本文主要讲如何在运行Apache作为Web服务器的Ubuntu 16.04服务器上设置Let’s Encrypt的TLS / SSL证书。Web服务器中使用SSL证书来加密服务器和客户端之间的流量,为访问应用程序的用户提供额外的安全性。 让我们的加密提供了一种免费获取和安装可信证书的简便方法。
准备
为了完成本教程,你需要准备:
- Ubuntu 16.04服务器,非root用户
- Apache Web服务器,一个或多个域名通过虚拟主机配置并指定ServerName当你准备好了之后,登录服务器。
第一步 – 安装Let’s Encrypt客户端
通过服务器上运行的客户端软件获取加密证书。官方客户端称为Certbot,其开发人员使用最新版本维护自己的Ubuntu软件存储库。使用此存储库来安装比Ubuntu提供的更新的版本是值得的。首先添加存储库:
$ sudo add-apt-repository ppa:certbot/certbot
你需要按ENTER键。然后,更新列表获取最新存储库的包信息:
$ sudo apt-get update
最后,使用apt-get命令安装Certbot
$ sudo apt-get install python-certbot-apache
现在certbot Let’s Encrypt client可以使用了。
第二步 – 设置SSL证书
使用Certbot为Apache生成SSL证书非常简单。客户端将自动获取并安装新的SSL证书,该证书对作为参数提供的域有效。要执行交互式安装并获取仅涵盖单个域的证书,运行如下命令,其中example.com是您的域:
$ sudo certbot --apache -d example.com
如果要安装对多个域名或子域名有效的单个证书,可以将它们作为附加参数传递给该命令。 参数列表中的第一个域名将是Let’s Encrypt用于创建证书的基本域名,因此我们建议您将裸顶级域名作为列表中的第一个,然后是任何其他子域名或别名:
$ sudo certbot --apache -d example.com -d www.example.com
在这个例子中,基本域名是example.com。如果您有多个虚拟主机,则应为每个虚拟主机运行一次certbot,以便为每个主机生成新证书。您可以以任何方式跨虚拟主机分发多个域名和子域名。安装依赖项后,将向您提供自定义证书选项的分步指南。系统会要求您提供丢失密钥恢复和通知的电子邮件地址,并且您可以选择启用http和https访问,还是强制所有请求重定向到https。除非您特别需要未加密的http流量,否则通常最安全的是https。安装完成后,您应该能够在/ etc / letsencrypt / live中找到生成的证书文件。 您可以使用以下链接验证SSL证书的状态(不要忘记将example.com替换为您的基本域):
https://www.ssllabs.com/ssltest/analyze.html?d=example.com&latest
你现在可以使用https前缀访问你的网站了。
第三步 – 验证Certbot自动更新
我们的加密证书只能持续90天。但是,我们安装的certbot软件包通过systemd计时器每天运行两次certbot更新来为我们解决这个问题。在非系统发行版上,此功能由位于/etc/cron.d中的cron脚本提供。该任务每天运行两次,并将续订任何在到期后30天内的证书。运行一下命令,测试自动更新:
$ sudo certbot renew --dry-run
如果您没有看到任何错误,那么您已经完成了设置。必要时,Certbot将续订您的证书并重新加载Apache以获取更改。如果自动续订过程失败,我们的加密将向您指定的电子邮件发送一条消息,并在您的证书即将过期时发出警告。
总结 在本指南中,我们了解了如何从Let’s Encrypt安装免费的SSL证书,以保护使用Apache托管的网站。我们建议您不时查看官方Let’s Encrypt博客以获取重要更新,并阅读Certbot文档以获取有关Certbot客户端的更多详细信息。