Ebben az oktatóanyagban bemutatjuk, hogyan lehet egy Apache webszervert biztonságossá tenni a Secure Sockets Layer (SSL) tanúsítvány telepítésével Ubuntu 18.04 rendszeren. Manapság alapvető fontosságú a titkosított kapcsolat engedélyezése a webszerverhez, mivel lehetővé teszi a webhely biztonságos HTTPS protokolljának használatát.
Ehhez a Let's Encrypt nevű hitelesítésszolgáltatót használjuk, amely ingyenes tanúsítványt ad ki, amely teljes mértékben megfelel a szükséges biztonsági előírásoknak. A Let's Encrypt leegyszerűsíti a biztonsági tanúsítvány telepítésének folyamatát, hogy még a kevésbé tapasztalt felhasználók számára is biztosítson egy weboldalt a Certbot kliens segítségével.
Először csatlakozzon a szerverhez SSH kapcsolaton keresztül. Ha még nem tette meg, akkor ajánlott átböngésznie a Hogyan javítható az SSH biztonság az Ubuntu 18.04-en? útmutatónkat a folyamat megkezdése előtt. Helyi szerver esetén folytassa a következő lépéssel, és nyissa meg a szerver terminált.
A CertBot telepítése
Adja hozzá a rendszerhez a Certbot csomagtárolót.
$ sudo add-apt-repository ppa:certbot/certbot
Ezt követően telepítse a Certbot-ot az apt használatával:
$ sudo apt install python-certbot-apache
A telepítés befejezése után a tűzfal konfigurálásával folytatjuk.
A tűzfal konfigurálása
A rendszer tűzfalát úgy állítsa be, hogy engedélyezze a HTTP forgalmat és a HTTPS forgalmat a számítógépére.
Az UFW tűzfal használatakor az előre telepített profilok elérhetők lesznek az Apache számára. Tehát lássuk, hogyan lehet őket bekapcsolni.
Az UFW tűzfalon telepített elérhető profilok ellenőrzéséhez futtassa a következő parancsot:
Az alábbiakhoz hasonló lista jelenik meg a képernyőn:
Available applications:
Apache
Apache Full
Apache Secure
OpenSSH
A HTTP (Port 80) és a HTTPS (Port 443) forgalom engedélyezéséhez használja az "Apache Full" profilt.
Ellenőrizze profilinformációt az alábbiak szerint:
$ sudo ufw app info "Apache Full"
Ekkor megjelenik a képernyőn profil leírása:
Profile: Apache Full
Title: Web Server (HTTP,HTTPS)
Description: Apache v2 is the next generation of the omnipresent Apache web
server.
Ports:
80,443/tcp
A profil ellenőrzése után engedélyezhető:
$ sudo ufw allow in "Apache Full"
Az SSL-tanúsítvány létrehozása
Ezen a ponton kérje meg annak a domainnek a tanúsítását, amelyet védeni szeretne az előzőleg telepített Certbot használatával.
Cserélje le a TUODOMINIO.IT-t a védeni kívánt domain névre:
$ sudo certbot --apache -d TUODOMINIO.IT -d www.TUODOMINIO.IT
Megjegyzés: az --apache kapcsoló az Apache plugin használatára utasítja a Certbotot, míg a -d kapcsoló azt a domain nevet jelöli, amelyre a tanúsítványt használni fogják.
Ezen a ponton adja meg az e-mail címét, fogadja el a szolgáltatási feltételeket, és jelölje meg, hogy a webhelyének kapcsolatait HTTPS kapcsolat felé kívánja átirányítani.
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - No further changes to the webserver configuration.
2: Redirect - To redirect all requests to secure HTTPS access. Choose this option fornew websites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):
Megjegyzés: ha már van CMS-platform vagy szkript a webhelyén, akkor útmutatásunk követése után javasoljuk ellenőrizni, hogy kompatibilis-e a HTTPS-kapcsolattal, mielőtt a forgalmat átirányítja.
Írja be az Ön által választott számot, és ha az eljárás sikeres, egy megerősítő üzenet jelenik meg a képernyőn.
A tanúsítvány megújításának ellenőrzése
A Let's Encrypt SSL-tanúsítványai 90 napig érvényesek, amelyeket követően meg kell újítani. A Certbot gondoskodik a tanúsítványok automatikus megújításáról is, de annak biztosítása érdekében, hogy az eljárás helyesen működjön, útmutatásainkat követve javasoljuk a tanúsítvány manuális megújítását ezen a módon:
$ sudo certbot renew --dry-run
Ha nem jelenik meg hiba, akkor a megújítás sikeres volt. Ellenkező esetben e-mailt fog kapni a tanúsítvány létrehozásakor megadott címre, amikor a lejárat közeledik.