In questo tutorial, ti mostreremo come installare il client Let's Encrypt sul tuo CentOS 7 VPS ed emettere un certificato SSL per il tuo dominio.
Migliorare la sicurezza del tuo sito web attraverso la crittografia SSL può aumentare la fiducia dei tuoi visitatori nel tuo sito web. In passato, l'impostazione della crittografia SSL su un sito Web era un compito complicato. Tuttavia, Let's Encrypt è un'autorità di certificazione (CA) gratuita e open source che consente di ottenere e installare certificati tramite comandi semplici e automatizzati. Grazie a loro, impostare la crittografia e aumentare la sicurezza del tuo sito è molto più semplice. Let's Encrypt fornisce un certificato SSL valido per il tuo dominio senza alcun costo e può essere utilizzato anche per uso produttivo/commerciale.
Iniziamo con l'installazione:è un'installazione semplice e non richiederà molto tempo.
Prerequisiti
- Ai fini di questo tutorial, utilizzeremo un VPS CentOS 7.
- È richiesto anche l'accesso root SSH completo o un utente con privilegi sudo.
- Un nome di dominio valido puntato all'indirizzo IP del tuo server. In questo tutorial useremo
domain.com.
Passaggio 1:connessione tramite SSH e aggiornamento del sistema operativo
Collegati al tuo server tramite SSH come utente root usando il seguente comando:
ssh root@IP_ADDRESS -p PORT_NUMBER
Ricorda di sostituire "IP_ADDRESS" e "PORT_NUMBER" con il rispettivo indirizzo IP e numero di porta SSH del tuo server.
Prima di iniziare con l'installazione, dovrai aggiornare i pacchetti del tuo sistema operativo alle versioni più recenti. È facile da fare e non ci vorranno più di pochi minuti.
Puoi farlo eseguendo il seguente comando:
yum update
Una volta completati gli aggiornamenti, possiamo passare al passaggio successivo.
Fase 2:installa lo stack LAMP
Dobbiamo installare lo stack LAMP sul server. È composto da Linux (che abbiamo già), Apache, MySQL e PHP. Possiamo installarlo eseguendo il seguente comando:
yum install httpd mariadb-server php php-cli php-common
Una volta installati tutti i pacchetti, avvia i servizi Apache e MariaDB:
systemctl start httpd systemctl start mariadb
Consenti loro di avviarsi all'avvio del server con il seguente comando:
systemctl enable httpd systemctl enable mariadb
Fase 3:configura Apache
Dobbiamo creare un nuovo file di configurazione di Apache. Possiamo crearlo con il seguente comando:
nano /etc/httpd/conf.d/domain.com.conf
Aggiungi le seguenti righe:
<VirtualHost *:80>
ServerAdmin [email protected]
DocumentRoot "/var/www/html"
DirectoryIndex index.html
ServerName domain.com
ErrorLog "/var/log/httpd/domain.com.error_log"
CustomLog "/var/log/httpd/domain.com.access_log" common
</VirtualHost> Salva e chiudi il file.
Quindi, crea un index.html file a scopo di test con il seguente comando:
nano /var/www/html/index.html
Aggiungi le seguenti righe:
<html> Test - Welcome to The Apache Web Server. </html>
Salva il file e cambia il proprietario del file '/var/www/html/index.html' all'utente Apache in modo che Apache possa leggere il file:
chown -R apache:apache /var/www/html/index.html
Ricordati di cambiare domain.com con il tuo nome di dominio effettivo.
Ora che abbiamo installato Apache possiamo continuare e installare certbot .
Fase 4:installa Certbot
Dobbiamo installare Certbot e abilitare il mod_ssl Modulo Apache sul server. Certbot è uno strumento semplice e facile da usare che semplifica la gestione dei server automatizzando l'ottenimento dei certificati e la configurazione dei servizi web per utilizzarli.
Per impostazione predefinita, il pacchetto Certbot non è disponibile nel repository del sistema operativo predefinito di CentOS 7. Dobbiamo abilitare il repository EPEL, quindi installare Certbot.
Per aggiungere il repository EPEL esegui il seguente comando:
yum install epel-release
Una volta abilitato, installa tutti i pacchetti richiesti con il seguente comando:
yum install certbot python2-certbot-apache mod_ssl
Una volta installato, possiamo procedere al passaggio successivo.
Fase 5:ottieni e installa SSL per il tuo dominio
Ora che Certbot è installato, puoi usarlo per ottenere e installare un certificato SSL per il tuo dominio.
