Как обезопасить Apache с помощью Let’s Encrypt на Debian 9

Let’s Encrypt - это центр сертификации (CA), который предоставляет простой способ получения и установки бесплатных https://www.digitalocean.com/community/tutorials/openssl-essentials-working-with-ssl-certificates-private-keys-and -csrs [TLS / SSL сертификаты], тем самым включая зашифрованные HTTPS на веб-серверах. Это упрощает процесс, предоставляя программный клиент Certbot, который пытается автоматизировать большинство (если не все) необходимых шагов. В настоящее время весь процесс получения и установки сертификата полностью автоматизирован как в Apache, так и в Nginx.

В этом руководстве вы будете использовать Certbot для получения бесплатного SSL-сертификата для Apache в Debian 9 и настройки автоматического обновления вашего сертификата.

В этом руководстве будет использоваться отдельный файл виртуального хоста Apache вместо файла конфигурации по умолчанию. https://www.digitalocean.com/community/tutorials/how-to-install-the-apache-web-server-on-debian-9#step-5-%E2%80%94-setting-up-virtual -hosts- (рекомендуется) [Мы рекомендуем] создавать новые файлы виртуальных хостов Apache для каждого домена, поскольку это помогает избежать распространенных ошибок и поддерживает файлы по умолчанию в качестве резервной конфигурации.

Чтобы следовать этому уроку, вам понадобится:

Первым шагом к использованию Let Encrypt для получения SSL-сертификата является установка программного обеспечения Certbot на ваш сервер.

На момент написания этой статьи Certbot по умолчанию недоступен в репозиториях программного обеспечения Debian. Чтобы загрузить программное обеспечение с помощью + apt +, вам нужно будет добавить репозиторий backports в ваш файл + sources.list +, где + apt + ищет источники пакетов. Backports - это пакеты из тестируемых и нестабильных дистрибутивов Debian, которые перекомпилируются, поэтому они будут работать без новых библиотек в стабильных дистрибутивах Debian.

Чтобы добавить репозиторий backports, откройте (или создайте) файл + sources.list в вашей директории` + / etc / apt / + `:

В нижней части файла добавьте следующую строку:

/etc/apt/sources.list.d/sources.list

Сюда входят пакеты + main +, совместимые с Debian Free Software Guidelines (DFSG), а также + non-free + и `+ contrib + `компоненты, которые либо сами не совместимы с DFSG, либо содержат зависимости в этой категории.

Сохраните и закройте файл, нажав + CTRL + X +, + Y +, затем + ENTER +, затем обновите список пакетов:

Затем установите Certbot с помощью следующей команды. Обратите внимание, что опция + -t + указывает + apt + искать пакет, просматривая только что добавленный репозиторий backports:

Certbot теперь готов к использованию, но для того, чтобы настроить SSL для Apache, нам необходимо убедиться, что Apache настроен правильно.

Certbot должен быть в состоянии найти правильный виртуальный хост в вашей конфигурации Apache, чтобы он автоматически настраивал SSL. В частности, он делает это путем поиска директивы + ServerName +, которая соответствует домену, для которого вы запрашиваете сертификат.

Если вы следовали https://www.digitalocean.com/community/tutorials/how-to-install-the-apache-web-server-on-debian-9#step-5-%E2%80%94-setting -up-virtual-hosts- (рекомендуется) [шаг настройки виртуального хоста в руководстве по установке Apache], у вас должен быть блок + VirtualHost + для вашего домена в + / etc / apache2 / sites-available / .conf + директива + ServerName + уже установлена ​​соответствующим образом.

Чтобы проверить, откройте файл виртуального хоста для вашего домена, используя + nano + или ваш любимый текстовый редактор:

Найдите существующую строку + ServerName +. Это должно выглядеть так, с вашим собственным доменным именем вместо ++:

/etc/apache2/sites-available/example.com.conf

Если это еще не сделано, обновите директиву + ServerName +, чтобы она указала на ваше доменное имя. Затем сохраните файл, выйдите из редактора и проверьте синтаксис изменений конфигурации:

Если нет никаких синтаксических ошибок, вы увидите этот вывод:

Если вы получили ошибку, снова откройте файл виртуального хоста и проверьте на наличие опечаток или пропущенных символов. Как только синтаксис вашего файла конфигурации будет правильным, перезагрузите Apache, чтобы загрузить новую конфигурацию:

Certbot теперь может найти правильный блок VirtualHost и обновить его.

