A tanúsítványok let - s titkosítják a debian apache 8
Miután szerver biztonságos adatközpontok Európában. Nyílt felhő VPS / VDS szerver egy gyors SSD 1 perc alatt!
A legjobb Web Hosting:
- megvédi az illetéktelen hozzáférés egy biztonságos európai adatközpont
- fizet legalább Bitcoin.
- Akkor tegye meg a disztribúciós
- védelmet DDOS támadások
- ingyenes biztonsági mentés
- Üzemidő 99,9999%
- DPC - TIER III
- ISP - TIER I
Támogatás az orosz 24/7/365 dolgozni a jogi és fizikai személyek. Most kell 24 mag és 72 Gb RAM. Kérlek!
A versenyképes áron bizonyítani, hogy a legolcsóbb hosting, ha nem tudja!
A percek alatt, válassza ki a konfiguráció, a fizetés és a CMS egy VPS kész.
Pénzvisszafizetési - 30 nap alatt!
Bankkártyák, elektronikus valuta révén Qiwi terminálok, WebMoney, PayPal, Novoplat és mások.
Tegye fel kérdését támogatás 24/7/365
Megtalálja a választ az adatbázisunkban, és megfelel az ajánlásokat a
Ez az útmutató segít beállítani a TLS / SSL tanúsítvány Nézzük titkosítása az Apache Debian 8 szerver és automatizálását, megújítása.
Az SSL-tanúsítványok szükségesek a webkiszolgáló titkosítására közötti forgalmat a szerver és a kliens, ami növeli a biztonságot a felhasználói adatokat és alkalmazásokat. Nézzük titkosítása szolgáltatás lehetővé teszi, hogy gyorsan és könnyen szerezni egy ilyen igazolást.
követelmények
1: Ügyfél Installation certbot
Először meg kell telepíteni certbot. Ez az ügyfél Nézzük titkosítása, amely lehetővé teszi, hogy az SSL-tanúsítvány.
Certbot csomag nem hivatalos tárolóból Debian 8. Töltse a certbot lehetséges a backports adattár-Jessie.
Add hozzá ezt a tárolóba:
Frissítse csomag Index:
sudo apt-get update
Most már lehet telepíteni a csomagot python-certbot-apache.
Megjegyzés. Backports-repository nem ajánlott az egész rendszerre kiterjedő frissítéseket. Csak telepíteni kívánt csomagokat. Backports-csomagok kevésbé kompatibilis, mint a csomagokat a fő letéteményesei.
A véletlen telepítés vagy a frissítés csomagot backports-tár, a -t zászló előtt a neve a tárolóból.
sudo apt-get install certbot -t Jessie-backports
Ügyfél certbot kész.
2: Apache konfigurálása
Birtok, amelyre a tanúsítványt használ, lehetséges, hogy át a közüzemi certbot paraméterként. Azonban certbot is olvasni őket az Apache konfigurációs fájlban. Ehhez adja meg a tartomány a ServerName direktíva, és aldomain - a ServerAlias.
Ha az Apache szerver nem lett telepítve korábban felvették a telepítés python-certbot-apache csomagot. Nyissa meg a virtuális gép alapértelmezett:
sudo nano /etc/apache2/sites-available/000-default.conf
Adjuk hozzá a fájlt, és adja meg a ServerName direktíva saját domain nevet. Alternatív vagy kiegészítő tartományok kell szolgálnia a szerver felvenni az irányelv ServerAlias.
Beállítások néz ki:
.
ServerName example.com
ServerAlias www.example.com
.
Hogy mentse és zárja be a fájlt, nyomja meg a CTRL + X, Y és Enter.
Ellenőrizze a fájl helyességét:
sudo apache2ctl configtest
A parancs vissza kell:
Ha a fájl hibás, kijavítani. Ezután indítsa újra a webszervert:
sudo restart systemctl apache2
3: A tűzfal konfigurálása
Ha engedélyezi a tűzfalat, meg kell, hogy feltárja az SSL forgalom.
Megjegyzés. Ha a tűzfal ki van kapcsolva, akkor kihagyhatja ezt a részt.
tűzfal UFW
sudo ufw status
Ha a szabályok a lista így néz ki, a tűzfal csak lehetővé teszi a HTTP-forgalmat:
Státusz: aktív
Hogy cselekvés
-- ------ ----
SSH ENGEDÉLYEZIK Bárhol
SSH (v6) Hagyja Bárhol (v6)
Hogy feltárja a HTTPS forgalom engedélyezéséhez WWW Teljes profil.
