GNU/Linux >> LINUX-Kenntnisse >  >> Debian

Sichern Sie Apache mit Lets Encrypt unter Debian 9

Let’s Encrypt ist eine Zertifizierungsstelle, die von der Internet Security Research Group (ISRG) gegründet wurde. Es bietet kostenlose SSL-Zertifikate über einen vollständig automatisierten Prozess, der die manuelle Erstellung, Validierung, Installation und Erneuerung von Zertifikaten überflüssig macht.

Von Let’s Encrypt ausgestellte Zertifikate sind 90 Tage ab Ausstellungsdatum gültig und werden heute von allen gängigen Browsern als vertrauenswürdig eingestuft.

Dieses Tutorial führt Sie durch den Prozess zum Erhalt eines kostenlosen Let’s Encrypt mit dem certbot-Tool auf Debian 9. Wir zeigen auch, wie Sie Apache für die Verwendung des neuen SSL-Zertifikats konfigurieren und HTTP/2 aktivieren.

Voraussetzungen #

Stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllt haben, bevor Sie mit diesem Lernprogramm fortfahren:

  • Als Benutzer mit sudo-Berechtigungen angemeldet.
  • Haben Sie einen Domänennamen, der auf die öffentliche Server-IP Ihres Servers verweist. Wir werden example.com verwenden .
  • Apache installiert. Ein virtueller Apache-Host für Ihre Domain. Folgen Sie dieser Anleitung, um Details zum Erstellen eines solchen zu erhalten.

Installieren Sie Certbot #

Certbot ist ein voll funktionsfähiges und benutzerfreundliches Tool, das die Aufgaben zum Erhalt und zur Erneuerung von Let’s Encrypt SSL-Zertifikaten automatisieren kann. Das certbot-Paket ist in den Standard-Debian-Repositories enthalten.

Aktualisieren Sie die Paketliste und installieren Sie das certbot-Paket mit den folgenden Befehlen:

sudo apt updatesudo apt install certbot

Generiere Strong Dh (Diffie-Hellman) Gruppe #

Der Diffie-Hellman-Schlüsselaustausch (DH) ist eine Methode zum sicheren Austausch kryptografischer Schlüssel über einen ungesicherten Kommunikationskanal.

Um einen neuen Satz von 2048-Bit-DH-Parametern zu generieren, führen Sie Folgendes aus:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
Wenn Sie möchten, können Sie die Größe auf bis zu 4096 Bit ändern, aber in diesem Fall kann die Generierung je nach Systementropie mehr als 30 Minuten dauern.

Ein SSL-Zertifikat von Let’s Encrypt erhalten #

Um ein SSL-Zertifikat für unsere Domain zu erhalten, verwenden wir das Webroot-Plug-in, das eine temporäre Datei zur Validierung der angeforderten Domain im ${webroot-path}/.well-known/acme-challenge Verzeichnis. Der Let’s Encrypt-Server stellt HTTP-Anforderungen an die temporäre Datei, um zu überprüfen, ob die angeforderte Domäne zu dem Server aufgelöst wird, auf dem certbot ausgeführt wird.

Um es einfacher zu machen, werden wir alle HTTP-Anfragen für .well-known/acme-challenge abbilden in ein einziges Verzeichnis, /var/lib/letsencrypt .

Die folgenden Befehle erstellen das Verzeichnis und machen es für den Apache-Server beschreibbar.

sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp www-data /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt

Um doppelten Code zu vermeiden, erstellen Sie die folgenden zwei Konfigurationsausschnitte:

/etc/apache2/conf-available/letsencrypt.conf
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
    AllowOverride None
    Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
    Require method GET POST OPTIONS
</Directory>
/etc/apache2/conf-available/ssl-params.conf
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options SAMEORIGIN
Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
# Requires Apache >= 2.4.11
SSLSessionTickets Off

SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem" 

Das obige Snippet enthält die empfohlenen Chipper, aktiviert OCSP-Stapling, HTTP Strict Transport Security (HSTS) und erzwingt wenige sicherheitsorientierte HTTP-Header.

