如何在Debian10上使用Let'sEncrypt保护Apache
介绍
Let's Encrypt 是一个证书颁发机构 (CA),它提供了一种简单的方法来获取和安装免费的 TLS/SSL 证书,从而在 Web 服务器上启用加密的 HTTPS。 它通过提供软件客户端 Certbot 来简化流程,该客户端尝试自动化大部分(如果不是全部)所需步骤。 目前,获取和安装证书的整个过程在 Apache 和 Nginx 上都是完全自动化的。
在本教程中,您将使用 Certbot 为 Debian 10 上的 Apache 获取免费的 SSL 证书,并将您的证书设置为自动更新。
本教程将使用单独的 Apache 虚拟主机文件而不是默认配置文件。 我们建议为每个域创建新的 Apache 虚拟主机文件,因为它有助于避免常见错误并将默认文件作为后备配置进行维护。
先决条件
要遵循本教程,您将需要:
- 按照此 Debian 10 初始服务器设置教程设置一台 Debian 10 服务器,包括具有
sudo权限的非 root 用户和防火墙。 - 完全注册的域名。 本教程将自始至终使用 your_domain 作为示例。 您可以在 Namecheap 上购买一个域名,在 Freenom 上免费获得一个域名,或者使用您选择的域名注册商。
- 为您的服务器设置了以下两个 DNS 记录。 要设置这些,您可以按照 这些用于添加域的说明,然后按照 这些用于创建 DNS 记录的说明。
- 带有
your_domain的 A 记录指向您服务器的公共 IP 地址。 - 带有
www.your_domain的 A 记录指向您服务器的公共 IP 地址。
- 带有
- 按照 How To Install Apache on Debian 10 安装 Apache。 确保为您的域设置了 虚拟主机文件 。 本教程将以
/etc/apache2/sites-available/your_domain.conf为例。
第 1 步 — 安装 Certbot
使用 Let's Encrypt 获取 SSL 证书的第一步是在您的服务器上安装 Certbot 软件。
注意:目前,Certbot 在默认情况下无法从 Debian 软件存储库中获得,但可以 在 /etc/apt/sources.list 文件中配置 buster-backports 存储库 以允许您 使用 APT 安装 Certbot 软件的反向端口。
然而,Backports 是从 Debian 的测试和不稳定存储库中重新编译的软件包,它们已经重新编译以在稳定的 Debian 发行版中运行。 这些软件包没有定期测试,可能并不总是最新的。 因此,Certbot backport 将安装版本 0.31,而撰写本文时的当前版本是 1.09。 这些 Certbot 版本之间的一个显着区别是版本 0.31 的默认设置将启用 TLS v1.0 和 TLS v1.1,这两个安全协议已在大多数主要 Web 浏览器中被弃用,并启用这些协议可能存在安全漏洞。 虽然可以更改此默认设置,但这样做可能会破坏使 Certbot 如此有用的自动更新。
在 Debian APT 存储库提供更新版本的 Certbot 之前,本教程将遵循 Certbot 文档的建议 安装版本 1.09 和 snappy 软件包为 Linux 系统开发的管理器,它以称为 snaps 的格式安装包。
要在 Debian 上快速安装 Certbot,您必须首先在您的服务器上安装 snapd。 snapd 是安装、使用和管理快照所需的守护程序。 安装 snapd 软件包也会在您的服务器上安装 snap 命令。
要安装 snapd,如果您最近没有这样做,请更新您的本地包索引:
sudo apt update
然后安装snapd包:
sudo apt install snapd
运行此命令后,系统会提示您确认是否要安装 snapd 及其依赖项。 通过按 Y 然后按 ENTER 来执行此操作。
接下来,使用 snap 命令安装 core snap。 这将在您的服务器上安装一些您安装的任何快照所需的依赖项,包括 Certbot 快照:
sudo snap install core
然后刷新 core 快照。 这样做将确保您安装了最新版本的 snapd 及其依赖项:
sudo snap refresh core
之后,您可以使用以下命令安装 certbot snap。
请注意,快照可以安装在三个限制级别之一下,这些限制级别提供与系统不同程度的隔离。 例如,大多数快照默认安装在 --strict 限制级别下,这会阻止这些程序访问您系统的文件或网络。 因为必须允许 Certbot 编辑某些配置文件才能正确设置证书,所以此命令包含 --classic 选项。 此限制级别允许安装在其下的任何快照与传统软件包一样访问系统资源:
sudo snap install --classic certbot
此安装过程将在 /snap/bin/ 目录中安装 certbot 可执行文件。 在 /usr/bin/ 目录中创建指向此文件的符号链接,以确保您可以在系统的任何位置运行 certbot 命令:
sudo ln -s /snap/bin/certbot /usr/bin/certbot
Certbot 现在可以使用了,但为了让它为 Apache 配置 SSL,我们需要验证 Apache 是否已正确配置。
第 2 步 — 设置 SSL 证书
Certbot 需要能够在您的 Apache 配置中找到正确的虚拟主机,才能自动配置 SSL。 具体来说,它通过查找与您为其请求证书的域匹配的 ServerName 指令来做到这一点。
如果您按照 Apache 安装教程 中的 虚拟主机设置步骤进行操作,您应该在 /etc/apache2/sites-available/your_domain.conf 的域中使用 ServerName 指令有一个 VirtualHost 块已经适当设置。
要检查,请使用 nano 或您喜欢的文本编辑器打开您的域的虚拟主机文件:
sudo nano /etc/apache2/sites-available/your_domain.conf
找到现有的 ServerName 行。 它应该看起来像这样,使用您自己的域名而不是 your_domain:
/etc/apache2/sites-available/your_domain.conf
... ServerName your_domain; ...