sudo ufw lehetővé tenni a 'WWW Full'
Most a szabályok listája a következő:
sudo ufw status
Státusz: aktív
Hogy cselekvés
-- ------ ----
SSH ENGEDÉLYEZIK Bárhol
WWW Teljes ENGEDÉLYEZIK Bárhol
SSH (v6) Hagyja Bárhol (v6)
WWW Full (v6) Hagyja Anywhere (v6)
Most a tűzfal támogatja a HTTPS forgalom.
iptables
sudo iptables -S
A szabályok listája jelenik meg. Például:
-P INPUT DROP
-P ELŐRE ACCEPT
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate KAPCSOLÓDÓ, LÉTRE -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
Milyen szabályokat kell egészíteni az SSL-támogatás, attól függ, hogy a jelenlegi tűzfal szabályait. Ha ön használ egy alapvető szabályokat, akkor a következő szabályt:
sudo iptables -I INPUT -p tcp --dport 443 -j ACCEPT
sudo iptables -S
-P INPUT DROP
-P ELŐRE ACCEPT
-P OUTPUT ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate KAPCSOLÓDÓ, LÉTRE -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
Ha az iptables szabályok automatikusan betöltődik a szerverre, hozzáadjuk a beállítás és az új szabályt.
4: létrehozása SSL-tanúsítvány
Létrehoz SSL-tanúsítvány Apache használatával letöltött kliens Nézzük titkosítása. Ez elég egyszerű. Az ügyfél automatikusan beszerzése és telepítése az SSL tanúsítványt, amely érvényes a megadott domain az Apache konfigurációs fájl
Futtatni egy interaktív installáció, és a tanúsítvány megszerzéséhez az összes ezeken a területeken, az alábbi parancsot:
sudo certbot --apache
Utility certbot olvasd el az Apache konfigurációban fogja találni a szükséges területeken és hozzon létre egy tanúsítványt számukra. Később, akkor töröld a domaint a listán, és a tanúsítvány nem vonatkoznak rájuk.
A telepítés befejezése után, a tanúsítvány kerül az / etc / letsencrypt / élnek. Ellenőrizze az SSL-tanúsítvány állapotát az alábbi linken:
Megjegyzés. Example.com helyére a domain.
Ellenőrző több percig is eltarthat. Kapsz hozzáférést a webhely HTTPS protokollon keresztül.
5: Automatikus frissítések
Nézzük titkosítása tanúsítványok 90 napig érvényesek, de ajánlott a frissítés végrehajtásához előzetesen (például 60 nap után a tanúsítvány használat). Nézzük titkosítása kliens megújítja parancsot, amely ellenőrzi a jelenlegi tanúsítvány és frissíti azt, ha mielőtt a lejárati dátum még mindig kevesebb, mint 30 nap.
A frissítési valamennyi meglévő domain, futni:
sudo certbot megújítani
Mivel a tanúsítványt kapott csak, hogy a csapat nem fogja megújítani azt. Ez csak azt mutatja, hogy a tanúsítvány még nem frissítésre szorul.
Mentése hibakeresési napló /var/log/letsencrypt/letsencrypt.log
-------------------------------------------------------------------------------
feldolgozás /etc/letsencrypt/renewal/example.com.conf
-------------------------------------------------------------------------------
Cert még nem esedékes megújítása
Az alábbi tanúsítványok nem esedékes megújítása még:
/etc/letsencrypt/live/example.com/fullchain.pem (kimarad)
Nem felújításokra próbálkoztunk.
Megjegyzés: ha létrehoz egy tanúsítvány több domain a kimenetben meghatározza csak a hazai domain, de a frissítés érvényes az összes domain és aldomain.
Annak érdekében, hogy időben történő frissítése a tanúsítvány, állítsa a cron démon fut automatikusan megújítja a csapat hetente egyszer vagy minden nap.
Szerkessze a crontab, és hozzon létre egy új fiókot, hogy megújítja a parancsot. Szerkeszteni a crontab root felhasználó, típus:
nincs crontab gyökér - segítségével egy üres
Válasszon egy szerkesztő. Ha módosítani később, fuss „select-szerkesztő”.
1. / bin / nano <---- самый простой
2. /usr/bin/vim.basic
3. /usr/bin/vim.tiny
Válasszon 1-3 [1]:
Hozzáadás a táblázat vége a következő bejegyzést:
Február 30 * 1 / usr / bin / certbot megújítani >> /var/log/le-renew.log
Mentse és zárja be a fájlt. Ez létrehoz egy új cron folyamat, amely végrehajtja a parancsot letsencrypt-automatikusan megújul minden hétfőn este 2.3o. A parancs kimenete kerül a /var/log/le-renewal.log.
Most, az Apache webszerver védett a SSL-tanúsítvány Nézzük titkosítása. További hasznos információk (beleértve a frissítéseket) megtalálható a Let titkosítása blog.