Select Page

Введение

Let’s Encrypt представляет собой центр сертификации (Certificates Authority, CA), позволяющий получать и устанавливать бесплатные сертификаты TLS/SSL, тем самым позволяя использовать шифрованный HTTPS на веб-серверах. Процесс получения сертификатов упрощается за счёт наличия клиента Certbot, который пытается автоматизировать большую часть (если не все) необходимых операций. В настоящее время весь процесс получения и установки сертификатов полностью автоматизирован и для Apache и для Nginx.

В этом руководстве мы используем Certbot для получения бесплатного SSL сертификата для Apache на Ubuntu 18.04, а также настроим автоматическое продление этого сертификата.

В этом руководстве мы будем использовать файл отдельного виртуального хоста Apache вместо дефолтного файла конфигурации. Мы рекомендуем создавать новый файлы виртуальных хостов Apache для каждого доменного имени, потому что это помогает избегать распространённых ошибок и использовать дефолтные файлы в качестве примера корректной конфигурации, когда что-нибудь пойдёт не так.

Перед установкой

Перед тем, как начать следовать описанным в этой статье шагам, убедитесь, что у вас есть:

  • Сервер с Ubuntu 18.04, настроенный согласно руководству по первичной настройке сервера с Ubuntu 18.04, включая настройку не-рутового (non-root) пользователя с привилегиями sudo и настройку файрвола.
  • Зарегистрированное доменное имя. В этом руководстве мы будем использовать instance.com. Вы можете приобрести доменное имя на Namecheap, получить бесплатное доменное имя на Freenom или использовать любой другой регистратор доменных имён.
  • Для вашего сервера настроены обе записи DNS, указанные ниже. Для их настройки вы можете использовать наше введение в работу с DNS в DigitalOcean.
    • Запись A для instance.com, указывающая на публичный IP адрес вашего сервера.
    • Запись A для www.instance.com, указывающая на публичный IP адрес вашего сервера.
  • Apache, установленный согласно инструкциям из руководства Как установить Apache в Ubuntu 18.04. Убедитесь, что у вас есть настроенный файл виртуального хоста для вашего домена. В этом руководстве мы будем использовать /and so forth/apache2/sites-available/instance.com.conf в качестве примера.

Шаг 1 – Установка Certbot

Перед началом использования Let’s Encrypt для получения SSL сертификаты установим Certbot на ваш сервер.

Certbot находится в активной разработке, поэтому пакеты Certbot, предоставляемые Ubuntu, обычно являются устаревшими. Тем не менее, разработчики Certbot поддерживают свой репозиторий пакетов для Ubuntu с актуальными версиями, поэтому мы будем использовать именно этот репозиторий.

Сначала добавим репозиторий:

  • sudo add-apt-repository ppa:certbot/certbot

Далее нажмите ENTER.

Установим пакет Certbot для Apache с помощью apt:

  • sudo apt set up python-certbot-apache

Теперь Certbot готов к использованию, но для того, чтобы он мог настроить SSL для Apache, нам сперва необходимо проверить кое-какие настройки Apache.

Шаг 2 – Настройка SSL сертификата

Certbot должен иметь возможность найти корректный виртуальный хост в вашей конфигурации Apache для того, чтобы автоматически конфигурировать SSL. Для этого он будет искать директиву ServerName, которая совпадает с доменным именем, для которого вы запросите сертификат.

Если вы следовали инструкциям по настройке виртуального хоста в руководстве по установке Apache, у вас должен быть виртуальный хост для вашего домена по адресу /and so forth/apache2/sites-available/instance.com.conf с уже правильно настроенной директивой ServerName.

Для проверки откройте файл серверного блока в nano или любом другом текстовом редакторе:

  • sudo nano /and so forth/apache2/sites-available/instance.com.conf

Найдите строку с ServerName. Она должна выглядеть примерно так:

/and so forth/apache2/sites-available/instance.com.conf

...
ServerName instance.com;
...

Если она выглядит таким образом, закройте файл и переходите к следующему шагу.

Если она не выглядит так, как описано выше, обновите директиву ServerName. Затем сохраните и закройте файл, после чего проверьте корректность синтаксиса вашего конфигурационного файла командой:

  • sudo apache2ctl configtest

Если вы получили ошибку, откройте файл серверного блока и проверьте его на наличие опечаток или пропущенных символов. После того, как ваш конфигурационный файл будет проходить проверку на корректность, перезагрузите Apache для применения новой конфигурации:

  • sudo systemctl reload apache2

Теперь Certbot может находить и обновлять корректный виртуальный хост.

Далее обновим настройки файрвола для пропуска HTTPS трафика.

Шаг 3 – Разрешение HTTPS в файрволе

Если у вас включен файрвол ufw, как рекомендуется в руководстве по первичной настройке сервера, вам необходимо внести некоторые изменения в его настройки для разрешения трафика HTTPS. К счастью, Apache регистрирует необходимые профили в ufw в момент установки.

