首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >在 CentOS 8 上使用 Let’s Encrypt 保护 Apache

在 CentOS 8 上使用 Let’s Encrypt 保护 Apache

作者头像
雪梦科技
发布于 2020-05-11 08:59:16
发布于 2020-05-11 08:59:16
1.5K00
代码可运行
举报
文章被收录于专栏:ITCoderITCoder
运行总次数:0
代码可运行

Let’s Encrypt 是一个免费的,自动的,开放证书供应商。它由提供免费 SSL 证书的 Internet Security Research Group(ISRG)开发。

由 Let’s Encrypt 签发的证书,被大部分浏览器信任,并且从签发当日起 90 天内有效。

这篇指南讲解在运行着 Apache 网站服务器CentOS 8 上如何安装一个免费的 Let’s Encrypt SSl 证书。我们将会使用 certbot 来获取并且刷新证书。

一、前提条件

请先确保以下前提条件,再继续后面的步骤:

  • 有一个指向公共服务器 IP 的域名,我们这里使用example.com
  • 在你的服务器上,Apache 已经安装并且运行,它配置了一个虚拟主机,指向了你的域名。
  • 端口 80 和 443 在防火墙上是开放的。

安装下面的软件包,这些是配置一个 SSL 加密网页服务器所必须的:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
sudo dnf install mod_ssl openssl

当 mod_ssl package 安装后,它应该已经给本地主机创建了一个自签名的 key 和证书。如果这些文件没有自动被创建,你可以使用openssl命令创建它们。

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
sudo openssl req -newkey rsa:4096 -x509 -sha256 -days 3650 -nodes \
-out /etc/pki/tls/certs/localhost.crt \
-keyout /etc/pki/tls/private/localhost.key

二、安装 Certbot

Certbot 是一个终端命令工具,它简化了获取和刷新 Let’s Encrypt SSL 证书的流程,并且可以为你的服务器自动启用 HTTPS。

certbot 软件包没有包含在标准的 CentOS 8 软件源仓库,但是它可以从供应商的网站下载。

以 root 用户或者其他有 sudo 权限用户身份运行下面的wget命令,将一个 certbot 脚本下载到/usr/local/bin目录:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
sudo wget -P /usr/local/bin https://dl.eff.org/certbot-auto

一旦下载完成,赋予该文件可执行权限:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
sudo chmod +x /usr/local/bin/certbot-auto

三、生成强大的 Dh(Diffie-Hellman) 组

Diffie–Hellman key(DH)是一个在不安全通讯频道的安全交换密码的方案。产生一个 2048 位的 DH 因子来加强安全性:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

你可以将大小提高到 4096 位,但是依赖系统熵,产生过程可能会超过 30 分钟。

四、获取一个 Let’s Encrypt SSL 证书

想要为域名获得一个 SSL 证书,我们必须先使用 WeBroot 插件创建一个临时文件,用来验证${webroot-path}/.well-known/acme-challenge目录下的域名。 Let’s Encrypt 服务器请求这个临时文件,来验证域名。

想要使得步骤变得简单,我们将所有.well-known/acme-challenge的 HTTP 请求放进一个简单文件夹,/var/lib/letsencrypt

运行下面的命令创建文件夹,并且使得它对于 Apache 服务器来说可写。

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp apache /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt

想要避免重复代码,并且使得配置可维护,创建以下两个配置代码片段:

/etc/httpd/conf.d/letsencrypt.conf

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
    AllowOverride None
    Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
    Require method GET POST OPTIONS
</Directory>

/etc/httpd/conf.d/ssl-params.conf

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM
# Requires Apache 2.4.36 & OpenSSL 1.1.1
SSLProtocol -all +TLSv1.3 +TLSv1.2
SSLOpenSSLConfCmd Curves X25519:secp521r1:secp384r1:prime256v1
# Older versions
# SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
# Requires Apache >= 2.4.11
SSLSessionTickets Off

SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

上面的代码段使用了Cipherli.st推荐的加密配置。它启用了 OCSP,HTTP Strict Transport Security (HSTS), Dh key, 并且强制加上几个聚焦安全的 HTTP headers。

