如何使用RHEL 8上的Lets Encrypt证书保护Apache
时间:2020-01-09 10:39:41 来源:igfitidea点击:
如何在RHEL 8上使用Lets Encrypt证书保护Apache?
如何在Red Hat Enterprise Linux版本8.x上设置Lets Encrypt证书?
如何安装acme.sh客户端并在RHEL 8上使用它来从Lets Encrypt获取SSL证书。
说明:Lets Encrypt是由Apache Web服务器支持的网站的免费,自动和开放证书颁发机构。
本教程显示如何使用Lets Encrypt为Apache Web服务器安装免费的SSL证书。
您将学习如何在服务器上正确部署Diffie-Hellman,以在RHEL 8上获得SSL Labs A +分数。
如何使用RHEL 8上的Lets Encrypt证书保护Apache
获取SSL证书的过程如下:
- 在RHEL 8中为Apache HTTP服务器安装SSL/TLS模块:
sudo dnf install mod_ssl - 在RHEL 8中获取acme.sh软件:
git clone https://github.com/Neilpang/acme.sh.git - 使用以下命令创建一个新的/.well-known/acme-challenge/目录:
mkdir -p/var/www/html/.well-known/acme-challenge / - 获取您的域的SSL证书,运行:
acme.sh --issue -w/DocumentRootPath/-d your-domain - 在Red Hat Linux 8上为Apache配置TLS/SSL:
vi/etc/httpd/conf.d/ssl.conf - 设置cron作业以自动续订SSL/TLS证书
- 打开端口443(HTTPS):
sudo firewall-cmd --add-service = https
如何安装Lets Encrypt SSL证书以保护RHEL 8上的Apache
我们的示例设置如下:在RHEL 8上使用Lets Encrypt保护Apache安全
借助ss命令以及grep命令/egrep命令,验证端口443和80处于打开并列出状态:
步骤1为Apache安装mod_ssl
执行以下dnf命令:
$ sudo dnf install mod_ssl
步骤2安装acme.sh让加密客户端
您需要在RHEL 8上安装wget到RHEL 8,curl,bc,socat和git客户端,才能使用acme.sh,运行:
$ sudo dnf install wget curl bc git socat
克隆仓库
$ cd /tmp/ $ git clone https://github.com/Neilpang/acme.sh.git
接下来,将acme.sh客户端安装到系统上,运行:
$ cd acme.sh/ $ sudo -i # cd acme.sh/ # ./acme.sh --install
现在,我们需要在RHEL 8包装盒上安装软件。
您必须关闭当前终端或ssh会话,然后再次重新打开以使别名生效。
或执行以下源命令:
$ sudo source ~/.bashrc
验证acme.sh是否正常运行,运行:
# acme.sh --list
步骤3建立acme-challenge目录
执行以下mkdir命令。
确保根据需要将D设置为实际的DocumentRoot路径:
# D=/var/www/html/
# mkdir -vp ${D}/.well-known/acme-challenge/
###---[ NOTE: Adjust permission as per your setup ]---###
# chown -R apache:apache ${D}/.well-known/acme-challenge/
# chmod -R 0555 ${D}/.well-known/acme-challenge/
另外,创建一个目录来存储SSL证书:
# mkdir -p /etc/httpd/ssl/theitroad.local/
步骤4建立dhparams.pem档案
运行openssl命令:
# cd /etc/httpd/ssl/theitroad.local/ # openssl dhparam -out dhparams.pem -dsaparam 4096
如何在Linux上加速OpenSSL/GnuPG熵以生成随机数
步骤5取得网域的SSL/TLS凭证
为您的域颁发证书。
语法为:
# acme.sh --issue -w /path/to/www/htmlRoot/ -d your-domain-example-com -k 2048 # acme.sh --issue -w /path/to/www/htmlRoot/ -d www.theitroad.local -k 4096 # acme.sh --issue -w /var/www/html/ -d rhel8.theitroad.local -k 4096
在RHEL 8上使用Lets Encrypt申请免费的Apache SSL证书(单击以放大)
步骤6将Apache配置为使用SSL/TLS
使用文本编辑器(例如vi命令)编辑名为/etc/httpd/conf.d/ssl.conf的文件:
$ sudo vi /etc/httpd/conf.d/ssl.conf
追加/更新如下:
### Start config for port 443 #
Listen 443 https
SSLPassPhraseDialog exec:/usr/libexec/httpd-ssl-pass-dialog
SSLSessionCache shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout 300
SSLCryptoDevice builtin
### Turn on HTTP2 support #
Protocols h2 http/1.1