Вы можете ознакомиться с текущими настройками командой:

Скорее всего вывод будет выглядеть следующим образом:

Вывод

Standing: energetic To Motion From -- ------ ---- OpenSSH ALLOW Any place Apache ALLOW Any place OpenSSH (v6) ALLOW Any place (v6) Apache (v6) ALLOW Any place (v6)

Как видно из вывода, разрешён только трафик HTTP.

Для того, чтобы разрешить трафик HTTPS, разрешим профиль Apache Complete и удалим избыточный профиль Apache:

  • sudo ufw permit 'Apache Complete'
  • sudo ufw delete permit 'Apache'

Проверим внесённые изменения:

Теперь настройки ufw должны выглядеть следующим образом:

Вывод

Standing: energetic To Motion From -- ------ ---- OpenSSH ALLOW Any place Apache Complete ALLOW Any place OpenSSH (v6) ALLOW Any place (v6) Apache Complete (v6) ALLOW Any place (v6)

Теперь мы можем запустить Certbot и получить наши сертификаты.

Шаг 4 – Получение SSL сертификата

Certbot предоставляет несколько способов получения сертификатов SSL с использованием плагинов. Плагин для Apache берёт на себя настройку Apache и перезагрузку конфигурации, когда это необходимо. Для использования плагина выполним команду:

  • sudo certbot --apache -d instance.com -d www.instance.com

Эта команда запускает certbot с плагином --apache, ключи -d определяют имена доменов, для которых должен быть выпущен сертификат.

Если это первый раз, когда вы запускаете certbot, вам будет предложено ввести адрес электронной почты и согласиться с условиями использования сервиса. После этого certbot свяжется с сервером Let’s Encrypt, а затем проверит, что вы действительно контролируете домен, для которого вы запросили сертификат.

Если всё прошло успешно, certbot спросит, как вы хотите настроить конфигурацию HTTPS.

Вывод

Please make a selection whether or not or to not redirect HTTP visitors to HTTPS, taking out HTTP get admission to. ------------------------------------------------------------------------------- 1: No redirect - Make no additional adjustments to the webserver configuration. 2: Redirect - Make all requests redirect to protected HTTPS get admission to. Make a selection this for new websites, or if you are assured your web page works on HTTPS. You'll undo this alternate through modifying your internet server's configuration. ------------------------------------------------------------------------------- Make a selection the precise quantity [1-2] then [enter] (press 'c' to cancel):

Выберите подходящий вариант и нажмите ENTER. Конфигурация будет обновлена, а Apache перезапущен для применения изменений. certbot выдаст сообщение о том, что процесс прошёл успешно, и где хранятся ваши сертификаты:

Вывод

IMPORTANT NOTES: - Congratulations! Your certificates and chain were stored at: /and so forth/letsencrypt/reside/instance.com/fullchain.pem Your key record has been stored at: /and so forth/letsencrypt/reside/instance.com/privkey.pem Your cert will expire on 2018-07-23. To procure a brand new or tweaked model of this certificates at some point, merely run certbot once more with the "certonly" possibility. To non-interactively renew *all* of your certificate, run "certbot renew" - Your account credentials were stored to your Certbot configuration listing at /and so forth/letsencrypt. You must make a protected backup of this folder now. This configuration listing will additionally comprise certificate and personal keys received through Certbot so making common backups of this folder is perfect. - In the event you like Certbot, please believe supporting our paintings through: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le

Ваши сертификаты загружены, установлены и работают. Попробуйте перезагрузить ваш сайт с использованием https:// и вы увидите значок безопасности в браузере. Он означает, что соединение с сайтом зашифровано, обычно он выглядит, как зелёная иконка замка. Если вы проверите ваш сервер тестом SSL Labs Server Test, он получит оценку A.

Закончим тестированием процесса обновления сертификата.

Шаг 5 – Проверка автоматического обновления сертификата

Сертификаты Let’s Encrypt действительны только 90 дней. Это сделано для того, чтобы пользователи автоматизировали процесс обновления сертификатов. Пакет certbot, который мы установили, делает это путём добавления скрипта обновления в /and so forth/cron.d. Этот скрипт запускается раз в день и автоматически обновляет любые сертификаты, которые закончатся в течение ближайших 30 дней.

Для тестирования процесса обновления мы можем сделать “сухой” запуск (dry run) certbot:

  • sudo certbot renew --dry-run

Если вы не видите каких-либо ошибок в результате выполнения этой команды, то всё в полном порядке. При необходимости Certbot будет обновлять ваши сертификаты и перезагружать Apache для применения изменений. Если автоматическое обновление по какой-либо причине закончится ошибкой, Let’s Encrypt отправит электронное письмо на указанный вами адрес электронной почты с информацией о сертификате, который скоро закончится.

Заключение

В этом руководстве мы рассмотрели процесс установки клиента Let’s Encrypt certbot, загрузили SSL сертификаты для вашего домена, настроили Apache для использования этих сертификатов и настроили процесс автоматического обновления сертификатов. Если у вас есть вопросы по работе с Certbot, рекомендуем ознакомиться с документацией Certbot.