Heute stelle ich den Let’s-Verschlüsselungsdienst vor, mit dem Sie kostenlos ein gültiges Zertifikat erstellen können.
Das bedeutet, dass Ihre Website in https verwendet werden kann. Das https-Protokoll garantiert dem Benutzer nicht nur die Nutzung der realen Website, sondern auch die Verschlüsselung der Informationen, wodurch jeder Zugriff mit einem Passwort geschützt ist.
Let’s encrypt ist ein Projekt, das von Mozilla gesteuert und von wichtigen Webplayern unterstützt wird. Das Einzige, was Sie tun müssen, ist, vollen Zugriff darauf zu haben, wo Ihre Blog-Site installiert ist.
Ich werde erklären, wie man ein kostenloses https-Zertifikat manuell generiert.
Installation von Certbot
Certbot ist ein Programm, mit dem Sie eine Reihe von Aktivitäten zur Erstellung und Verlängerung von Zertifikaten verwalten und automatisieren können.
Bei der Paketinstallation wird das Paket als certbot verteilt, während bei der manuellen Installation mit z.B. einer CentOS 5 oder 6 Version alle manuellen Installationsschritte durchgeführt werden, das Programm heißt letsencrypt-auto,
ist aber
ein Alias von certbot.
Zuerst installieren wir Git und Python.
- CentOS und andere Red Hat-Derivate:
sudo yum install git python -y
- Debian-Derivate:
sudo apt-get install git python -y
Mit Git laden wir die Programmquellen mit dem folgenden Befehl herunter:
sudo git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt
Wir haben die Quellen in den Ordner /opt/letsencrypt
heruntergeladen.
Um sicherzustellen, dass es funktioniert, starten wir:
/opt/letsencrypt/letsencrypt-auto --version
Das certbot-Programm wird direkt ausführbar sein, wenn es mit einem Paket installiert wird, aber durch den manuellen Download werden wir es mit der Nomenklatur /opt/letsencrypt/letsencrypt/letsencrypt-auto
verwenden.
An dieser Stelle können wir zur Generierung des Zertifikats einen ähnlichen Befehl wie diesen ausführen:
Kostenlose Generierung von HTTPS-Zertifikaten
Starten Sie an dieser Stelle zur Generierung des Zertifikats einen ähnlichen Befehl:
sudo /opt/letsencrypt/letsencrypt-auto -email mioindirizzo@gmail.com -agree-tos certonly -webroot -w /var/www/semprefacile.it -d semprefacile.it -d semfacile.it -d www.semprefacile.it
- –E-Mail
mioindirizzo@gmail.com:
ist die E-Mail-Adresse, die für verschiedene Servicekommunikation verwendet wird, einschließlich des Ablaufs des Zertifikats. Sie muss alle 90 Tage erneuert werden. - —
zustimmen
: die nutzungsbedingungen akzeptieren Certonly
: Sie wollen nur ein HTTPS-Zertifikat erstellen, die Installation auf dem Apache erfolgt manuell.- —
Webbroot
: identifiziert die Methode der Identitätsprüfung. - w
/var/wwww/semprefacile.it
: muss durch den DocumentRoot-Pfad, d.h. den Apache-Basispfad, ersetzt werden. - -d
semprefacile.it -d www.semprefacile.it:
gibt die Domains an, für die das Zertifikat angefordert wird. Es ist richtig, sowohl den Initiator für wwww als auch den Initiator für www zu benötigen.
Wenn alles gut geht, wird das HTTPS-Zertifikat in einem Unterordner von /etc/letsencrypt/live/
erstellt, der den Domain-Namen trägt, den wir in der Befehlszeile angegeben haben.
/etc/letsencrypt/live/semprefacile.it/
In diesem Ordner befinden sich die 4 Zertifikatsdateien!
HTTPS-Installation im Apache
Zuerst müssen Sie die Bibliotheken installieren, um ssh auf dem Apache zu aktivieren. Das Modul ist mod_ssl.
- für CentOS:
sudo yum install openssl mod_ssl -y
- für Ubuntu:
sudo apt-get install openssl mod_ssl -y
Starten Sie den Dienst neu, um die Änderungen wirksam zu machen.
