Като сървъри в сигурни центрове за данни в Европа. Open облак VPS / VDS сървър на бърз SSD за 1 минута!
Най-добър уеб хостинг:
- ще предпазят данните от неоторизиран достъп в защитена Европейския център за данни
- ще плати най-малко в Bitcoin.
- Той ще постави вашата дистрибуция
- защита от DDoS-атаки
- безплатно архивиране
- Uptime 99,9999%
- DPC - TIER III
- ISP - етап I
Подкрепа в руските 24/7/365 работи с юридически и физически лица. Сега трябва 24 ядро и 72 Gb RAM. Моля ви!
Нашите конкурентни цени доказват, че най-евтиният хостинг, че не знаеш!
За броени минути, изберете конфигурация, заплати и CMS на VPS е готова.
Връщане на парите - за 30 дни!
Банкови карти, електронни валута през QIWI терминали, Webmoney, PayPal, Novoplat и други.
Задайте въпрос 24/7/365 поддръжка
Намерете отговорите в нашата база данни, както и да отговарят на препоръките на
Това ръководство ви помага да конфигурирате Encrypt TLS / SSL сертификат Нека за Apache на Debian 8 сървъра и автоматизиране на подновяването му.
Най-SSL сертификати се изискват от уеб сървър, за да кодира трафика между сървъра и клиента, което повишава сигурността на потребителските данни и приложения. Нека Encrypt услуга ви позволява бързо и лесно да се получи такъв сертификат.
изисквания
Монтаж certbot на клиентите: 1
Първо трябва да инсталирате certbot. Този клиент Нека Encrypt, който ви позволява да получите SSL сертификат.
Certbot пакет не е в официалните хранилища на Debian 8. Изтегляне на възможното от backports хранилище-Джеси certbot.
Добави тази хранилище:
Актуализиране пакет Индекс:
Sudo актуализация ап-да
Сега можете да инсталирате пакет питон-certbot-Apache.
Забележка. Backports-хранилище не се препоръчва за актуализации за цялата система. Инсталирайте само пакетите, които искате. Backports опаковки са по-малко съвместими от опаковките на основните хранилища.
За да се предотврати случайно инсталиране или обновление на пакети от backports-хранилище, използвайте -t знаме пред името на хранилището.
ап-да инсталирате certbot -Т Джеси-backports
Клиент certbot готов.
2: Apache Конфигуриране
Домейни, за които се използва удостоверение, че е възможно да се прехвърлят на полезност certbot като аргументи. Въпреки certbot също може да ги прочетете в конфигурационния файл на Apache. За да направите това, въведете домейна в директивата за ServerName и поддомейн - в Serveralias.
Ако сървърът Apache не е бил инсталиран преди това, тя е била включена в инсталирането на питон-certbot-Apache пакет. Отваряне на виртуален хост подразбиране:
Sudo нано /etc/apache2/sites-available/000-default.conf
Добавете файл и да уточни директивата ServerName в името на домейна. Алтернативни или допълнителни домейни, които трябва да служат на сървъра, за да добавите към Serveralias директивата.
Настройки изглеждат така:
.
ServerName example.com
Serveralias www.example.com
.
За да запишете и затворете файла, натиснете CTRL + X, Y и Enter.
Проверете файла за грешки:
Sudo apache2ctl configtest
Командата трябва да се върне:
Ако файлът има грешки, поправете ги. След това рестартирайте уеб сървър:
Sudo systemctl рестартиране apache2
3: Конфигуриране на защитната стена
Ако активирате защитната стена, трябва да отключите SSL трафик.
Забележка. Ако защитната стена е изключена, можете да пропуснете тази секция.
защитна стена неотчитане
Sudo неотчитане статус
Ако правилата на списъка изглеждат така, защитната стена позволява само HTTP трафика:
Статус: активен
За действие От
-- ------ ----
SSH ДОПУСКА Anywhere
SSH (V6) позволяват Навсякъде (V6)
За отключване на HTTPS трафик, дават възможност за WWW пълния профил.
Sudo неотчитане позволи "WWW Пълен"
Сега в списъка на правила е, както следва:
Sudo неотчитане статус
Статус: активен
За действие От
-- ------ ----
SSH ДОПУСКА Anywhere
WWW Пълен ДОПУСКА Anywhere
SSH (V6) позволяват Навсякъде (V6)
WWW Пълното (v6) позволяват Anywhere (v6)
Сега защитната стена поддържа HTTPS трафик.