Stellen Sie vor dem Aktivieren der Konfigurationsdateien sicher, dass sowohl mod_ssl und mod_headers werden durch Ausgabe von:

aktiviert
sudo a2enmod sslsudo a2enmod headers

Aktivieren Sie das HTTP/2-Modul, das Ihre Websites schneller und stabiler macht:

sudo a2enmod http2

Aktivieren Sie die SSL-Konfigurationsdateien, indem Sie die folgenden Befehle ausführen:

sudo a2enconf letsencryptsudo a2enconf ssl-params

Laden Sie die Apache-Konfiguration neu, damit die Änderungen wirksam werden:

sudo systemctl reload apache2

Verwenden Sie das Certbot-Tool mit dem Webroot-Plugin, um die SSL-Zertifikatsdateien zu erhalten:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Wenn das SSL-Zertifikat erfolgreich erhalten wurde, druckt certbot die folgende Nachricht:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
   expire on 2019-01-17. To obtain a new or tweaked version of this
   certificate in the future, simply run certbot again. To
   non-interactively renew *all* of your certificates, run "certbot
   renew"
 - If you lose your account credentials, you can recover through
   e-mails sent to [email protected].
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Nachdem Sie nun über die Zertifikatsdateien verfügen, bearbeiten Sie die Konfiguration Ihres virtuellen Domänenhosts wie folgt:

/etc/apache2/sites-available/example.com.conf
<VirtualHost *:80> 
  ServerName example.com
  ServerAlias www.example.com

  Redirect permanent / https://example.com/
</VirtualHost>

<VirtualHost *:443>
  ServerName example.com
  ServerAlias www.example.com

  Protocols h2 http/1.1

  <If "%{HTTP_HOST} == 'www.example.com'">
    Redirect permanent / https://example.com/
  </If>

  DocumentRoot /var/www/example.com/public_html
  ErrorLog ${APACHE_LOG_DIR}/example.com-error.log
  CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined

  SSLEngine On
  SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
  SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem

  # Other Apache Configuration

</VirtualHost>

Mit der obigen Konfiguration erzwingen wir eine HTTPSand-Weiterleitung von www zu einer nicht-www-Version. Fühlen Sie sich frei, die Konfiguration an Ihre Bedürfnisse anzupassen.

Laden Sie den Apache-Dienst neu, damit die Änderungen wirksam werden:

sudo systemctl reload apache2

Öffnen Sie Ihre Website mit https:// , und Sie werden ein grünes Schlosssymbol bemerken.

Wenn Sie Ihre Domain mit dem SSL Labs Server Test testen, erhalten Sie die Note A+, wie unten gezeigt:

SSL-Zertifikat von Let’s Encrypt automatisch verlängern #

Die Zertifikate von Let’s Encrypt sind 90 Tage gültig. Um die Zertifikate automatisch zu erneuern, bevor sie ablaufen, erstellt das certbot-Paket einen Cronjob, der zweimal täglich ausgeführt wird und jedes Zertifikat 30 Tage vor seinem Ablauf automatisch verlängert.

Sobald das Zertifikat erneuert ist, müssen wir auch den Apache-Dienst neu laden. Hängen Sie --renew-hook "systemctl reload apache2" an zu /etc/cron.d/certbot Datei, sodass sie wie folgt aussieht:

/etc/cron.d/certbot
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload apache2"

Um den Erneuerungsprozess zu testen, verwenden Sie den certbot --dry-run Schalter:

sudo certbot renew --dry-run

Wenn keine Fehler vorliegen, bedeutet dies, dass der Erneuerungsprozess erfolgreich war.


Debian
  1. Sichern Sie Nginx mit Lets Encrypt auf Ubuntu 18.04

  2. Sichern Sie Nginx mit Lets Encrypt auf Ubuntu 16.04

  3. Sichern Sie Apache mit Lets Encrypt auf Ubuntu 18.04

  4. So sichern Sie Apache mit Lets Encrypt unter Ubuntu 18.04

  5. So installieren Sie Let’s Encrypt SSL mit Apache unter Debian 11

Installieren Sie Lets Encrypt und Secure Nginx mit SSL/TLS in Debian 9

So installieren Sie Automad CMS mit Apache und Lets encrypt unter Debian 10

So installieren Sie DokuWiki mit Lets Encrypt SSL unter Debian 11

Installieren Sie TaskBoard mit Apache und lassen Sie SSL unter Debian 11 verschlüsseln

So sichern Sie Apache mit Let’s Encrypt unter CentOS 8

So sichern Sie Apache mit Let’s Encrypt unter Ubuntu 20.04