- für CentOS:
sudo Dienst httpd Neustart
- für Ubuntu:
sudo Neustart apache2
Installation des Zertifikats
Wenn der Apache den Virtualhost nicht konfiguriert hat, können Sie die Konfiguration direkt auf dem Standard- Virtualhost ändern.
- für CentOS:
/etc/httpd/ssl.conf
- für Ubuntu:
/etc/apache2/sites-available/default-ssl
Bearbeiten Sie die Datei und ändern Sie die Zeilen, indem Sie die folgenden Änderungen vornehmen:
SSLEngine ein
SSL-Protokoll Alle -SSLv2 -SSLv3 -SSLv3
SSLHonorCipherOrder On Auftrag Ein
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-CAMELLIA128-SHA256:ECDHE-ECDSA-CAMELLIA128-SHA256:ECDHE-RSA-CAMELLIA256-SHA384:ECDHE-ECDSA-CAMELLIA256-SHA384:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-CAMELLIA256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:CAMELLIA128-SHA:CAMELLIA256-SHA:DHE-RSA-DES-CBC3-SHA:DES-CBC3-SHA:DES-CBC3-SHA:DES-CBC3-SHA:DES-CBC3-SHA
SSL-ZertifikatKeyFile /etc/letsencrypt/live/semprefacile.it/privkey.pem
SSL-ZertifikatDatei /etc/letsencrypt/live/semprefacile.it/cert.pem
SSL-ZertifikatKettendatei /etc/letsencrypt/live/semprefacile.it/chain.pem
Machen Sie die Änderungen wirksam, indem Sie die Konfiguration neu laden:
- für CentOS:
sudo service httpd reload reload
- für Ubuntu:
sudo reload apache2
SSL-Funktionstest
Nun versuchen wir, die Seite mit https-Adresse zu öffnen, und wir werden feststellen, dass die Seite mit einem gültigen Zertifikat korrekt eingerichtet ist.
Erneuerung des Zertifikats
Let’s Encrypt HTTPS-Zertifikate haben eine relativ kurze Laufzeit: nur 90 Tage. Das bedeutet, dass sie innerhalb der Frist verlängert werden müssen. (eine crontab kann automatisiert werden)
Um zu erneuern, müssen Sie einen Befehl ausführen, wie z.B.
- für CentOS:
sudo/opt/letsencrypt/letsencrypt-auto renew && sudo service httpd reload
- für Ubuntu:
sudo/opt/letsencrypt/letsencrypt-auto renew && sudo reload apache2
Wenn die Operation jedoch lange vor dem Verfallsdatum durchgeführt werden soll, können wir den Parameter –force-renew verwenden, um
die Generierung des Zertifikats vorwegzunehmen.
- für CentOS:
sudo/opt/letsencrypt/letsencrypt-auto renew --force-renew && sudo service httpd reload
- für Ubuntu:
sudo/opt/letsencrypt/letsencrypt-auto renew --force-renew && sudo reload apache2
Am Ende der Ausführung lesen wir Glückwünsche, alle Erneuerungen waren erfolgreich.
dann wurde der Vorgang korrekt abgeschlossen.
Wir können das Zertifikat überprüfen, um zu sehen, ob nach den Befehlen unter diesen Zertifikaten ein neues Verfallsdatum liegt.
(um das Zertifikat anzuzeigen, wenn Sie Chrom verwenden, können Sie die Tools für Entwickler und Sicherheit öffnen und dann das Zertifikat anzeigen).
Um eine Crontab zu planen, kannst du einen Befehl einfügen, der den Befehl zum Bearbeiten von Crontab-e gibt und dann eine neue Zeile dieses Typs einfügt.
30 1 1 1 2,4,6,8,10,12 * /opt/letsencrypt/letsencrypt-auto renew -force-renew && sudo service httpd reload
Alle zwei Monate am Monatsersten um 1:30 Uhr führen wir die Verlängerung des Zertifikats durch.
SSL-Sicherheitstest
Wir haben einen Test auf dem kostenlosen SSL Server Test Service durchgeführt und das installierte Zertifikat ist mit einem Rang A bewertet.