit nástroj Certbot s pluginem webroot a získat soubory certifikátů SSL zadáním:
sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com
Pokud je certifikát SSL úspěšně získán, certbot vytiskne následující zprávu:
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-10-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:
Nyní, když máte soubory certifikátů, upravte konfiguraci virtuálního hostitele vaší domény takto:
ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration
ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration
ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration
ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration
S výše uvedenou konfigurací nutíme HTTPS a přesměrujeme z www na non-www verzi. Bezplatný pro přizpůsobení konfigurace podle vašich potřeb.
Znovu načtěte službu Apache, aby se změny projevily:
sudo systemctl reload apache2
Nyní můžete otevřít svůj web pomocí
https://
a všimnete si zelené ikony zámku.
Automatické obnovení Pojďme šifrovat SSL certifikát
Certifikáty šifrování jsou platné 90 dní. Chcete-li automaticky obnovit certifikáty před vypršením jejich platnosti, vytvoří balíček certbot cronjob, který se spouští dvakrát denně a automaticky obnovuje jakýkoli certifikát 30 dní před jeho vypršením.
Po obnovení certifikátu musíme znovu načíst službu Apache. Připojte
--renew-hook "systemctl reload apache2"
do souboru
/etc/cron.d/certbot
tak, aby to vypadalo takto:
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload apache2"
Chcete-li otestovat proces obnovy, můžete použít přepínač certbot
--dry-run
:
sudo certbot renew --dry-run
Pokud neexistují žádné chyby, znamená to, že proces obnovy byl úspěšný.
Závěr
V tomto tutoriálu jste ke stažení certifikátů SSL pro svou doménu použili certifikát Let's Encrypt client. Také jste vytvořili úryvky Apache, abyste zabránili duplikování kódu, a nakonfigurovali jste Apache, aby používal certifikáty. Na konci tutoriálu jste nastavili cronjob pro automatické obnovení certifikátu.
apache ubuntu pojďme zašifrovat certbot sslTento příspěvek je součástí řady how-to-install-lamp-stack-on-ubuntu-18-04.
Další příspěvky v této sérii:
• Jak nainstalovat Apache na Ubuntu 18.04 • Jak nastavit virtuální hostitele Apache na Ubuntu 18.04 • Zabezpečit Apache pomocí šifrování na Ubuntu 18.04 • Jak nainstalovat MySQL na Ubuntu 18.04 • Jak nainstalovat PHP na Ubuntu 18.04Zabezpečte nginx pomocí šifrování na Ubuntu 18.04
Pojďme Encrypt je bezplatná a otevřená certifikační autorita vyvinutá společností Internet Security Research Group. V tomto tutoriálu vám poskytneme postupné pokyny, jak zabezpečit Nginx pomocí Let's Encrypt pomocí nástroje certbot na Ubuntu 18.04.
Zabezpečte apache pomocí šifrování na centech 7
V tomto tutoriálu se budeme věnovat krokům nezbytným k instalaci bezplatného certifikátu Pojďme šifrovat SSL na server CentOS 7, na kterém běží Apache jako webový server.
Zabezpečte apache pomocí šifrování na centech 8
Tento tutoriál vysvětluje, jak nainstalovat bezplatný certifikát Encrypt SSL na CentOS 8, na kterém běží Apache jako webový server. K získání a obnovení certifikátů použijeme nástroj certbot.