重新加载 Apache 配置,使得修改生效:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
sudo systemctl reload httpd

现在你可以运行 certbot 脚本,配合 webroot 插件,用来获取 SSL 证书文件:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
sudo /usr/local/bin/certbot-auto certonly --agree-tos --email admin@example.com --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

一旦成功,certbot 将会打印下面的信息:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2020-01-26. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

现在所有设置都搞定,编辑好你的域名对应的虚拟主机配置如下:

/etc/httpd/conf.d/example.com.conf

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
<VirtualHost *:80>
  ServerName example.com
  ServerAlias www.example.com

  Redirect permanent / https://example.com/
</VirtualHost>

<VirtualHost *:443>
  ServerName example.com
  ServerAlias www.example.com

  Protocols h2 http:/1.1

  <If "%{HTTP_HOST} == 'www.example.com'">
    Redirect permanent / https://example.com/
  </If>

  DocumentRoot /var/www/example.com/public_html
  ErrorLog /var/log/httpd/example.com-error.log
  CustomLog /var/log/httpd/example.com-access.log combined

  SSLEngine On
  SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
  SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem

  # Other Apache Configuration

</VirtualHost>

上面的配置强制使用 HTTPS,并且将 www 强制转向 non-www 版本。它同时启用了 HTTP/2,可以让你的网站变得更快,更强壮。你可以按照你的需求随意修改配置文件。

重启 Apache 服务:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
sudo systemctl restart httpd

你现在可以使用 https:// 打开你的网站,你将看到一个绿色的锁图标。

如果你使用SSL Labs Server Test测试你的域名,你将会获得一个 A+等级,就像下面一样:

五、自动刷新 Let’s Encrypt SSL 证书

Let’s Encrypt 的证书只有 90 天有效期。想要在过期之前自动刷新证书,我们需要创建一个 cronjob,它将会一天运行两次,并且在证书过期前 30 天左右刷新证书。

运行下面的命令创建一个新的 cronjob,它将会刷新证书,并且重启 Apache:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
echo "0 0,12 * * * root python3 -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/bin/certbot-auto -q renew --renew-hook \"systemctl reload httpd\"" | sudo tee -a /etc/crontab > /dev/null

想要测试刷新过程,使用 certbot 命令加上--dry-run选项:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
sudo /usr/local/bin/certbot-auto renew --dry-run

如果没有错误提示,那就意味着刷新过程是成功的。

六、总结

在这个指南中,我们讨论了如何在 CentOS 上使用 Let’s Encrypt 客户端 certbot 去获得域名的 SSL 证书。你也了解了如何使用配置 Apache,使用证书,并且建立一个 cronjob 定期任务去刷新证书。