### Redirect all http urls to https #
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=302,L,QSA]
#################################################
# SSL/TLS config for domain rhel8.theitroad.local #
#################################################
<VirtualHost rhel8.theitroad.local:443>
### Log files #
ErrorLog logs/ssl_error_log
TransferLog logs/ssl_access_log
LogLevel warn
SSLEngine on
### No more SSL3/2 #
SSLProtocol all -SSLv3
SSLHonorCipherOrder off
SSLCompression off
SSLSessionTickets off
SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
### Path to certs #
SSLCertificateFile /etc/httpd/ssl/theitroad.local/rhel8.theitroad.local.cer
SSLCertificateKeyFile /etc/httpd/ssl/theitroad.local/rhel8.theitroad.local.key
#Forward Secrecy & Diffie Hellman ephemeral parameters
SSLOpenSSLConfCmd DHParameters "/etc/httpd/ssl/theitroad.local/dhparams.pem"
# HSTS (mod_headers is required) (15768000 seconds = 6 months)
Header always set Strict-Transport-Security "max-age=15768000"
<FilesMatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
<Directory "/var/www/cgi-bin">
SSLOptions +StdEnvVars
</Directory>
BrowserMatch "MSIE [2-5]" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
CustomLog logs/ssl_request_log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>
### OCSP stapling config
SSLUseStapling on
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache shmcb:/var/run/ocsp(128000)
保存并关闭文件,然后退出vim文本编辑器。
有关更安全的SSL选项的说明
如下更新上述配置以禁用SSL和TLS版本1/1.1:
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
步骤7安装证书
执行以下命令:
# acme.sh --installcert -d rhel8.theitroad.local \ --keypath /etc/httpd/ssl/theitroad.local/rhel8.theitroad.local.key \ --fullchainpath /etc/httpd/ssl/theitroad.local/rhel8.theitroad.local.cer \ --reloadcmd 'systemctl reload httpd'
步骤8在RHEL 8上进行防火墙配置以打开HTTPS tcp端口443
现在,我们的Apache使用mod_ssl启动并运行。
现在该打开RHEL 8盒上的TCP端口443(HTTPS),以便客户端可以连接到它。
如下更新规则:
$ sudo firewall-cmd --permanent --add-service=https --zone=public $ sudo firewall-cmd --reload $ sudo firewall-cmd --list-services --zone=public
使用防火墙工具打开https端口443
使用SSLlabs测试站点进行测试:
$ sudo ss -tulpn $ sudo ss -tulpn | egrep ':(80|443)'
步骤9进行测试
打开浏览器并输入您的域,例如:
https://rhel8.theitroad.local
基于HTTPS的网站在行动
该页面显示了如何从Lets Encrypt安装免费的SSL/TSL证书,以确保RHEL 8服务器上Apache和浏览器之间的通信安全。
有关更多信息,请参见Apache mod_ssl文档。
https://www.ssllabs.com/ssltest/analyze.html?d=rhel8.theitroad.local
步骤10 acme.sh命令
列出所有SSL/TLS证书,运行:
# acme.sh --list
续订名为server2.theitroad.local的域的证书
# acme.sh --renew -d rhel8.theitroad.local
请注意,Cron作业也会尝试为您续订证书。
默认情况下按如下方式安装(您无需采取任何措施)。
要查看作业运行:
# crontab -l
输出示例:
38 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
升级acme.sh客户端:
# acme.sh --upgrade
