Cài đặt Let's Encrypt SSL trên Fedora 35 với Apache và sử dụng Certbot

Let's Encrypt là một Tổ chức Chứng chỉ (CA) phi lợi nhuận do Nhóm Nghiên cứu Bảo mật Internet quản lý. Nó cung cấp chứng chỉ SSL miễn phí cho tên miền của bạn để bảo vệ dữ liệu ở tầng truyền tải. Hướng dẫn này sẽ giúp bạn cài đặt và bảo mật Apache với Let’s Encrypt với Certbot trên hệ thống Fedora 35.

Chuẩn bị trước khi cài đặt

Để tuân theo hướng dẫn install SSL Let's Encrypt Certbot bảo mật Apache trên Fedora 35, bạn cần:

1. Hệ thống Fedora đang chạy với quyền truy cập dòng lệnh.
2. Một tên miền/phụ-tên-miền được trỏ đến địa chỉ IP máy chủ qua máy chủ DNS công cộng. Trong bài hướng dẫn này, chúng ta sử dụng webhost.tecadmin.net.

Bước 1: Cài đặt Apache

Trước hết, cài đặt máy chủ web Apache trên hệ thống Fedora của bạn. Các kho lưu trữ gói mặc định chứa các gói Apache. Bạn có thể cài đặt chúng trực tiếp bằng lệnh sau:

sudo dnf install httpd httpd-tools mod_ssl 

Bước 2: Tạo VirtualHost trong Apache

Đối với bài hướng dẫn này, tôi đã tạo một tệp index.html trong thư mục gốc tài liệu mặc định. Tương tự, bạn có thể đặt ứng dụng của mình dưới thư mục tài liệu của tên miền.

sudo echo "<h2>Welcome to Secure TecAdmin.net</h2>" > /var/www/html/index.html

Sau đó, tạo một tệp cấu hình VirtualHost được liên kết với cổng 80.

sudo vim /etc/httpd/conf.d/webhost.tecadmin.net.conf 

    ServerAdmin admin@example.com
    ServerName webhost.tecadmin.net
    DocumentRoot /var/www/html
    
        Allowoverride all

Lưu và đóng tệp cấu hình. Sau đó, khởi động lại dịch vụ Apache để tải lại tệp cấu hình.

sudo systemctl restart httpd 

Bước 3: Cài đặt Let’s Encrypt (Certbot) Client

Certbot ACME là một ứng dụng khách được Let’s Encrypt khuyến khích sử dụng cho các hệ thống có quyền truy cập dòng lệnh. Nó cung cấp quá trình cấp chứng chỉ, cài đặt và gia hạn một cách dễ dàng. Bạn có thể cài đặt gói certbot cùng với plugin certbot cho Apache bằng lệnh sau:

sudo dnf install python3-certbot-apache

Lệnh trên sẽ thêm tiện ích certbot vào hệ thống của bạn. Thực hiện lệnh dưới đây để biết thêm trợ giúp về lệnh certbot.

sudo certbot -h all 

Bước 4: Tạo Chứng chỉ Let’s Encrypt

Bây giờ, bạn có thể yêu cầu Let’s Encrypt phát hành một chứng chỉ SSL cho tên miền của bạn. Bạn cần chạy lệnh certbot cho máy chủ Apache như sau:

sudo certbot --apache

Lệnh trên sẽ liệt kê tất cả các máy chủ ảo được cấu hình với Apache trên máy chủ hiện tại. Chọn số thích hợp với dấu phẩy.

Let’s Encrypt sẽ bắt đầu quá trình xác minh cho tên miền của bạn. Đảm bảo rằng tên miền bạn chọn đã được trỏ đến máy chủ này thông qua máy chủ DNS công cộng.

Hãy chọn có hoặc không chuyển hướng giao thông HTTP sang HTTPS:

1: Không chuyển hướng - Không thực hiện thêm thay đổi nào trong cấu hình máy chủ web.

2: Chuyển hướng - Tất cả các yêu cầu sẽ được chuyển hướng để sử dụng truy cập HTTPS an toàn.

Nhập số tương ứng và nhấn Enter. Bạn cũng có thể thay đổi điều này sau bằng cách chỉnh sửa trực tiếp các tệp cấu hình.

Sau khi xác minh thành công, SSL sẽ được phát hành cho tên miền của bạn. Một tệp cấu hình SSL VirtualHost riêng biệt sẽ được tạo cho tên miền của bạn.

sudo certbot renew --dry-run

Nếu bạn không nhận được lỗi, bạn đã hoàn tất. Khi cần thiết, Certbot sẽ gia hạn chứng chỉ của bạn và tải lại Apache để áp dụng các thay đổi. Nếu quá trình gia hạn tự động bao giờ thất bại, Let’s Encrypt sẽ gửi một thông báo đến địa chỉ email bạn chỉ định, cảnh báo bạn khi chứng chỉ của bạn sắp hết hạn.

Kết luận Bạn đã bảo vệ thành công Apache trên Fedora 35 của mình với chứng chỉ SSL Let’s Encrypt Certbot miễn phí. Theo dõi hướng dẫn tiếp theo của chúng tôi để cài đặt Tự động Gia hạn SSL Let’s Encrypt với crontab. Hệ thống Fedora sẽ có TLS 1.2 và TLS 1.3 được kích hoạt theo mặc định.