Esegui semplicemente il seguente comando per ottenere e installare un certificato SSL per il tuo dominio:
certbot --apache -d domain.com
Possiamo anche installare un unico certificato per più domini e sottodomini ospitati sul server con il flag '-d', ad esempio:
certbot --apache -d domain.com -d www.domain.com -d domain2.com -d test.domain2.com
Ci verrà chiesto di fornire un indirizzo e-mail e di accettare i termini del servizio.
Saving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator apache, Installer apache Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel): [email protected] Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please read the Terms of Service at https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must agree in order to register with the ACME server at https://acme-v02.api.letsencrypt.org/directory - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (A)gree/(C)ancel: A - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Would you be willing to share your email address with the Electronic Frontier Foundation, a founding partner of the Let's Encrypt project and the non-profit organization that develops Certbot? We'd like to send you email about our work encrypting the web, EFF news, campaigns, and ways to support digital freedom. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y)es/(N)o: N Starting new HTTPS connection (1): supporters.eff.org Obtaining a new certificate Performing the following challenges: http-01 challenge for domain.com Waiting for verification... Cleaning up challenges Created an SSL vhost at /etc/httpd/conf.d/domain.com-le-ssl.conf Deploying Certificate to VirtualHost /etc/httpd/conf.d/domain.com-le-ssl.conf
Digita Y e premi [Invio] e dovresti vedere il seguente output:
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1: No redirect - Make no further changes to the webserver configuration. 2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for new sites, or if you're confident your site works on HTTPS. You can undo this change by editing your web server's configuration. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
Qui, devi scegliere una qualsiasi opzione per continuare. Se scegli l'opzione 1, scaricherà solo un certificato SSL e dovrai configurare Apache manualmente per utilizzare il certificato SSL. Se scegli l'opzione 2, scaricherà e configurerà automaticamente Apache per utilizzare il certificato SSL. In questo caso, scegli l'opzione 2 e premi [Invio]. Al termine dell'installazione, vedrai un messaggio simile a questo:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Congratulations! You have successfully enabled https://domain.com
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/domain.com-0001/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/domain.com-0001/privkey.pem Your cert will expire on 2019-10-22. To obtain a new or tweaked version of this certificate in the future, simply run certbot again with the "certonly" option. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
I file di certificato generati sono disponibili in /etc/letsencrypt/live/domain.com directory. Puoi controllare il certificato SSL appena creato con il seguente comando:
ls /etc/letsencrypt/live/domain.com/
Dovresti vedere il seguente output:
cert.pem chain.pem fullchain.pem privkey.pem
Fase 6:controlla il tuo certificato SSL
Apri il tuo browser web e digita l'URL https://domain.com . Per verificare il certificato SSL in Chrome, fai clic sull'icona del lucchetto nella barra degli indirizzi di https://domain.com e dalla finestra pop-up, fai clic su "Valido" sotto la richiesta "Certificato".
Passaggio 7:imposta il rinnovo automatico
Per impostazione predefinita, i certificati Let's Encrypt sono validi per 90 giorni, quindi si consiglia di rinnovare il certificato prima della scadenza. Idealmente, sarebbe meglio automatizzare il processo di rinnovo per controllare e rinnovare periodicamente il certificato.
Possiamo testare manualmente il processo di rinnovo con il seguente comando.
certbot renew --dry-run
Il comando precedente verificherà automaticamente i certificati attualmente installati e tenterà di rinnovarli se mancano meno di 30 giorni dalla data di scadenza.
Possiamo anche aggiungere un cronjob per eseguire automaticamente il comando sopra due volte al giorno.
Per farlo, modifica crontab con il seguente comando:
crontab -e
Aggiungi la seguente riga:
* */12 * * * root /usr/bin/certbot renew >/dev/null 2>&1
Salva e chiudi il file.
Congratulazioni! Abbiamo installato e configurato con successo Let's Encrypt con Apache su un VPS CentOS 7.
Ovviamente, non devi installare Let's Encrypt su CentOS 7 se utilizzi uno dei nostri piani di hosting VPS gestiti, nel qual caso puoi semplicemente chiedere ai nostri esperti amministratori Linux di installare Let's Encrypt sul tuo CentOS 7 VPS per te. Sono disponibili 24 ore su 24, 7 giorni su 7 e si prenderanno immediatamente cura della tua richiesta.
PS . Se ti è piaciuto questo post su come installare Let's Encrypt su CentOS 7 , o se lo hai trovato utile, condividilo con i tuoi amici sui social network utilizzando i pulsanti di condivisione, o semplicemente lascia una risposta qui sotto. Grazie.