Let’s Encrypt ist eine Zertifizierungsstelle, die von der Internet Security Research Group (ISRG) gegründet wurde. Es bietet kostenlose SSL-Zertifikate über einen vollständig automatisierten Prozess, der die manuelle Erstellung, Validierung, Installation und Erneuerung von Zertifikaten überflüssig macht.
Von Let’s Encrypt ausgestellte Zertifikate sind 90 Tage ab Ausstellungsdatum gültig und werden heute von allen gängigen Browsern als vertrauenswürdig eingestuft.
Dieses Tutorial führt Sie durch den Prozess zum Erhalt eines kostenlosen Let’s Encrypt mit dem certbot-Tool auf Debian 9. Wir zeigen auch, wie Sie Apache für die Verwendung des neuen SSL-Zertifikats konfigurieren und HTTP/2 aktivieren.
Voraussetzungen #
Stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllt haben, bevor Sie mit diesem Lernprogramm fortfahren:
- Als Benutzer mit sudo-Berechtigungen angemeldet.
- Haben Sie einen Domänennamen, der auf die öffentliche Server-IP Ihres Servers verweist. Wir werden
example.comverwenden . - Apache installiert. Ein virtueller Apache-Host für Ihre Domain. Folgen Sie dieser Anleitung, um Details zum Erstellen eines solchen zu erhalten.
Installieren Sie Certbot #
Certbot ist ein voll funktionsfähiges und benutzerfreundliches Tool, das die Aufgaben zum Erhalt und zur Erneuerung von Let’s Encrypt SSL-Zertifikaten automatisieren kann. Das certbot-Paket ist in den Standard-Debian-Repositories enthalten.
Aktualisieren Sie die Paketliste und installieren Sie das certbot-Paket mit den folgenden Befehlen:
sudo apt updatesudo apt install certbot
Generiere Strong Dh (Diffie-Hellman) Gruppe #
Der Diffie-Hellman-Schlüsselaustausch (DH) ist eine Methode zum sicheren Austausch kryptografischer Schlüssel über einen ungesicherten Kommunikationskanal.
Um einen neuen Satz von 2048-Bit-DH-Parametern zu generieren, führen Sie Folgendes aus:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Ein SSL-Zertifikat von Let’s Encrypt erhalten #
Um ein SSL-Zertifikat für unsere Domain zu erhalten, verwenden wir das Webroot-Plug-in, das eine temporäre Datei zur Validierung der angeforderten Domain im ${webroot-path}/.well-known/acme-challenge Verzeichnis. Der Let’s Encrypt-Server stellt HTTP-Anforderungen an die temporäre Datei, um zu überprüfen, ob die angeforderte Domäne zu dem Server aufgelöst wird, auf dem certbot ausgeführt wird.
Um es einfacher zu machen, werden wir alle HTTP-Anfragen für .well-known/acme-challenge abbilden in ein einziges Verzeichnis, /var/lib/letsencrypt .
Die folgenden Befehle erstellen das Verzeichnis und machen es für den Apache-Server beschreibbar.
sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp www-data /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt
Um doppelten Code zu vermeiden, erstellen Sie die folgenden zwei Konfigurationsausschnitte:
/etc/apache2/conf-available/letsencrypt.confAlias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
AllowOverride None
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
Require method GET POST OPTIONS
</Directory>
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options SAMEORIGIN
Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
# Requires Apache >= 2.4.11
SSLSessionTickets Off
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"
Das obige Snippet enthält die empfohlenen Chipper, aktiviert OCSP-Stapling, HTTP Strict Transport Security (HSTS) und erzwingt wenige sicherheitsorientierte HTTP-Header.
Stellen Sie vor dem Aktivieren der Konfigurationsdateien sicher, dass sowohl mod_ssl und mod_headers werden durch Ausgabe von:
sudo a2enmod sslsudo a2enmod headers
Aktivieren Sie das HTTP/2-Modul, das Ihre Websites schneller und stabiler macht:
sudo a2enmod http2Aktivieren Sie die SSL-Konfigurationsdateien, indem Sie die folgenden Befehle ausführen:
sudo a2enconf letsencryptsudo a2enconf ssl-params
Laden Sie die Apache-Konfiguration neu, damit die Änderungen wirksam werden:
sudo systemctl reload apache2Verwenden Sie das Certbot-Tool mit dem Webroot-Plugin, um die SSL-Zertifikatsdateien zu erhalten:
sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.comWenn das SSL-Zertifikat erfolgreich erhalten wurde, druckt certbot die folgende Nachricht:
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
expire on 2019-01-17. To obtain a new or tweaked version of this
certificate in the future, simply run certbot again. To
non-interactively renew *all* of your certificates, run "certbot
renew"
- If you lose your account credentials, you can recover through
e-mails sent to [email protected].
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Nachdem Sie nun über die Zertifikatsdateien verfügen, bearbeiten Sie die Konfiguration Ihres virtuellen Domänenhosts wie folgt:
/etc/apache2/sites-available/example.com.conf<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com
Redirect permanent / https://example.com/
</VirtualHost>
<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com
Protocols h2 http/1.1
<If "%{HTTP_HOST} == 'www.example.com'">
Redirect permanent / https://example.com/
</If>
DocumentRoot /var/www/example.com/public_html
ErrorLog ${APACHE_LOG_DIR}/example.com-error.log
CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined
SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
# Other Apache Configuration
</VirtualHost>
Mit der obigen Konfiguration erzwingen wir eine HTTPSand-Weiterleitung von www zu einer nicht-www-Version. Fühlen Sie sich frei, die Konfiguration an Ihre Bedürfnisse anzupassen.
Laden Sie den Apache-Dienst neu, damit die Änderungen wirksam werden:
sudo systemctl reload apache2
Öffnen Sie Ihre Website mit https:// , und Sie werden ein grünes Schlosssymbol bemerken.
Wenn Sie Ihre Domain mit dem SSL Labs Server Test testen, erhalten Sie die Note A+, wie unten gezeigt:
SSL-Zertifikat von Let’s Encrypt automatisch verlängern #
Die Zertifikate von Let’s Encrypt sind 90 Tage gültig. Um die Zertifikate automatisch zu erneuern, bevor sie ablaufen, erstellt das certbot-Paket einen Cronjob, der zweimal täglich ausgeführt wird und jedes Zertifikat 30 Tage vor seinem Ablauf automatisch verlängert.
Sobald das Zertifikat erneuert ist, müssen wir auch den Apache-Dienst neu laden. Hängen Sie --renew-hook "systemctl reload apache2" an zu /etc/cron.d/certbot Datei, sodass sie wie folgt aussieht:
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload apache2"
Um den Erneuerungsprozess zu testen, verwenden Sie den certbot --dry-run Schalter:
sudo certbot renew --dry-runWenn keine Fehler vorliegen, bedeutet dies, dass der Erneuerungsprozess erfolgreich war.