centos 8에서 암호화하자 안전한 아파치

Let 's Encrypt는 무료 SSL 인증서를 제공하는 ISRG (Internet Security Research Group)에서 개발 한 무료의 자동화 된 공개 인증 기관입니다.

Let 's Encrypt에서 발급 한 인증서는 모든 주요 브라우저에서 신뢰하며 발급일로부터 90 일 동안 유효합니다.

이 튜토리얼에서는 Apache를 웹 서버로 실행하는 CentOS 8에 무료 Let 's Encrypt SSL 인증서를 설치하는 방법에 대해 설명합니다. certbot 도구를 사용하여 인증서를 획득하고 갱신합니다.

전제 조건

계속하기 전에 다음 전제 조건이 충족되는지 확인하십시오.

• 공개 서버 IP를 가리키는 도메인 이름이 있어야합니다. example.com 사용합니다. Apache가 도메인에 구성된 가상 호스트를 사용하여 서버에 설치되어 실행 중입니다. 포트 80 및 443이 방화벽에 열려 있습니다.

SSL 암호화 웹 서버에 필요한 다음 패키지를 설치하십시오.

sudo dnf install mod_ssl openssl

mod_ssl 패키지가 설치되면 로컬 호스트에 대한 자체 서명 키 및 인증서 파일을 작성해야합니다. 파일이 자동으로 작성되지 않으면 openssl 명령을 사용하여 파일을 작성할 수 있습니다.

sudo openssl req -newkey rsa:4096 -x509 -sha256 -days 3650 -nodes \ -out /etc/pki/tls/certs/localhost.crt \ -keyout /etc/pki/tls/private/localhost.key

Certbot 설치

Certbot은 서버에서 HTTPS를 통해 SSL 인증서를 암호화하고 자동으로 활성화하는 과정을 단순화하는 무료 명령 줄 도구입니다.

certbot 패키지는 표준 CentOS 8 리포지토리에 포함되어 있지 않지만 공급 업체의 웹 사이트에서 다운로드 할 수 있습니다.

루트 또는 sudo 사용자로 다음 wget 명령을 실행하여 certbot 스크립트를 /usr/local/bin 디렉토리로 다운로드하십시오.

sudo wget -P /usr/local/bin

다운로드가 완료되면 파일을 실행 파일로 만듭니다.

sudo chmod +x /usr/local/bin/certbot-auto

Strong Dh (Diffie-Hellman) 그룹 생성

Diffie-Hellman 키 교환 (DH)은 보안되지 않은 통신 채널을 통해 암호화 키를 안전하게 교환하는 방법입니다. 보안을 강화하기 위해 새로운 2048 비트 DH 매개 변수 세트를 생성하십시오.

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

크기를 최대 4096 비트로 변경할 수 있지만 시스템 엔트로피에 따라 생성 시간이 30 분 이상 걸릴 수 있습니다.

Let 's Encrypt SSL 인증서 얻기

도메인에 대한 SSL 인증서를 얻기 위해 ${webroot-path}/.well-known/acme-challenge 디렉토리에 요청 된 도메인의 유효성을 검사하기위한 임시 파일을 만들어 작동하는 Webroot 플러그인을 사용합니다. Let 's Encrypt 서버는 요청 된 도메인이 certbot이 실행되는 서버로 확인되는지 확인하기 위해 임시 파일에 HTTP 요청을 보냅니다.

설정을보다 간단하게하기 위해 .well-known/acme-challenge 에 대한 모든 HTTP 요청을 단일 디렉토리 /var/lib/letsencrypt 합니다.

다음 명령을 실행하여 디렉토리를 작성하고 Apache 서버에 쓸 수 있도록하십시오.

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp apache /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

코드 중복을 피하고 구성을 유지 관리하기 쉽게하려면 다음 두 가지 구성 스 니펫을 작성하십시오.

/etc/httpd/conf.d/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS /etc/httpd/conf.d/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM # Requires Apache 2.4.36 & OpenSSL 1.1.1 SSLProtocol -all +TLSv1.3 +TLSv1.2 SSLOpenSSLConfCmd Curves X25519:secp521r1:secp384r1:prime256v1 # Older versions # SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

위의 스 니펫은 Cipherli.st에서 권장하는 칩퍼를 사용하고 있습니다. OCSP 스테이플 링, HSTS (HTTP Strict Transport Security), Dh 키를 활성화하고 보안 중심의 HTTP 헤더를 거의 적용하지 않습니다.

변경 사항을 적용하려면 Apache 구성을 다시로드하십시오.

sudo systemctl reload

이제 웹 루트 플러그인으로 certbot 스크립트를 실행하고 SSL 인증서 파일을 가져올 수 있습니다.

sudo /usr/local/bin/certbot-auto certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

성공하면 certbot은 다음 메시지를 인쇄합니다.

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2020-01-26. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

모든 것이 설정되었으므로 다음과 같이 도메인 가상 호스트 구성을 편집하십시오.

/etc/httpd/conf.d/example.com.conf

ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration

위의 구성은 HTTPS를 강제하고 www에서 www가 아닌 ​​버전으로 리디렉션하는 것입니다. 또한 HTTP / 2를 활성화하여 사이트를 더 빠르고 강력하게 만듭니다. 필요에 따라 구성을 자유롭게 조정하십시오.

Apache 서비스를 다시 시작하십시오.

sudo systemctl restart

이제 https:// 사용하여 웹 사이트를 열면 녹색 자물쇠 아이콘이 나타납니다.

자동 갱신 SSL 인증서 암호화

암호화하자 인증서는 90 일 동안 유효합니다. 인증서가 만료되기 전에 자동으로 갱신하기 위해 하루에 두 번 실행되고 만료 30 일 전에 자동으로 인증서를 갱신하는 cronjob을 만듭니다.

다음 명령을 실행하여 인증서를 갱신하고 Apache를 다시 시작할 새 cronjob을 작성하십시오.

echo "0 0, 12 * * * root python3 -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/bin/certbot-auto -q renew --renew-hook \"systemctl reload httpd\"" | sudo tee -a /etc/crontab > /dev/null

갱신 프로세스를 테스트하려면 certbot 명령 다음에 --dry-run 스위치를 사용하십시오.

sudo /usr/local/bin/certbot-auto renew --dry-run

오류가 없으면 갱신 프로세스가 완료되었음을 의미합니다.

결론

이 자습서에서는 CentOS에서 Let 's Encrypt 클라이언트 certbot을 사용하여 도메인의 SSL 인증서를 얻는 방법에 대해 설명했습니다. 또한 인증서를 사용하도록 Apache를 구성하고 자동 인증서 갱신을 위해 cronjob을 설정하는 방법도 보여주었습니다.

Certbot 스크립트에 대한 자세한 내용은 Certbot 설명서를 참조하십시오.

아파치 centos certbot ssl을 암호화하자