Cài đặt Let's Encrypt SSL trên Rocky Linux 8 với Apache và sử dụng Certbot

Bài viết này, KDATA sẽ hướng dẫn bảo mật Apache bằng install SSL Let's Encrypt Certbot trên Rocky Linux 8.

Let’s Encrypt là một Tổ chức Chứng chỉ (CA) mới cung cấp Chứng chỉ SSL MIỄN PHÍ với độ an toàn tương đương với các chứng chỉ trả phí. Dự án này được khởi xướng để làm cho kết nối được mã hóa trở thành tiêu chuẩn mặc định trên Internet.

Dự án 'Let’s Encrypt' là một bước quan trọng cho việc cải thiện bảo mật và quyền riêng tư trên Internet.

Các lợi ích chính khi sử dụng chứng chỉ SSL của Let’s Encrypt:

• Miễn phí - Bất kỳ ai sở hữu một tên miền đều có thể có được một chứng chỉ đáng tin cậy cho tên miền đó mà không tốn phí.
• Tự động - Toàn bộ quá trình đăng ký chứng chỉ diễn ra một cách thuận tiện trong quá trình cài đặt hoặc cấu hình máy chủ. Quá trình gia hạn diễn ra tự động ở nền.
• Đơn giản - Không có thanh toán, không có email xác nhận, và chứng chỉ được gia hạn tự động.

Để bảo mật máy chủ Apache của bạn với Let’s Encrypt, bạn cần một số yêu cầu.

Chuẩn bị trước khi cài đặt

• Trước tiên, bạn cần đăng nhập vào máy chủ của mình dưới dạng người dùng không phải root có đặc quyền sudo và thiết lập tường lửa cơ bản. Để thực hiện điều này, bạn có thể làm theo bài viết của chúng tôi về cách thiết lập Máy chủ ban đầu với Rocky Linux 8.
• Tiếp theo, bạn cần cài đặt Apache trên máy chủ của bạn. Để làm điều này, bạn có thể kiểm tra hướng dẫn trên trang web của Orcacore How To Install an Apache Web Server on Rocky Linux 8.

Bây giờ hãy tuân thủ các bước dưới đây để hoàn tất hướng dẫn này.

Cài đặt SSL Let's Encrypt Certbot trên Rocky Linux 8

Đầu tiên, bạn cần cài đặt kho lưu trữ EPEL và gói mod_ssl, là một mô-đun bảo mật cho máy chủ web Apache cung cấp mã hóa mạnh mẽ bằng cách tận dụng các giao thức SSL/TLS bằng OpenSSL:

sudo dnf install epel-release
sudo dnf install mod_ssl

Tiếp theo, cài đặt "certbot" để có được chứng chỉ SSL với Let’s Encrypt trên Rocky Linux 8 bằng lệnh sau:

sudo dnf install certbot python3-certbot-apache

Trả lời "y" để hoàn tất quá trình cài đặt. Bây giờ, bạn đã có Certbot trên Rocky Linux 8 của mình. Hãy lấy chứng chỉ SSL cho tên miền của bạn.

Cách lấy chứng chỉ SSL từ Let’s Encrypt trên Rocky Linux 8

Bạn có thể lấy chứng chỉ SSL của mình với Let’s Encrypt bằng cách tuân thủ các bước này:

sudo certbot --apache

Nó sẽ hỏi bạn một số câu hỏi. Câu hỏi đầu tiên sẽ yêu cầu bạn nhập địa chỉ email của bạn để nhận thông báo gia hạn và thông báo bảo mật:

Output
Plugins selected: Authenticator apache, Installer apache
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): olivia@orcacore.com
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Nhập địa chỉ email của bạn và nhấn Enter để tiếp tục.

