Come passare il proprio server web a SSL con Encrypt (certificato SSL gratuito) su Ubuntu Server 14.04
Questo tutorial vi mostrerà come impostare un certificato TLS / SSL da Let's Encrypt su un server Ubuntu 14.04 che esegue Apache come server web.
I certificati SSL vengono utilizzati all'interno di server web per crittografare il traffico tra il server e il client, garantendo maggiore sicurezza per gli utenti che accedono all'applicazione. Let's Encrypt fornisce un modo semplice per ottenere e installare i certificati attendibili gratuitamente.
Prerequisiti necessari:
Un server Ubuntu 14.04 con un utente sudo non radice
Il server Web Apache installato con uno o più nomi di dominio configurati correttamente
Quando sei pronto per passare, accedi al tuo server utilizzando il tuo account sudo-enabled.
Fase 1 - Scarica il client di crittografia Let's
Il primo passo per l'utilizzo di Let's Encrypt per ottenere un certificato SSL è quello di installare il software certbot sul server. Gli sviluppatori di Certbot mantengono il proprio repository software Ubuntu con versioni aggiornate del software. Poiché Certbot è in un tale sviluppo attivo, vale la pena utilizzare questo repository per installare un Certbot più recente rispetto a quello fornito da Ubuntu.
Innanzitutto, aggiungere il repository:
sudo add-apt-repository ppa:certbot/certbot
Devi premere ENTER per accettare. Successivamente, aggiorna l'elenco dei pacchetti per raccogliere le informazioni sui pacchetti del nuovo repository:
sudo apt-get update
Infine, installi Certbot dal nuovo repository con apt-get:
sudo apt-get install python-certbot-apache
Il certbot Let's Encrypt client è ora pronto per l'uso.
Fase 2 - Configurare il certificato SSL
Generare il certificato SSL per Apache utilizzando il certbot Let's Encrypt client è piuttosto semplice. Il client riceverà automaticamente un nuovo certificato SSL valido per i domini forniti come parametri.
Per eseguire l'installazione interattiva e ottenere un certificato che copre solo un singolo dominio, eseguire il comando certbot con:
sudo certbot --apache -d example.com
Se si desidera installare un unico certificato valido per più domini o sottodomini, è possibile passarli come parametri aggiuntivi al comando. Il primo nome di dominio nell'elenco dei parametri sarà il dominio di base utilizzato da Let's Encrypt per creare il certificato e per questo motivo si consiglia di passare il nome di dominio nudo a livello superiore come primo nell'elenco, seguito da eventuali sottodomini aggiuntivi o alias:
sudo certbot --apache -d example.com -d www.example.com
Per questo esempio, il dominio di base sarà example.com.
Verrà richiesto di fornire un indirizzo di posta elettronica per il recupero e le notifiche persi e sarai necessario accettare i criteri di servizio di Crittografia. Sarà quindi richiesto di scegliere tra abilitare l'accesso http e https o forzare tutte le richieste per reindirizzare a https.
Quando l'installazione è terminata, è necessario trovare i file del certificato generati in / etc / letsencrypt / live. È possibile verificare lo stato del certificato SSL con il seguente collegamento (non dimenticare di sostituire example.com con il dominio di base):
https://www.ssllabs.com/ssltest/analyze ... com&latest
Dovresti ora accedere al tuo sito web utilizzando un prefisso https.
Passo 3 - Verifica del rinnovo automatico di Certbot
Let's Encrypt i certificati durano solo 90 giorni. Tuttavia, il pacchetto certbot installato si occupa di questo per noi, eseguendo certbot rinnovare due volte al giorno tramite un timer systemd. Su distribuzioni non systemd questa funzionalità viene fornita da uno script cron collocato in /etc/cron.d. L'attività viene eseguita due volte al giorno e rinnova qualsiasi certificato entro trenta giorni dalla scadenza.
Per verificare il processo di rinnovo, è possibile eseguire un funzionamento a secco con certbot:
sudo certbot renew --dry-run
Se non si vedono errori, tutti sono impostati. Se necessario, Certbot rinnoverà i certificati e ricarica Apache per prendere le modifiche. Se il processo di rinnovo automatico non riesce mai, Let's Encrypt invierà un messaggio all'email che hai specificato, avvertendoti quando il certificato sta per scadere.
per rinnovare manualmente tutti i certificati: sudo certbot -q renew
------------------------------
verificare in /etc/apache2/sites available il file defalut-ssl.conf
<VirtualHost *:443>
...
SSLEngine ON
SSLCertificateFile /etc/letsencrypt/live/EXAMPLE.COM/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/EXAMPLE.COM/privkey.pem
</VirtualHost>
https://www.digitalocean.com/community/ ... untu-14-04