How to install CentOS/RHEL 8 with LSI SAS2008 controller | ELRepo driver disk
차례:
Let 's Encrypt는 ISRG (Internet Security Research Group)에서 개발 한 무료의 자동화 된 공개 인증 기관입니다. Let 's Encrypt에서 발급 한 인증서는 발급일로부터 90 일 동안 유효하며 오늘날 모든 주요 브라우저에서 신뢰합니다.
이 튜토리얼에서는 Apache를 웹 서버로 실행하는 CentOS 7 서버에 무료 Let 's Encrypt SSL 인증서를 설치하는 데 필요한 단계를 다룹니다. certbot 유틸리티를 사용하여 Let 's Encrypt 인증서를 획득하고 갱신합니다.
전제 조건
이 학습을 계속하기 전에 다음 전제 조건을 충족하는지 확인하십시오.
- 공개 서버 IP를 가리키는 도메인 이름이 있어야합니다.
example.com사용합니다. Apache가 서버에 설치되어 실행 중입니다. 도메인에 Apache 가상 호스트가 있습니다.
SSL 암호화 웹 서버에 필요한 다음 패키지를 설치하십시오.
Certbot 설치
Certbot은 Let 's Encrypt에서 SSL 인증서를 가져오고 서버에서 HTTPS를 자동으로 활성화하는 프로세스를 단순화하는 도구입니다.
certbot 패키지는 EPEL에서 설치하기에 적합합니다. EPEL 리포지토리가 시스템에 설치되어 있지 않으면 다음 명령을 사용하여 설치할 수 있습니다.
sudo yum install epel-release
EPEL 저장소가 활성화되면 다음을 입력하여 certbot 패키지를 설치하십시오.
Strong Dh (Diffie-Hellman) 그룹 생성
Diffie-Hellman 키 교환 (DH)은 보안되지 않은 통신 채널을 통해 암호화 키를 안전하게 교환하는 방법입니다. 보안을 강화하기 위해 새로운 2048 비트 DH 매개 변수 세트를 생성하십시오.
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
크기를 최대 4096 비트로 변경할 수 있지만이 경우 시스템 엔트로피에 따라 생성 시간이 30 분 이상 걸릴 수 있습니다.
Let 's Encrypt SSL 인증서 얻기
도메인에 대한 SSL 인증서를 얻기 위해
${webroot-path}/.well-known/acme-challenge
디렉토리에서 요청 된 도메인의 유효성을 검증하기위한 임시 파일을 작성하여 작동하는 Webroot 플러그인을 사용합니다. Let 's Encrypt 서버는 요청 된 도메인이 certbot이 실행되는 서버로 확인되는지 확인하기 위해 임시 파일에 HTTP 요청을 보냅니다.
더 간단하게하기 위해
.well-known/acme-challenge
에 대한 모든 HTTP 요청을 단일 디렉토리
/var/lib/letsencrypt
합니다.
다음 명령을 실행하여 디렉토리를 작성하고 Apache 서버에 쓸 수 있도록하십시오.
sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp apache /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt
코드 중복을 피하려면 다음 두 가지 구성 스 니펫을 작성하십시오.
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off
위의 코드 조각은 Cipherli.st에서 권장하는 칩퍼를 사용하고 있으며 HSTS (HTTP Strict Transport Security) 인 OCSP Stapling을 활성화하고 보안 중심 HTTP 헤더를 거의 적용하지 않습니다.
변경 사항을 적용하려면 Apache 구성을 다시로드하십시오.
sudo systemctl reload
이제 웹 루트 플러그인으로 Certbot 도구를 실행하고 다음을 입력하여 SSL 인증서 파일을 얻을 수 있습니다.
sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com
SSL 인증서가 성공적으로 획득되면 certbot은 다음 메시지를 인쇄합니다.
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-12-07. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:
CentOS 7은
SSLOpenSSLConfCmd
지시문이 포함되지 않은 Apache 버전 2.4.6과 함께 제공됩니다. 이 지시문은 Apache 2.4.8 이상에서만 사용 가능하며 Diffie-Hellman 키 교환 (DH)과 같은 OpenSSL 매개 변수 구성에 사용됩니다.