Bạn sẽ được hỏi xác nhận liệu bạn đồng ý với các điều khoản dịch vụ của Let’s Encrypt không.
Nhấn 'A' để chấp nhận và nhấn Enter để tiếp tục:

Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server. Do you agree?
(Y)es/(N)o: A

Ở bước này, bạn sẽ được hỏi liệu bạn muốn chia sẻ địa chỉ email của mình với Electronic Frontier Foundation:

Otput
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)yes/(N)no: N

Nhấn 'N' để tiếp tục nếu bạn không muốn chia sẻ thông tin, nhập 'Y' nếu bạn muốn.

Ở bước này, quan trọng để đặt chính xác tên miền ảo của bạn như đã mô tả ở đầu bài viết. Chọn tên miền bạn muốn kích hoạt HTTPS cho.

Output
Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: stacku.orcacore.net
2: www.stacku.orcacore.net
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 1

Sau đó, bạn sẽ thấy đầu ra như sau:

Output
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for stacku.orcacore.net
Enabled Apache rewrite module
Waiting for verification...
Cleaning up challenges
Created an SSL vhost at /etc/apache2/sites-available/stacku.orcacore.net-le-ssl.conf
Enabled Apache socache_shmcb module
Enabled Apache ssl module
Deploying Certificate to VirtualHost /etc/apache2/sites-available/stacku.orcacore.net-le-ssl.conf
Enabling available site: /etc/apache2/sites-available/stacku.orcacore.net-le-ssl.conf

Ở bước tiếp theo, chọn xem liệu bạn có muốn chuyển hướng lưu lượng HTTP sang HTTPS, loại bỏ truy cập HTTP hay không.

Output
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2

Cuối cùng, cấu hình certbot đã hoàn tất.

Bạn sẽ thấy thông báo sau đây trong đầu ra của bạn:

Output
Congratulations! You have successfully enabled https://stacku.orcacore.net
You should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=stacku.orcacore.net
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/stacku.orcacore.net/fullchain.pem
  Your key file has been saved at:
   /etc/letsencrypt/live/stacku.orcacore.net/privkey.pem
   Your cert will expire on 2021-11-23. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot again
   with the "certonly" option. To non-interactively renew *all* of
   your certificates, run "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:
   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Nhập tên miền của bạn vào trình duyệt web, bạn sẽ thấy biểu tượng khóa trong thanh địa chỉ.

Tại điểm này, bạn có thể sử dụng kiểm tra máy chủ SSL Labs để kiểm tra chứng chỉ của bạn từ Let’s Encrypt. Bạn truy cập trang web và nhập tên máy chủ của bạn ở đó.

Cách cài đặt tự động gia hạn Chứng chỉ Lets Encrypt

Trong bài viết này, chúng ta đã tìm hiểu cách bảo mật Apache với Let’s Encrypt trên Rocky Linux 8 và cấu hình nó. Bây giờ, bạn cần biết rằng chứng chỉ Let’s Encrypt chỉ có hiệu lực trong vòng 90 ngày, nhưng tốt nhất là gia hạn chúng mỗi 60 ngày một lần.

sudo certbot renew --dry-run

Nếu bạn không nhận được lỗi, bạn đã hoàn tất. Khi cần thiết, Certbot sẽ gia hạn chứng chỉ của bạn và tải lại Apache để áp dụng các thay đổi. Nếu quá trình gia hạn tự động bao giờ thất bại, Let’s Encrypt sẽ gửi một thông báo đến địa chỉ email bạn chỉ định, cảnh báo bạn khi chứng chỉ của bạn sắp hết hạn.

Output
Congratulations, all renewals succeeded. The following certs have been renewed:
  /etc/letsencrypt/live/stacku.orcacore.net/fullchain.pem (success)
** DRY RUN: simulating 'certbot renew' close to cert expiry

**          (The test certificates above have not been saved.)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
IMPORTANT NOTES:
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.

Kết luận

Ở đây bạn đã tìm hiểu về cách install chứng chỉ SSL từ Let’s Encrypt Certbot để bảo mật Apache trên Rocky Linux 8 và gia hạn chúng.