Einführung
SSL-Zertifikate werden auf Webservern verwendet, um den Datenverkehr zwischen Server und Client zu verschlüsseln. Dies bietet zusätzliche Sicherheit für Benutzer, die auf Ihre Anwendung zugreifen. Let’s Encrypt bietet eine einfache Möglichkeit, vertrauenswürdige Zertifikate kostenlos abzurufen und zu installieren. In diesem Tutorial erfahren Sie, wie Sie TLS / SSL-Zertifikate unter Let’s Encrypt einrichten, um mehrere virtuelle Hosts auf Apache zu sichern.
Voraussetzungen
Um diesen Leitfaden zu vervollständigen, benötigen Sie:
-
Ein 16.04-Server mit einem Benutzer ohne Rootberechtigung und einer Firewall, die Sie unter https://www.digitalocean.com/community/tutorials/initial-server-setup-with-ubuntu-16-04 [einrichten können. Anleitung zum Einrichten des Ubuntu 16.04-Servers
-
Auf dem Apache-Webserver wurden mehrere virtuelle Hosts mit jeweils einer eigenen Konfigurationsdatei installiert und gehostet. Diese können Sie wie folgt einrichten: https://www.digitalocean.com/community/tutorials/how-to-set-up-apache- virtual-hosts-on-ubuntu-16-04 [Tutorial für virtuelle Apache-Hosts].
In diesem Handbuch installieren wir Let’s Encrypt-Zertifikate für die Domänen "" und "". Auf diese wird im gesamten Handbuch verwiesen, Sie sollten sie jedoch durch Ihre eigenen Domänen ersetzen, während Sie den Anweisungen folgen.
[[step-1---installing-the-let’s-encrypt-client]] === Schritt 1 - Installieren des Let’s Encrypt-Clients
Let 's Encrypt-Zertifikate werden über die Client-Software abgerufen, die auf Ihrem Server ausgeführt wird. Der offizielle Client heißt Certbot und die Entwickler unterhalten ein eigenes Ubuntu-Software-Repository mit aktuellen Versionen. Da sich Certbot in einer solchen aktiven Entwicklung befindet, lohnt es sich, dieses Repository zu verwenden, um eine neuere Version zu installieren, als sie standardmäßig von Ubuntu bereitgestellt wird.
Fügen Sie zunächst das Repository hinzu:
sudo add-apt-repository ppa:certbot/certbotSie müssen + ENTER drücken, um zu akzeptieren. Aktualisieren Sie anschließend die Paketliste, um die Paketinformationen des neuen Repositorys abzurufen:
sudo apt-get updateUnd zum Schluss installieren Sie Certbot aus dem neuen Repository mit + apt-get:
sudo apt-get install python-certbot-apacheDer "+ certbot +" Let’s Encrypt-Client kann jetzt verwendet werden. Als Nächstes erstellen wir die Zertifikate.
Schritt 2 - Einrichten der Zertifikate
Das Generieren des SSL-Zertifikats für Apache ist unkompliziert. Certbot erhält und installiert automatisch ein neues SSL-Zertifikat, das für die als Parameter angegebenen Domänen gültig ist.
Der folgende Befehl verwendet eine durch Kommas getrennte Liste von Domänennamen als Parameter nach dem Flag "+ -d +". Der erste aufgeführte Domänenname ist die Basisdomäne, die von Certbot zum Erstellen des Zertifikats verwendet wird. Aus diesem Grund empfehlen wir, dass Sie zuerst den nackten Domänennamen der obersten Ebene und anschließend alle weiteren Unterdomänen oder Aliase übergeben.
Starten Sie die interaktive Installation für "++", um ein gebündeltes Zertifikat für diese Domäne zu erstellen:
sudo certbot --apache -dSie werden aufgefordert, eine E-Mail-Adresse für die Wiederherstellung verlorener Schlüssel und Benachrichtigungen anzugeben, und Sie können auswählen, ob der gesamte "+ http " - Datenverkehr an " https " umgeleitet werden soll, wodurch der " http " - Zugriff deaktiviert wird. Es ist sicherer, " https +" zu erzwingen. Daher sollten Sie dies auswählen, es sei denn, Sie möchten ausdrücklich beide zulassen.
Nach Abschluss der Installation finden Sie die generierten Zertifikatsdateien unter + / etc / letsencrypt / live +. Sie können den Status Ihres SSL-Zertifikats unter "+ https: //www.ssllabs.com/ssltest/analyze.html? D = & latest " überprüfen und können jetzt mit einem " https +" - Präfix auf Ihre Website zugreifen. Vergessen Sie nicht, diesen Schritt für jede Domain, die Sie verwenden, erneut auszuführen.
Schritt 3 - Überprüfen der automatischen Erneuerung von Certbot
Lassen Sie uns Zertifikate nur 90 Tage verschlüsseln. Das von uns installierte certbot-Paket erledigt dies jedoch für uns, indem es zweimal täglich + certbot renew + über einen systemd-Timer ausführt. Bei Nicht-Systemdistributionen wird diese Funktionalität durch ein Cron-Skript bereitgestellt, das sich in + / etc / cron.d + befindet. Die Aufgabe wird zweimal täglich ausgeführt und erneuert jedes Zertifikat, das innerhalb von 30 Tagen nach dem Ablaufdatum abgelaufen ist.
Um den Erneuerungsprozess zu testen, können Sie mit + certbot + einen Probelauf durchführen:
sudo certbot renew --dry-runWenn Sie keine Fehler sehen, sind Sie fertig. Bei Bedarf erneuert Certbot Ihre Zertifikate und lädt Apache neu, um die Änderungen zu übernehmen. Wenn die automatische Erneuerung jemals fehlschlägt, sendet Let’s Encrypt eine Nachricht an die von Ihnen angegebene E-Mail-Adresse und warnt Sie, wenn Ihr Zertifikat in Kürze abläuft.
Fazit
In diesem Handbuch wurde beschrieben, wie Sie kostenlose SSL-Zertifikate von Let’s Encrypt installieren, um mehrere virtuelle Hosts auf Apache zu sichern. Wir empfehlen, dass Sie von Zeit zu Zeit im offiziellen Lets Encrypt-Blog nach wichtigen Updates suchen und die Certbot-Dokumentation nachlesen Weitere Details zum Certbot-Client.