このチュートリアルでは、 TLS / SSLの手順を学習します Apacheへの証明書のインストール Webサーバー。完了すると、サーバーとクライアント間のすべてのトラフィックが暗号化されます。これは、eコマースWebサイトやその他の金融サービスをオンラインで保護するための標準的な方法です。 暗号化しましょう は無料のSSL実装のパイオニアであり、この場合は証明書プロバイダーとして使用されます。
重要! CentOS Linux 8は、2021-12-31に保守終了(EOL)に達しました。 CentOS Linux 7は引き続きサポートされていますが、2024-06-30にEOLに到達します。このOSを選択するときは、このことを念頭に置くことをお勧めします。あなたは彼らの公式ウェブサイトでそれについてもっと読むことができます。
このガイドを開始する前に、次のものが必要です。
- CentOS7VPSへのSSHルートアクセス
- ドメインと仮想ホストが適切に構成されたApacheWebサーバー
certbotをインストールするには EPELをインストールする必要があります デフォルトでは利用できないため、リポジトリ、 mod_ssl 暗号化がApacheによって認識されるためにも必要です。
これらの依存関係を両方ともインストールするには、次のコマンドを実行してください:
yum install epel-release mod_ssl
これで、さらに進んでcertbot自体をインストールする準備が整いました。
次に、EPELリポジトリからcertbotクライアントをインストールします。
yum install python-certbot-apache
これで、certbotがインストールされ、実際に使用できるようになります。
CertbotはSSL証明書の管理を非常に簡単に処理し、提供されたドメインの新しい証明書をパラメーターとして生成します。
この場合、example.comが証明書が発行されるドメインとして使用されます:
certbot --apache -d example.com
複数のドメインまたはサブドメインのSSLを生成する場合は、次のコマンドを実行してください:
certbot --apache -d example.com -d www.example.com
重要! 最初のドメインはベースドメインである必要があります。このサンプルでは、 example.com
証明書のインストール中に、証明書の詳細をカスタマイズできるステップバイステップガイドが表示されます。 HTTPSを強制するか、HTTPをデフォルトのプロトコルのままにするかを選択できます。セキュリティ上の理由から、メールアドレスも必要になります。
インストールが完了すると、同様のメッセージが表示されます。
IMPORTANT NOTES: - If you lose your account credentials, you can recover through e-mails sent to [email protected]. - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will expire on 2016-04-21. To obtain a new version of the certificate in the future, simply run Let's Encrypt again. - Your account credentials have been saved in your Let's Encrypt configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Let's Encrypt so making regular backups of this folder is ideal. - If you like Let's Encrypt, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
Let's Encryptの証明書は90日間有効ですが、問題を回避するために、すべてのWebプロフェッショナルは60日以内に証明書を更新することをお勧めします。これを実現するために、certbotはrenewを支援します 指図。証明書の有効期限が30日以内かどうかを確認します。
続行するには、次のコマンドを実行してください:
certbot renew
インストールされた証明書が最近のものである場合、certbotは有効期限のみをチェックします:
Processing /etc/letsencrypt/renewal/example.com.conf The following certs are not due for renewal yet: /etc/letsencrypt/live/example.com/fullchain.pem (skipped) No renewals were attempted.>
この更新プロセスを自動化するには、cronジョブを設定します。まず、crontabを開きます:
crontab -e
このジョブは、毎週月曜日の深夜に実行するように安全にスケジュールできます。
0 0 * * 1 /usr/bin/certbot renew >> /var/log/sslrenew.log
スクリプトの出力は、/var/log/sslrenew.logにパイプされます。 ファイル。
最も期待されているセキュリティ機能である無料のSSL証明書を実装することで、ApacheWebサーバーを保護しました。今後、サーバーとクライアント間のすべてのトラフィックが暗号化されるため、誰も通信を傍受して重要な情報を変更または盗むことができないようになります。