讓我們在Ubuntu 18.04上加密來保護Apache

讓我們加密是由Internet安全研究小組(ISRG)創建的證書頒發機構。 它通過完全自動化的過程提供免費的SSL證書,該過程旨在消除手動創建,驗證,安裝和更新證書的過程。

如今,所有主流瀏覽器都信任Let’s Encrypt頒發的證書。

在本教程中,我們將提供有關如何使用Ubuntu 18.04上的certbot工具通過Let’s Encrypt保護Apache的逐步說明。

先決條件

在繼續本教程之前,請確保您已滿足以下先決條件:

  • 指向您的公共服務器IP的域名。 我們將使用 example.com
  • 您已經為您的域安裝了apache虛擬主機的Apache。

安裝Certbot#

Certbot是功能齊全且易於使用的工具,可自動執行用於獲取和續訂Let’s Encrypt SSL證書以及配置Web服務器的任務。 certbot軟件包包含在默認的Ubuntu存儲庫中。

更新軟件包列表並安裝certbot軟件包:

sudo apt updatesudo apt install certbot

生成強Dh(Diffie-Hellman)組#

Diffie-Hellman密鑰交換(DH)是一種在不安全的通信通道上安全地交換加密密鑰的方法。 我們將生成一組新的2048位DH參數以增強安全性:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

如果需要,您可以將大小最多更改為4096位,但是在這種情況下,生成時間可能會超過30分鐘,具體取決於系統熵。

獲取“讓我們加密SSL”證書#

要獲取該域的SSL證書,我們將使用Webroot插件,該插件的工作原理是創建一個臨時文件來驗證請求域中的請求域。 ${webroot-path}/.well-known/acme-challenge 目錄。 Let’s Encrypt服務器向臨時文件發出HTTP請求,以驗證請求的域是否解析為certbot運行的服務器。

為了簡化起見,我們將映射所有HTTP請求 .well-known/acme-challenge 到一個目錄, /var/lib/letsencrypt

以下命令將創建目錄並使該目錄可用於Apache服務器。

sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp www-data /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt

為避免重複代碼,請創建以下兩個配置片段:

/etc/apache2/conf-available/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
    AllowOverride None
    Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
    Require method GET POST OPTIONS
</Directory>

/etc/apache2/conf-available/ssl-params.conf

SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder     off
SSLSessionTickets       off

SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options SAMEORIGIN
Header always set X-Content-Type-Options nosniff

SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

上面的代碼片段使用了Mozilla推薦的削片程序,啟用了OCSP裝訂,HTTP嚴格傳輸安全性(HSTS)並強制實施了一些針對安全性的HTTP標頭。

在啟用配置文件之前,請確保兩個 mod_sslmod_headers 通過發出以下命令啟用:

sudo a2enmod sslsudo a2enmod headers

接下來,通過運行以下命令來啟用SSL配置文件:

sudo a2enconf letsencryptsudo a2enconf ssl-params

啟用HTTP / 2模塊,這將使您的網站更快,更健壯:

sudo a2enmod http2

重新加載Apache配置以使更改生效:

sudo systemctl reload apache2

現在,我們可以使用webroot插件運行Certbot工具,並通過鍵入以下命令獲取SSL證書文件:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

如果成功獲得SSL證書,certbot將顯示以下消息:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2018-10-28. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

現在您已經有了證書文件,請按如下所示編輯域虛擬主機配置:

/etc/apache2/sites-available/example.com.conf

<VirtualHost *:80> 
  ServerName example.com
  ServerAlias www.example.com

  Redirect permanent / https://example.com/
</VirtualHost>

<VirtualHost *:443>
  ServerName example.com
  ServerAlias www.example.com

  Protocols h2 http/1.1

  <If "%{HTTP_HOST} == 'www.example.com'">
    Redirect permanent / https://example.com/
  </If>

  DocumentRoot /var/www/example.com/public_html
  ErrorLog ${APACHE_LOG_DIR}/example.com-error.log
  CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined

  SSLEngine On
  SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
  SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem

  # Other Apache Configuration

</VirtualHost>

使用上述配置,我們將強制HTTPS並從www重定向到非www版本。 隨意根據您的需要調整配置。

重新加載Apache服務以使更改生效:

sudo systemctl reload apache2

您現在可以使用打開網站 https://,您會注意到綠色的鎖定圖標。

如果您使用SSL Labs Server Test測試您的域,則將獲得A +等級,如下所示:

自動更新讓我們加密SSL證書#

讓我們加密的證書有效期為90天。 要在證書過期之前自動更新證書,certbot程序包會創建一個cronjob,該程序每天運行兩次,並在證書過期前30天自動更新所有證書。

證書更新後,我們還必須重新加載Apache服務。 附加 --renew-hook "systemctl reload apache2"/etc/cron.d/certbot 文件,使其看起來如下所示:

/etc/cron.d/certbot

0 */12 * * * root test -x /usr/bin/certbot -a ! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload apache2"

要測試續訂過程,可以使用certbot --dry-run 開關:

sudo certbot renew --dry-run

如果沒有錯誤,則表示更新過程成功。

結論#

在本教程中,您使用了Let’s Encrypt客戶端certbot為您的域下載SSL證書。 您還創建了Apache代碼段來避免重複代碼,並將Apache配置為使用證書。 在本教程的最後,您已經設置了cronjob來自動更新證書。

如果您想了解有關如何使用Certbot的更多信息,那麼他們的文檔是一個很好的起點。

如果您有任何疑問或反饋,請隨時發表評論。

讓我們加密certbot ssl

這篇文章是ubuntu-18-04如何安裝燈堆棧的一部分。該系列的其他文章:

•如何在Ubuntu 18.04上於2018年6月24日安裝Apache•如何在Ubuntu 18.04上於2018年7月24日設置Apache虛擬主機•在Let’s Encrypt Ubuntu 18.04上於2018年7月31日保護Apache安全•如何在Ubuntu 18.04 6月20日上安裝MySQL ,2018••如何在Ubuntu 18.04上安裝PHP 2018年7月1日

Sidebar