Далее, давайте обновим брандмауэр, чтобы разрешить HTTPS-трафик.

Если у вас включен брандмауэр + ufw +, как рекомендовано в обязательных руководствах, вам нужно изменить настройки, чтобы разрешить трафик HTTPS. К счастью, при установке в Debian + ufw + поставляется с несколькими профилями, которые помогают упростить процесс изменения правил брандмауэра для трафика HTTP и HTTPS.

Вы можете увидеть текущие настройки, набрав:

Если вы выполнили шаг 2 нашего руководства на https://www.digitalocean.com/community/tutorials/how-to-install-the-apache-web-server-on-debian-9#step-2-%E2 % 80% 94-settinging-the-firewall [Как установить Apache в Debian 9], вывод этой команды будет выглядеть следующим образом, показывая, что веб-серверу разрешен только HTTP-трафик:

Чтобы дополнительно включить трафик HTTPS, разрешите профиль «WWW Full» и удалите избыточный допуск профиля «WWW»:

Ваш статус должен выглядеть следующим образом:

Далее, давайте запустим Certbot и получим наши сертификаты.

Certbot предоставляет различные способы получения SSL-сертификатов через плагины. Плагин Apache позаботится о переконфигурировании Apache и перезагрузке конфигурации при необходимости. Чтобы использовать этот плагин, введите следующее:

Он запускает + certbot + с плагином + - apache +, используя + -d +, чтобы указать имена, для которых вы хотите, чтобы сертификат был действительным.

Если вы впервые запускаете + certbot +, вам будет предложено ввести адрес электронной почты и принять условия обслуживания. После этого + certbot + свяжется с сервером Let Encrypt, а затем запустит запрос, чтобы убедиться, что вы контролируете домен, для которого запрашиваете сертификат.

В случае успеха + certbot + спросит, как бы вы хотели настроить параметры HTTPS:

Выберите ваш выбор, затем нажмите + ENTER. Конфигурация будет обновлена, и Apache перезагрузится, чтобы подобрать новые настройки. + certbot + завершит с сообщением о том, что процесс прошел успешно и где хранятся ваши сертификаты:

Ваши сертификаты загружены, установлены и загружены. Попробуйте перезагрузить ваш сайт с помощью + https: // + и обратите внимание на индикатор безопасности вашего браузера. Это должно означать, что сайт защищен должным образом, обычно с зеленым значком замка. Если вы протестируете свой сервер с помощью SSL Labs Server Test, он получит оценку * A *.

Давайте закончим тестированием процесса обновления.

Сертификаты Let’s Encrypt действительны только в течение девяноста дней. Это должно стимулировать пользователей автоматизировать процесс обновления их сертификатов. Пакет + certbot +, который мы установили, позаботится об этом, добавив скрипт обновления в + / etc / cron.d +. Этот скрипт запускается два раза в день и автоматически обновляет любой сертификат, срок действия которого истекает в течение тридцати дней.

Чтобы проверить процесс обновления, вы можете выполнить пробный прогон с помощью + certbot +:

Если вы не видите ошибок, все готово. При необходимости Certbot обновит ваши сертификаты и перезагрузит Apache, чтобы получить изменения. Если процесс автоматического продления не удастся, Let’s Encrypt отправит сообщение на указанный вами адрес электронной почты, предупреждая вас, когда ваш сертификат скоро истечет.

В этом руководстве вы установили Let Let Encrypt client + certbot +, загрузили SSL-сертификаты для своего домена, настроили Apache для использования этих сертификатов и настроили автоматическое обновление сертификатов. Если у вас есть дополнительные вопросы по использованию Certbot, their документация - хорошее место для начала.