Let 's Encrypt SSL 인증서와 생성 된 DH 파일을 사용하여 새로운 결합 파일을 만들어야합니다. 이렇게하려면 다음을 입력하십시오.
cat /etc/letsencrypt/live/example.com/cert.pem /etc/ssl/certs/dhparam.pem >/etc/letsencrypt/live/example.com/cert.dh.pem
모든 것이 설정되었으므로 다음과 같이 도메인 가상 호스트 구성을 편집하십시오.
/etc/httpd/conf.d/example.com.conf
ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration
ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration
ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration
ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration
위 구성으로 HTTPS를 강제 실행하고 www를 www가 아닌 버전으로 리디렉션합니다. 필요에 따라 구성을 자유롭게 조정하십시오.
변경 사항을 적용하려면 Apache 서비스를 다시 시작하십시오.
sudo systemctl restart
이제
https://
사용하여 웹 사이트를 열면 녹색 자물쇠 아이콘이 나타납니다.
자동 갱신 SSL 인증서 암호화
암호화하자 인증서는 90 일 동안 유효합니다. 인증서가 만료되기 전에 자동으로 갱신하기 위해 하루에 두 번 실행되는 크론 작업을 만들고 만료 30 일 전에 자동으로 인증서를 갱신합니다.
crontab
명령을 실행하여 인증서를 갱신하고 DH 키를 포함하여 새 결합 파일을 작성하고 아파치를 다시 시작하는 새 cronjob을 작성하십시오.
sudo crontab -e
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload
파일을 저장하고 닫습니다.
갱신 프로세스를 테스트하기 위해 certbot 명령과
--dry-run
스위치를 사용할 수 있습니다.
sudo certbot renew --dry-run
오류가 없으면 갱신 프로세스가 완료되었음을 의미합니다.
결론
이 학습서에서는 Let 's Encrypt client certbot을 사용하여 도메인의 SSL 인증서를 다운로드했습니다. 또한 코드 중복을 피하기 위해 Apache 스 니펫을 작성하고 Apache가 인증서를 사용하도록 구성했습니다. 학습서 끝에서 자동 인증서 갱신을위한 cronjob을 설정했습니다.
아파치 centos certbot ssl을 암호화하자이 게시물은 CentOS 7 시리즈에 LAMP 스택 설치의 일부입니다.
이 시리즈의 다른 게시물:
• CentOS 7에 Apache를 설치하는 방법 • CentOS 7에 MySQL을 설치하는 방법 • CentOS 7에 Apache 가상 호스트를 설정하는 방법 • CentOS 7에서 암호화를 사용하여 안전한 ApacheIBM의 취리히 연구소가 USB 뱅크를 개발하여 안전한 뱅킹 거래 IBM의 취리히 (Zurich) 연구소는 PC가 멀웨어로 가득 차더라도 안전한 뱅킹 거래를 보장 할 수 있다고 말한 USB 스틱을 개발했습니다.
ZTIC (Zone Trusted Information Channel)라는 프로토 타입이 이번 주 Cebit 전시회에서 처음 전시됐다. IBM은 은행이 온라인 뱅킹을 통해 은행에 인건비를 절약 할 수 있도록 해줄 것을 희망하지만 해커들이 포위 공격을 받고있다.
centos 8에서 암호화하자 안전한 아파치
이 튜토리얼에서는 Apache를 웹 서버로 실행하는 CentOS 8에 무료 Let 's Encrypt SSL 인증서를 설치하는 방법에 대해 설명합니다. certbot 도구를 사용하여 인증서를 획득하고 갱신합니다.
우분투 18.04에서 암호화하자 안전한 아파치
이 튜토리얼에서는 Ubuntu 18.04의 certbot 도구를 사용하여 Let 's Encrypt로 Apache를 보호하는 방법에 대한 단계별 지침을 제공합니다.