Известно е, че SSL сертификатите са объркващи за настройка на Linux, поради което толкова много хора избягват да настройват HTTPS на своите уебсайтове. За щастие, услугата Let’s Encrypt се опитва да промени това, като прави настройката на SSL на Linux прост процес, който почти всеки може да разбере. Можете да използвате Let’s Encrypt с Apache на Ubuntu Server, за да настроите лесно SSL сертификати.
Let’s Encrypt е безплатен завинаги в Linux. Няма да е нужно да плащате за нищо, за да го използвате. Единственият проблем е, че сертификатите не траят вечно. Вместо това той изисква от потребителите да обновяват и подновяват своя SSL сертификат на всеки 90 дни.
Софтуерът Let’s Encrypt поддържа и двата основни уеб двигателя на Linux платформата (Apache и Nginx). В този урок ще разгледаме как да получим и настроим Let’s Encrypt SSL сертификат за използване на Let’s Encrypt с Apache на Ubuntu Server.
Забележка: Let’s Encrypt поддържа всички операционни системи Linux. Ако не използвате Ubuntu сървър, Натисни тук и научете как можете да го настроите на алтернативна сървърна операционна система.
Съдържание
Получаване на Certbot
Let’s Encrypt е предимно автоматичен процес в Linux благодарение на инструмента Certbot. С него ще можете бързо да получите SSL сертификат на вашия Ubuntu сървър.
Certbot не се предлага с Ubuntu сървър. Така че, за да го използвате, трябва да активирате софтуерно хранилище на трета страна (PPA) и да го инсталирате по този начин. Въпреки това, преди да се опитате да добавите новия PPA, имайте предвид: не всяка версия на сървъра на Ubuntu има поддръжка на PPA от кутията. За да получите достъп до PPA в Ubuntu, трябва да инсталирате software-properties-common.
sudo apt install software-properties-common
След това, когато пакетът „software-properties-common“ е стартиран и работи, въведете командата по-долу, за да активирате репото на Certbot в Ubuntu.
sudo add-apt-repository ppa:certbot/certbot
След като изпълните командата add-apt-repository, PPA трябва да работи. След това актуализирайте софтуерните източници на сървъра на Ubuntu с командата за актуализиране, така че Certbot PPA да е достъпен.
sudo apt update
С актуални източници на софтуер на Ubuntu, инсталирайте пакета Certbot с помощта на Apt.
sudo apt install python-certbot-apache
Активирайте HTTPS трафик
Let’s Encrypt позволява на потребителите бързо да настроят SSL сертификат на Linux, така че потребителите да не трябва да се справят с това да правят всичко ръчно. Едно от нещата, които трябва да се направят, за да се използва тази услуга, е да се активира HTTPS трафик за Apache 2 на сървъра.
За да активирате HTTPS трафика в уеб сървъра на Apache, уверете се, че защитната стена на Ubuntu е стартирана и работи. След това използвайте командите UFW по-долу, за да разрешите HTTPS трафик.
Забележка: Защитната стена не работи? Активирайте sudo ufw, след което рестартирайте.
sudo ufw allow 'Apache Full'
Ако командата UFW е успешна, HTTPS трябва да бъде активиран. Можете да проверите състоянието на защитната стена, за да се уверите, че тя работи, като изпълните командата ufw status.
sudo ufw status
Генериране на SSL сертификат
Сървърът на Ubuntu е настроен да използва SSL и Certbot е инсталиран. В този момент можем да използваме програмата Certbot, за да генерираме чисто нов SSL сертификат за уеб сървъра на Apache.
За да генерирате нов SSL сертификат с Certbot, стартирайте certbot с превключвателя на командния ред на apache. Имайте предвид, че този сертификат ще работи само ако домейнът, посочен в командата, съвпада с конфигурационния файл на вашия уебсайт в /etc/apache2/sites-available/.
Забележка: не забравяйте да промените mywebsite.com и www.mywebsite.com в командата Certbot с името на домейна на вашия сайт.
sudo certbot --apache -d mywebsite.com -d www.mywebsite.com
Ако приемем, че командата Certbot е успешна, ще видите текстова подкана, която ви пита за вашите настройки на Apache. Прочетете подканата и изберете избора, който най-добре отговаря на вашите нужди. Когато преминете от подканата, вашият SSL сертификат е готов за работа!
Подновяване на вашия SSL сертификат
SSL сертификатите на Let’s Encrypt изтичат след 90 дни, така че ако планирате да го използвате за вашия уебсайт, е необходимо подновяване. За щастие програмата Certbot идва с автоматична работа на Cron, която го прави вместо вас.
Cron скриптът за автоматично подновяване се намира в /etc/cron.d/ на вашия сървър и можете да го видите, като направите
Ръчно подновяване
Благодарение на скрипта за автоматично подновяване за Let’s Encrypt, вашият Apache сървър винаги трябва да има SSL сертификат. Въпреки това понякога могат да възникнат проблеми, така че е добра идея да знаете как да подновите SSL сертификат ръчно.
За да подновите своя SSL сертификат с Apache на Ubuntu сървър, отворете терминален прозорец, SSH и следвайте стъпките по-долу.
Стъпка 1: Изпълнете командата certbot renew с командния превключвател за сухо изпълнение. Това ще ви позволи да извършите подновяване на практиката, което ще ви позволи да изолирате проблеми и да гарантирате, че процесът работи.
sudo certbot renew --dry-run
Стъпка 2: Ако приемем, че „сухото изпълнение“ е минало добре, безопасно е да стартирате командата за подновяване на Certbot наистина. В терминала стартирайте certbot renew, но без превключвателя „dry-run“.
sudo certbot renew
Ако командата renew работи успешно, вашият SSL сертификат отново ще бъде активен.