Ubuntu 20.04 LTS Focal Fossa. Что нового
차례:
Let 's Encrypt는 ISRG (Internet Security Research Group)에서 만든 인증 기관입니다. 수동 인증서 생성, 검증, 설치 및 갱신을 제거하도록 설계된 완전 자동화 된 프로세스를 통해 무료 SSL 인증서를 제공합니다.
Let 's Encrypt에서 발급 한 인증서는 오늘날 모든 주요 브라우저에서 신뢰합니다.
이 튜토리얼에서는 Ubuntu 18.04의 certbot 도구를 사용하여 Let 's Encrypt로 Apache를 보호하는 방법에 대한 단계별 지침을 제공합니다.
전제 조건
이 학습을 계속하기 전에 다음 전제 조건을 충족하는지 확인하십시오.
- 공용 서버 IP를 가리키는 도메인 이름
example.com을 사용합니다. 도메인에 Apache 가상 호스트와 함께 Apache를 설치했습니다.
Certbot 설치
Certbot은 SSL 인증서를 가져오고 갱신하고 웹 서버를 구성하는 작업을 자동화 할 수있는 모든 기능을 갖춘 사용하기 쉬운 도구입니다. certbot 패키지는 기본 Ubuntu 리포지토리에 포함되어 있습니다.
패키지 목록을 업데이트하고 certbot 패키지를 설치하십시오.
sudo apt update
sudo apt install certbot
Strong Dh (Diffie-Hellman) 그룹 생성
Diffie-Hellman 키 교환 (DH)은 보안되지 않은 통신 채널을 통해 암호화 키를 안전하게 교환하는 방법입니다. 보안을 강화하기 위해 새로운 2048 비트 DH 매개 변수 세트를 생성 할 것입니다.
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
원하는 경우 크기를 최대 4096 비트로 변경할 수 있지만이 경우 시스템 엔트로피에 따라 생성 시간이 30 분 이상 걸릴 수 있습니다.
Let 's Encrypt SSL 인증서 얻기
도메인에 대한 SSL 인증서를 얻기 위해
${webroot-path}/.well-known/acme-challenge
디렉토리에서 요청 된 도메인의 유효성을 검증하기위한 임시 파일을 작성하여 작동하는 Webroot 플러그인을 사용합니다. Let 's Encrypt 서버는 요청 된 도메인이 certbot이 실행되는 서버로 확인되는지 확인하기 위해 임시 파일에 HTTP 요청을 보냅니다.
더 간단하게하기 위해
.well-known/acme-challenge
에 대한 모든 HTTP 요청을 단일 디렉토리
/var/lib/letsencrypt
합니다.
다음 명령은 디렉토리를 작성하고 Apache 서버에 쓸 수 있도록합니다.
sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp www-data /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt
코드 중복을 피하려면 다음 두 가지 구성 스 니펫을 작성하십시오.
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"
위의 코드 조각은 Cipherli.st에서 권장하는 칩퍼를 사용하고 있으며 HSTS (HTTP Strict Transport Security) 인 OCSP Stapling을 활성화하고 보안 중심 HTTP 헤더를 거의 적용하지 않습니다.
구성 파일을 활성화하기 전에 다음을 실행하여
mod_ssl
및
mod_headers
모두 활성화하십시오.
sudo a2enmod ssl
sudo a2enmod headers
다음 명령을 실행하여 SSL 구성 파일을 사용 가능하게하십시오.
sudo a2enconf letsencrypt
sudo a2enconf ssl-params
HTTP / 2 모듈을 활성화하면 사이트가 더 빠르고 강력 해집니다.
sudo a2enmod
변경 사항을 적용하려면 Apache 구성을 다시로드하십시오.
sudo systemctl reload apache2
이제 웹 루트 플러그인으로 Certbot 도구를 실행하고 다음을 입력하여 SSL 인증서 파일을 얻을 수 있습니다.
sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com
SSL 인증서가 성공적으로 획득되면 certbot은 다음 메시지를 인쇄합니다.
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-10-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:
인증서 파일이 준비되었으므로 다음과 같이 도메인 가상 호스트 구성을 편집하십시오.
ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration
ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration
ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration
ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration
위 구성으로 HTTPS를 강제 실행하고 www를 www가 아닌 버전으로 리디렉션합니다. 필요에 따라 구성을 자유롭게 조정하십시오.
변경 사항을 적용하려면 Apache 서비스를 다시로드하십시오.
sudo systemctl reload apache2
이제
https://
사용하여 웹 사이트를 열면 녹색 자물쇠 아이콘이 나타납니다.
자동 갱신 SSL 인증서 암호화
암호화하자 인증서는 90 일 동안 유효합니다. 인증서가 만료되기 전에 자동으로 갱신하기 위해 certbot 패키지는 하루에 두 번 실행되는 cronjob을 생성하고 만료 30 일 전에 인증서를 자동으로 갱신합니다.
인증서가 갱신되면 Apache 서비스도 다시로드해야합니다.
--renew-hook "systemctl reload apache2"
를 다음과 같이
/etc/cron.d/certbot
파일에 추가하십시오.
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload apache2"
갱신 프로세스를 테스트하기 위해 certbot
--dry-run
스위치를 사용할 수 있습니다.
sudo certbot renew --dry-run
오류가 없으면 갱신 프로세스가 완료되었음을 의미합니다.
결론
이 학습서에서는 Let 's Encrypt client certbot을 사용하여 도메인의 SSL 인증서를 다운로드했습니다. 또한 코드 중복을 피하기 위해 Apache 스 니펫을 작성하고 Apache가 인증서를 사용하도록 구성했습니다. 학습서 끝에서 자동 인증서 갱신을위한 cronjob을 설정했습니다.
아파치 우분투 certbot ssl을 암호화하자이 게시물은 설치 방법 램프 스택-온-우분투 -18-04 시리즈의 일부입니다.
이 시리즈의 다른 게시물:
• Ubuntu 18.04에서 Apache를 설치하는 방법 • Ubuntu 18.04에서 Apache 가상 호스트를 설정하는 방법 • Ubuntu 18.04에서 Let 's Encrypt를 사용하여 Apache 보안 유지하기 • Ubuntu 18.04에서 MySQL을 설치하는 방법 • Ubuntu 18.04에서 PHP를 설치하는 방법우분투 18.04에서 아파치 가상 호스트를 설정하는 방법
이 튜토리얼에서는 Ubuntu 18.04에서 Apache 가상 호스트를 설정하는 방법에 대한 단계별 지침을 제공합니다. Apache Virtual Hosts를 사용하면 단일 컴퓨터에서 둘 이상의 웹 사이트를 실행할 수 있습니다.
centos 7에서 암호화하자 안전한 아파치
이 튜토리얼에서는 Apache를 웹 서버로 실행하는 CentOS 7 서버에 무료 Let 's Encrypt SSL 인증서를 설치하는 데 필요한 단계를 다룹니다.
centos 8에서 암호화하자 안전한 아파치
이 튜토리얼에서는 Apache를 웹 서버로 실행하는 CentOS 8에 무료 Let 's Encrypt SSL 인증서를 설치하는 방법에 대해 설명합니다. certbot 도구를 사용하여 인증서를 획득하고 갱신합니다.