如果还没有,请更新 ServerName 指令以指向您的域名。 然后保存文件并退出编辑器。 如果您使用 nano,请按 CTRL + X、Y,然后按 ENTER。
接下来,验证配置编辑的语法:
sudo apache2ctl configtest
如果没有任何语法错误,您将在输出中看到:
Output. . . Syntax OK
如果出现错误,请重新打开虚拟主机文件并检查是否有任何拼写错误或缺少字符。 一旦配置文件的语法正确,重新加载 Apache 以加载新配置:
sudo systemctl reload apache2
Certbot 现在可以找到正确的 VirtualHost 块并对其进行更新。
接下来,让我们更新防火墙以允许 HTTPS 流量。
第 3 步 — 允许 HTTPS 通过防火墙
如果按照先决条件指南的建议启用了 ufw 防火墙,则需要调整设置以允许 HTTPS 流量。 幸运的是,当安装在 Debian 上时,ufw 附带了一些配置文件,这些配置文件有助于简化更改 HTTP 和 HTTPS 流量的防火墙规则的过程。
您可以通过键入以下内容查看当前设置:
sudo ufw status
如果您按照我们关于 如何在 Debian 10 上安装 Apache 的指南的第 2 步操作,此命令的输出将如下所示,表明仅允许 HTTP 流量进入 Web 服务器:
OutputStatus: active To Action From -- ------ ---- OpenSSH ALLOW Anywhere WWW ALLOW Anywhere OpenSSH (v6) ALLOW Anywhere (v6) WWW (v6) ALLOW Anywhere (v6)
要额外允许 HTTPS 流量,请允许“WWW Full”配置文件并删除多余的“WWW”配置文件允许:
sudo ufw allow 'WWW Full' sudo ufw delete allow 'WWW'
您的状态现在应该如下所示:
sudo ufw status
OutputStatus: active To Action From -- ------ ---- OpenSSH ALLOW Anywhere WWW Full ALLOW Anywhere OpenSSH (v6) ALLOW Anywhere (v6) WWW Full (v6) ALLOW Anywhere (v6)
接下来,让我们运行 Certbot 并获取我们的证书。
第 4 步 — 获取 SSL 证书
Certbot 提供了多种通过插件获取 SSL 证书的方式。 Apache 插件将负责重新配置 Apache 并在必要时重新加载配置。 要使用此插件,请键入以下内容:
sudo certbot --apache -d your_domain -d www.your_domain
这将使用 --apache 插件运行 certbot,使用 -d 指定您希望证书对其有效的名称。
如果这是您第一次运行 certbot,系统将提示您输入电子邮件地址并同意服务条款。 此外,它会询问您是否愿意与 Electronic Frontier Foundation 共享您的电子邮件地址,该基金会是倡导数字权利的非营利组织,也是 Certbot 的制造商。 随意输入 Y 分享您的电子邮件地址或输入 N 拒绝。
完成此操作后,certbot 将与 Let's Encrypt 服务器通信,然后运行质询以验证您是否控制了要为其请求证书的域。
如果成功,配置将自动更新,Apache 将重新加载以获取新设置。 certbot 将以一条消息结束,告诉您该过程已成功以及您的证书存储在哪里:
Output. . . IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/your_domain/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/your_domain/privkey.pem Your cert will expire on 2021-01-20. To obtain a new or tweaked version of this certificate in the future, simply run certbot again with the "certonly" option. To non-interactively renew *all* of your certificates, run "certbot renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
您的证书已下载、安装和加载。 尝试使用 https:// 重新加载您的网站,并注意浏览器的安全指示器。 它应该表明该站点已得到适当保护,通常带有绿色锁图标。 如果您使用 SSL Labs Server Test 测试您的服务器,它将获得 A 等级。
让我们通过测试更新过程来结束。
第 5 步 — 验证 Certbot 自动续订
Let's Encrypt 证书的有效期只有九十天。 这是为了鼓励用户自动化他们的证书更新过程。 我们安装的 certbot 包通过向 /etc/cron.d 添加更新脚本来为我们解决这个问题。 此脚本每天运行两次,并将自动更新到期后三十天内的任何证书。
要测试更新过程,您可以使用 certbot 进行试运行:
sudo certbot renew --dry-run
如果您没有看到任何错误,则说明一切就绪。 必要时,Certbot 将更新您的证书并重新加载 Apache 以获取更改。 如果自动续订过程失败,Let's Encrypt 将向您指定的电子邮件发送一条消息,在您的证书即将到期时警告您。
结论
在本教程中,您安装了 Let's Encrypt 客户端 certbot,为您的域下载 SSL 证书,配置 Apache 以使用这些证书,并设置自动证书更新。 如果您对使用 Certbot 有其他疑问, 他们的文档 是一个很好的起点。