IPTABLES защитна стена
Sudo IPTABLES -S
Показва се списък от правила. Например:
-P INPUT DROP
-P НАПРЕД ACCEPT
-P OUTPUT ACCEPT
-А INPUT -i ето -j ACCEPT
-А INPUT -m conntrack --ctstate ПОДОБНИ, създадена -j ACCEPT
-А INPUT -p TCP -м TCP --dport 22 -j ACCEPT
-Вход -p TCP -m TCP --dport 80 -j ACCEPT
Какви правила трябва да се добави, за да изберете SSL поддръжка, това зависи от правилата на настоящите защитната стена. Ако използвате основен набор от правила, използвайте следното правило:
Sudo IPTABLES -I INPUT -p TCP -j ACCEPT --dport 443
Sudo IPTABLES -S
-P INPUT DROP
-P НАПРЕД ACCEPT
-P OUTPUT ACCEPT
-А INPUT -p TCP -м TCP --dport 443 -j ACCEPT
-А INPUT -i ето -j ACCEPT
-А INPUT -m conntrack --ctstate ПОДОБНИ, създадена -j ACCEPT
-А INPUT -p TCP -м TCP --dport 22 -j ACCEPT
-Вход -p TCP -m TCP --dport 80 -j ACCEPT
Ако правилата на IPTABLES автоматично заредени в сървъра, добави настройката и новото правило.
4: Създаване на SSL сертификат
Генериране на SSL сертификат за Apache използване Encrypt изтеглен клиент Нека. Това е доста проста. Клиентът получава автоматично и инсталиране на сертификат SSL, който е валиден за домейна, посочен в конфигурационния файл на Apache
За да стартирате интерактивна инсталация, както и получаване на сертификат за всички тези области, изпълнете следната команда:
Sudo certbot --apache
Utility certbot чете конфигурацията Apache, ще намерите всички необходими области и да се създаде сертификат за тях. По-късно, можете да премахнете домейна, от списъка, а сертификатът няма да се прилагат за тях.
След като инсталацията приключи, сертификат ще бъде поставен в / и т.н. / letsencrypt / на живо. Проверете състоянието на SSL сертификат с помощта на следния линк:
Забележка. Сменете example.com към вашия домейн.
Проверката може да отнеме няколко минути. Можете да получите достъп до сайта чрез HTTPS.
5: Automatic Updates
Шифроване Сертификати Нека да са валидни за 90 дни, но се препоръчва да се извърши актуализация предварително (например, 60 дни след сертификата за употреба). Нека да се шифроват клиент осигурява поднови команда, която проверява актуалния сертификат и го актуализира, ако преди датата на изтичане все още е по-малко от 30 дни.
За да конфигурирате актуализацията за всички съществуващи домейни, стартирайте:
Sudo certbot подновят
Тъй като сертификатът е получил само, че отборът няма да го поднови. Тя просто ти казва, че сертификатът не се нуждае от актуализиране.
Спасяването на грешки дневник, за да /var/log/letsencrypt/letsencrypt.log
-------------------------------------------------------------------------------
обработка /etc/letsencrypt/renewal/example.com.conf
-------------------------------------------------------------------------------
CERT все още не се дължи за подновяване
Следващите CERT, все още не са дължими за подновяване:
/etc/letsencrypt/live/example.com/fullchain.pem (пропуснато)
Не подновявания бяха опитали.
Забележка: Ако се създаде един сертификат за няколко домейна в изхода на командата ще уточнят само началната достояние, но актуализацията е валидна за всички домейни и поддомейни.
За да се гарантира своевременното актуализиране на сертификата, конфигуриране на Cron демона да се стартира автоматично подновяване на екипа веднъж седмично или всеки ден.
Редактиране на старица, и да създадете нов акаунт, за да поднови команда. За да редактирате кронтаб корен потребител, тип:
не кронтаб за корен - с помощта на един празен човек
Изберете редактор. За да промените по-късно, бягай ", изберете-редактор".
1. / бен / нано <---- самый простой
2. /usr/bin/vim.basic
3. /usr/bin/vim.tiny
Изберете 1-3 [1]:
Добави към края на масата за следната позиция:
30 февруари * 1 / ЮЕсАр / хамбар / certbot поднови >> /var/log/le-renew.log
Запазване и затворете файла. Това ще създаде нов процес Cron, че ще изпълни команда letsencrypt-подновява автоматично, всеки понеделник вечер в 2.3o. Резултатът от тази команда ще бъде поставен в /var/log/le-renewal.log.
Сега, на уеб сървъра Apache е защитена с помощта на Encrypt! Да SSL сертификат. Още полезна информация (включително актуализации) може да се намери в Encrypt блог на! Да.
Свързани статии