Защита веб-сервера Apache с помощью Let's Encrypt в Debian 9

Защита веб-сервера Apache с помощью Let's Encrypt в Debian 9

Secure Apache with Let's Encrypt on Debian 9

2 Апреля 2021 | Debian

Это руководство проведет вас через процесс получения бесплатного Let's Encrypt с помощью инструмента certbot в Debian 9. Мы также покажем, как настроить Apache для использования нового сертификата SSL и включения HTTP / 2.

Защита веб-сервера Apache с помощью Let's Encrypt в Debian 9

Let's Encrypt - это центр сертификации, созданный исследовательской группой Internet Security Research Group (ISRG). Он предоставляет бесплатные сертификаты SSL с помощью полностью автоматизированного процесса, который исключает создание, проверку, установку и продление сертификатов вручную.

Сертификаты, выпущенные Let's Encrypt, действительны в течение 90 дней с даты выпуска и сегодня доверяют всем основным браузерам.


Прежде чем приступить

Прежде чем продолжить изучение этого руководства, убедитесь, что вы выполнили следующие предварительные требования:


Установить Certbot

Certbot - это полнофункциональный и простой в использовании инструмент, который может автоматизировать задачи по получению и обновлению SSL-сертификатов Let's Encrypt. Пакет certbot включен в репозитории Debian по умолчанию.

Обновите список пакетов и установите пакет certbot, используя следующие команды:
 

sudo apt update sudo apt install certbot 


Создать группу Strong Dh (Diffie-Hellman)

Обмен ключами Диффи – Хеллмана (DH) - это метод безопасного обмена криптографическими ключами по незащищенному каналу связи.

Чтобы сгенерировать новый набор 2048-битных параметров DH, выполните:
 

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048 

Если хотите, вы можете изменить размер до 4096 бит, но в этом случае генерация может занять более 30 минут в зависимости от энтропии системы.


Получение SSL-сертификата Let's Encrypt

Чтобы получить сертификат SSL для нашего домена, мы собираемся использовать плагин Webroot, который работает путем создания временного файла для проверки запрашиваемого домена в ${webroot-path}/.well-known/acme-challenge каталоге. Сервер Let's Encrypt отправляет HTTP-запросы к временному файлу, чтобы убедиться, что запрошенный домен разрешается на сервер, на котором работает certbot.

Чтобы упростить задачу, мы собираемся сопоставить все HTTP-запросы для .well-known/acme-challenge одного каталога /var/lib/letsencrypt .

Следующие команды создают каталог и делают его доступным для записи для сервера Apache.
 

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp www-data /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt 


Чтобы избежать дублирования кода, создайте следующие два фрагмента конфигурации:

/etc/apache2/conf-available/letsencrypt.conf
 
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
    AllowOverride None
    Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
    Require method GET POST OPTIONS
</Directory>
 
/etc/apache2/conf-available/ssl-params.conf
 
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options SAMEORIGIN
Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
# Requires Apache >= 2.4.11
SSLSessionTickets Off

SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem" 
 

Приведенный выше фрагмент включает рекомендуемые блоки, включает сшивание OCSP, HTTP Strict Transport Security (HSTS) и обеспечивает соблюдение нескольких ориентированных на безопасность заголовков HTTP.

Перед включением файлов конфигурации убедитесь, что оба mod_ssl и mod_headers включены, выполнив:
 

sudo a2enmod ssl sudo a2enmod headers 


Включите модуль HTTP / 2, который сделает ваши сайты более быстрыми и надежными:
 

sudo a2enmod http2 


Включите файлы конфигурации SSL, выполнив следующие команды:
 

sudo a2enconf letsencrypt sudo a2enconf ssl-params 


Перезагрузите конфигурацию Apache, чтобы изменения вступили в силу:
 

sudo systemctl reload apache2 


Используйте инструмент Certbot с подключаемым модулем webroot для получения файлов сертификатов SSL:
 

sudo certbot certonly --agree-tos --email admin@example.com --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com 


Если сертификат SSL получен успешно, certbot распечатает следующее сообщение:
 

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
   expire on 2019-01-17. To obtain a new or tweaked version of this
   certificate in the future, simply run certbot again. To
   non-interactively renew *all* of your certificates, run "certbot
   renew"
 - If you lose your account credentials, you can recover through
   e-mails sent to admin@example.com.
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le
 

Теперь, когда у вас есть файлы сертификатов, отредактируйте конфигурацию виртуального хоста вашего домена следующим образом:

/etc/apache2/sites-available/example.com.conf
 
<VirtualHost *:80> 
  ServerName example.com
  ServerAlias www.example.com

  Redirect permanent / https://example.com/
</VirtualHost>

<VirtualHost *:443>
  ServerName example.com
  ServerAlias www.example.com

  Protocols h2 http/1.1

  <If "%{HTTP_HOST} == 'www.example.com'">
    Redirect permanent / https://example.com/
  </If>

  DocumentRoot /var/www/example.com/public_html
  ErrorLog ${APACHE_LOG_DIR}/example.com-error.log
  CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined

  SSLEngine On
  SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
  SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem

  # Other Apache Configuration

</VirtualHost>
 

В приведенной выше конфигурации мы форсируем HTTPS и перенаправляем с www на версию без www. Не стесняйтесь настраивать конфигурацию в соответствии с вашими потребностями.

Перезагрузите службу Apache, чтобы изменения вступили в силу:
 

sudo systemctl reload apache2 


Откройте свой веб-сайт с помощью https:// , и вы увидите значок зеленого замка.

Если вы протестируете свой домен с помощью SSL Labs Server Test , вы получите оценку A +, как показано ниже:
 


 


Автоматическое продление SSL-сертификата Let's Encrypt

Сертификаты Let's Encrypt действительны в течение 90 дней. Чтобы автоматически обновлять сертификаты до истечения срока их действия, пакет certbot создает задание cron, которое запускается дважды в день и автоматически обновляет любой сертификат за 30 дней до истечения срока его действия.

После обновления сертификата нам также необходимо перезагрузить службу Apache. Добавьте --renew-hook "systemctl reload apache2" в /etc/cron.d/certbot файл, чтобы он выглядел следующим образом:

/etc/cron.d/certbot
 
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload apache2"
 

Чтобы протестировать процесс обновления, используйте --dry-run переключатель certbot :
 

sudo certbot renew --dry-run 


Если ошибок нет, значит процесс продления прошел успешно.


Заключение

В этом руководстве вы использовали клиентского certbot Let's Encrypt для получения сертификатов SSL для вашего домена. Вы также создали сниппеты Apache, чтобы избежать дублирования кода, и настроили Apache для использования сертификатов. В конце руководства вы настроили cronjob для автоматического продления сертификата.

Если вы хотите узнать больше о скрипте Certbot, их документация является хорошей отправной точкой.


    Комментарии

    Если у вас есть вопросы, не стесняйтесь оставлять комментарии ниже.

Загрузка комментариев...