GNU/Linux >> Belajar Linux >  >> Ubuntu

Amankan Apache dengan Lets Encrypt di Ubuntu 18.04

Let's Encrypt adalah otoritas sertifikat yang dibuat oleh Internet Security Research Group (ISRG). Ini memberikan sertifikat SSL gratis melalui proses otomatis yang dirancang untuk menghilangkan pembuatan, validasi, pemasangan, dan pembaruan sertifikat manual.

Sertifikat yang dikeluarkan oleh Let's Encrypt dipercaya oleh semua browser utama saat ini.

Dalam tutorial ini, kami akan memberikan petunjuk langkah demi langkah tentang cara mengamankan Apache Anda dengan Let's Encrypt menggunakan alat certbot di Ubuntu 18.04.

Prasyarat #

Pastikan Anda telah memenuhi prasyarat berikut sebelum melanjutkan dengan tutorial ini:

  • Nama domain yang menunjuk ke IP server publik Anda. Kami akan menggunakan example.com .
  • Anda telah menginstal Apache dengan virtual host Apache untuk domain Anda.

Instal Certbot #

Certbot adalah alat berfitur lengkap dan mudah digunakan yang dapat mengotomatiskan tugas untuk mendapatkan dan memperbarui sertifikat SSL Let's Encrypt dan mengonfigurasi server web. Paket certbot disertakan dalam repositori default Ubuntu.

Perbarui daftar paket dan instal paket certbot:

sudo apt updatesudo apt install certbot

Hasilkan Grup Dh (Diffie-Hellman) Kuat #

Pertukaran kunci Diffie–Hellman (DH) adalah metode pertukaran kunci kriptografi secara aman melalui saluran komunikasi yang tidak aman. Kami akan membuat set parameter DH 2048 bit baru untuk memperkuat keamanan:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
Jika mau, Anda dapat mengubah ukuran hingga 4096 bit, tetapi dalam hal ini, pembuatan mungkin memerlukan waktu lebih dari 30 menit tergantung pada entropi sistem.

Mendapatkan sertifikat SSL Let's Encrypt #

Untuk mendapatkan sertifikat SSL untuk domain, kita akan menggunakan plugin Webroot yang bekerja dengan membuat file sementara untuk memvalidasi domain yang diminta di ${webroot-path}/.well-known/acme-challenge direktori. Server Let's Encrypt membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta diselesaikan ke server tempat certbot berjalan.

Untuk membuatnya lebih sederhana, kita akan memetakan semua permintaan HTTP untuk .well-known/acme-challenge ke satu direktori, /var/lib/letsencrypt .

Perintah berikut akan membuat direktori dan membuatnya dapat ditulis untuk server Apache.

sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp www-data /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt

Untuk menghindari duplikasi kode, buat dua cuplikan konfigurasi berikut:

/etc/Apache2/conf-available/letsencrypt.conf
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
    AllowOverride None
    Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
    Require method GET POST OPTIONS
</Directory>
/etc/apache2/conf-available/ssl-params.conf
SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder     off
SSLSessionTickets       off

SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options SAMEORIGIN
Header always set X-Content-Type-Options nosniff

SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

Cuplikan di atas menggunakan chipper yang direkomendasikan oleh Mozilla, mengaktifkan OCSP Stapling, HTTP Strict Transport Security (HSTS), dan menerapkan beberapa header HTTP yang berfokus pada keamanan.

Sebelum mengaktifkan file konfigurasi, pastikan keduanya mod_ssl dan mod_headers diaktifkan dengan mengeluarkan:

sudo a2enmod sslsudo a2enmod headers

Selanjutnya, aktifkan file konfigurasi SSL dengan menjalankan perintah berikut:

sudo a2enconf letsencryptsudo a2enconf ssl-params

Aktifkan modul HTTP/2, yang akan membuat situs Anda lebih cepat dan kuat:

sudo a2enmod http2

Muat ulang konfigurasi Apache agar perubahan diterapkan:

sudo systemctl reload apache2

Sekarang, kita dapat menjalankan alat Certbot dengan plugin webroot dan mendapatkan file sertifikat SSL dengan mengetik:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Jika sertifikat SSL berhasil diperoleh, certbot akan mencetak pesan berikut:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2018-10-28. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Sekarang setelah Anda memiliki file sertifikat, edit konfigurasi host virtual domain Anda sebagai berikut:

/etc/apache2/sites-available/example.com.conf
<VirtualHost *:80> 
  ServerName example.com
  ServerAlias www.example.com

  Redirect permanent / https://example.com/
</VirtualHost>

<VirtualHost *:443>
  ServerName example.com
  ServerAlias www.example.com

  Protocols h2 http/1.1

  <If "%{HTTP_HOST} == 'www.example.com'">
    Redirect permanent / https://example.com/
  </If>

  DocumentRoot /var/www/example.com/public_html
  ErrorLog ${APACHE_LOG_DIR}/example.com-error.log
  CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined

  SSLEngine On
  SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
  SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem

  # Other Apache Configuration

</VirtualHost>

Dengan konfigurasi di atas, kami memaksa HTTPSand redirect dari versi www ke non-www. Anda bebas menyesuaikan konfigurasi sesuai kebutuhan Anda.

Muat ulang layanan Apache agar perubahan diterapkan:

sudo systemctl reload apache2

Anda sekarang dapat membuka situs web Anda menggunakan https:// , dan Anda akan melihat ikon kunci berwarna hijau.

Jika Anda menguji domain Anda menggunakan SSL Labs Server Test, Anda akan mendapatkan nilai A+, seperti yang ditunjukkan di bawah ini:

Memperbarui otomatis sertifikat SSL Let's Encrypt #

Sertifikat Let's Encrypt berlaku selama 90 hari. Untuk memperbarui sertifikat secara otomatis sebelum kedaluwarsa, paket certbot membuat cronjob yang berjalan dua kali sehari dan secara otomatis memperbarui sertifikat apa pun 30 hari sebelum kedaluwarsa.

Setelah sertifikat diperbarui, kami juga harus memuat ulang layanan Apache. Tambahkan --renew-hook "systemctl reload apache2" ke /etc/cron.d/certbot file sehingga terlihat seperti berikut:

/etc/cron.d/certbot
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload apache2"

Untuk menguji proses perpanjangan, Anda dapat menggunakan certbot --dry-run beralih:

sudo certbot renew --dry-run

Jika tidak ada error berarti proses perpanjangan berhasil.


Ubuntu

  1. Cara Menginstal Let's Encrypt di Ubuntu 20.04 dengan Apache

  2. Cara Mengamankan Nginx dengan Let's Encrypt di Ubuntu 20.04

  3. Cara mengamankan Apache dengan Lets Encrypt di Ubuntu 18.04

  1. Cara Mengamankan Nginx dengan Lets Encrypt Di Ubuntu 20.04 / 18.04

  2. Amankan Nginx dengan Lets Encrypt di Ubuntu 18.04

  3. Amankan Nginx dengan Lets Encrypt di Ubuntu 16.04

  1. Amankan Nginx dengan Lets Encrypt di Ubuntu 20.04

  2. Amankan Apache dengan Lets Encrypt di Ubuntu 20.04

  3. Amankan Apache dengan Lets Encrypt di CentOS 7