想要了解更多关于 Certbot 脚本,浏览:Certbot 官方文档

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2019年12月10日,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
Confluence 平台部署记录
  Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。
惨绿少年
2019/05/24
2.1K0
confluence与jira账号对接、查看到期时间及问题总结
前面介绍了对于confluence和jira的破解版安装记录,下面简单记录下confluence和jira结合配置: 安装顺序:先安装Jira,然后安装Confluence,在Confluence安装过程中去连接jira,既Confluence用户目录回去主动同步jira的用户目录。这样,在jira里创建用户就会自动同步到Confluence里,双方登陆的用户是一样的(最好是先在jira里创建用户,然后同步到Confluence里)。在同一个session环境下,可以使用同样的账号登陆jira和Conflu
洗尽了浮华
2018/01/22
7.1K0
confluence与jira账号对接、查看到期时间及问题总结
DevOps-需求管理工具-Jira安装部署
进入官网 https://www.atlassian.com/zh/software/jira/download
DevOps云学堂
2021/02/26
1.9K0
docker-compose快速部署jira
https://doc.devpod.cn/jsm/jira-service-management-17105048.html
崔哥
2022/12/05
3.2K0
docker-compose快速部署jira
Atlassian 系列软件安装(Crowd+JIRA+Confluence+Bitbucket+Bamboo)
公司使用的软件开发和协作工具为 Atlassian 系列软件,近期需要从腾讯云迁移到阿里云环境,简单记录下安装和配置过程。(Atlassian 的文档非常详尽,过程中碰见的问题都可以找到解决办法。)
叨叨软件测试
2020/04/14
3.7K0
Atlassian 系列软件安装(Crowd+JIRA+Confluence+Bitbucket+Bamboo)
jira项目迁移完整实现
最近领导安排我一项任务,把阿里云上部署的jira项目迁移到新的服务器上,jira是什么呢?进入社会工作的朋友们大部分都了解过吧,现在就来介绍一下它,JIRA是Atlassian公司出品的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。很多公司进行敏捷开发用到的工具就是这个jira。
jiankang666
2022/05/12
1.4K0
TortoiseGit 安装、配置、下载全流程
最近入职一家新公司,需要安装一下git的环境,于是网上找了一下安装的步骤,以及遇到了一些坑,现在整理一下,分享给关注我的同学,希望可以给大家节省点时间,避免踩坑;
小马哥学JAVA
2022/11/12
1.8K0
Windows英文版安装其他显示语言,语言包的获取和使用
https://www.microsoft.com/zh-CN/evalcenter/evaluate-windows-server-2022
Windows技术交流
2024/04/17
2.7K0
Lync 2013 语言包安装
我一下子懵了,我心想Lync 2010有多语言用户界面包,没见过有Lync 2013的,再说了,Lync 2013是Office 2013中套件之一,微软官网也没有公开提供语言包下载。
杨强生
2019/03/05
1.4K0
Lync 2013 语言包安装
【01】对APP进行语言包功能开发-APP自动识别地区ip后分配对应的语言功能复杂吗?-成熟app项目语言包功能定制开发-前端uniapp
【01】对APP进行语言包功能开发-APP自动识别地区ip后分配对应的语言功能复杂吗?-成熟app项目语言包功能定制开发-前端以uniapp-基于vue.js后端以laravel基于php为例项目实战-优雅草卓伊凡
卓伊凡
2025/03/05
4270
Git +TortoiseGit安装配置详细步骤
首先打开 Git 的官方网站: http://git-scm.com/ 然后找到下载页面: http://git-scm.com/downloads 找到Windows版本的下载页面: http://git-scm.com/download/win 因为准备使用TortoiseGit做图形客户端,所以就不选择Git GUI 版本(也可以选择GUI版本). 打开Windows的下载页面后,应该会自动弹出下载框,选择保存即可. 如果没有弹出,可以右键点击页面中的 click here to download manually., 选择另存为即可,如果资源下载很慢,可以使用迅雷。
周小董
2019/06/22
3.7K0
最全面的SourceTree账号注册教程 SourceTree使用详解:
作为一个国内开发者而言使用Git操作神器SoureTree最大的问题就是账号注册问题,因为注册账号的链接在不翻墙的情况下基本上是打不开的(弄过的童鞋应该都体会过),所以有的时候我们需要借助一些翻墙工具助我们一臂之力。如蓝灯,谷歌访问助手等,该篇博客主要是讲解一下如何注册SoreceTree(我的版本是3.3.9)的Atlassian账号,文末还有一个SourceTree跳过注册安装使用的教程(不知道是不是我的版本太高的原因按照该篇博客的教程操作了还是不起作用,这里仅供大家参考,推荐使用注册账号的方式来进行登录)。
追逐时光者
2020/06/19
5.8K0
最全面的SourceTree账号注册教程
    




            SourceTree使用详解:
JIRA 敏捷开发平台部署记录
本文介绍了如何使用 JIRA 软件进行敏捷项目管理和协同开发,包括创建项目、自定义字段、模块、看板、规划、需求管理、缺陷跟踪、文档管理、时间跟踪、报告和总结等。
惨绿少年
2017/12/27
2.1K0
JIRA 敏捷开发平台部署记录
Jira自动化实践:基于Jenkins实现需求与代码基线关联
中文官网:https://www.atlassian.com/zh/software/jira
DevOps云学堂
2021/11/17
1.5K0
Jira自动化实践:基于Jenkins实现需求与代码基线关联
相关推荐
Confluence 平台部署记录
更多 >
LV.2
这个人很懒,什么都没有留下~
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档