Asegure apache con cifremos en centos 8

Let's Encrypt es una autoridad de certificación gratuita, automatizada y abierta desarrollada por Internet Security Research Group (ISRG) que proporciona certificados SSL gratuitos.

Todos los principales navegadores confían en los certificados emitidos por Let's Encrypt y son válidos durante 90 días a partir de la fecha de emisión.

Este tutorial explica cómo instalar un certificado SSL Let's Encrypt gratuito en CentOS 8 con Apache como servidor web. Utilizaremos la herramienta certbot para obtener y renovar los certificados.

Prerrequisitos

Asegúrese de que se cumplen los siguientes requisitos previos antes de continuar:

• Tenga un nombre de dominio que apunte a la IP de su servidor público. Usaremos example.com Apache está instalado y ejecutándose en su servidor con un host virtual configurado para su dominio. Los puertos 80 y 443 están abiertos en su firewall.

Instale los siguientes paquetes necesarios para un servidor web cifrado SSL:

sudo dnf install mod_ssl openssl

Cuando se instala el paquete mod_ssl, debe crear una clave autofirmada y archivos de certificado para el host local. Si los archivos no se crean automáticamente, puede crearlos con el comando openssl :

sudo openssl req -newkey rsa:4096 -x509 -sha256 -days 3650 -nodes \ -out /etc/pki/tls/certs/localhost.crt \ -keyout /etc/pki/tls/private/localhost.key

Instalar Certbot

Certbot es una herramienta gratuita de línea de comandos que simplifica el proceso para obtener y renovar certificados Let's Encrypt SSL de HTTPS y habilitarlos automáticamente en su servidor.

El paquete certbot no está incluido en los repositorios estándar de CentOS 8, pero puede descargarse del sitio web del proveedor.

Ejecute el siguiente comando wget como usuario root o sudo para descargar el script certbot en el directorio /usr/local/bin :

sudo wget -P /usr/local/bin

Una vez que se complete la descarga, haga que el archivo sea ejecutable:

sudo chmod +x /usr/local/bin/certbot-auto

Generar grupo fuerte Dh (Diffie-Hellman)

El intercambio de claves Diffie – Hellman (DH) es un método de intercambio seguro de claves criptográficas a través de un canal de comunicación no seguro. Genere un nuevo conjunto de parámetros DH de 2048 bits para fortalecer la seguridad:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Puede cambiar el tamaño hasta 4096 bits, pero la generación puede demorar más de 30 minutos dependiendo de la entropía del sistema.

Obtención de un certificado SSL Let's Let's Encrypt

Para obtener un certificado SSL para el dominio, utilizaremos el complemento Webroot que funciona creando un archivo temporal para validar el dominio solicitado en el ${webroot-path}/.well-known/acme-challenge . El servidor Let's Encrypt realiza solicitudes HTTP al archivo temporal para validar que el dominio solicitado se resuelva en el servidor donde se ejecuta certbot.

Para simplificar la configuración, vamos a asignar todas las solicitudes HTTP para .well-known/acme-challenge a un solo directorio, /var/lib/letsencrypt .

Ejecute los siguientes comandos para crear el directorio y hacerlo escribible para el servidor Apache.

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp apache /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

Para evitar duplicar el código y hacer que la configuración sea más fácil de mantener, cree los siguientes dos fragmentos de configuración:

/etc/httpd/conf.d/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS /etc/httpd/conf.d/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM # Requires Apache 2.4.36 & OpenSSL 1.1.1 SSLProtocol -all +TLSv1.3 +TLSv1.2 SSLOpenSSLConfCmd Curves X25519:secp521r1:secp384r1:prime256v1 # Older versions # SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

El fragmento anterior está utilizando las astilladoras recomendadas por Cipherli.st. Habilita el engrapado OCSP, la seguridad de transporte estricta HTTP (HSTS), la clave Dh y aplica pocos encabezados HTTP centrados en la seguridad.

Vuelva a cargar la configuración de Apache para que los cambios surtan efecto:

sudo systemctl reload

Ahora, puede ejecutar el script certbot con el complemento webroot y obtener los archivos de certificado SSL:

sudo /usr/local/bin/certbot-auto certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

En caso de éxito, certbot imprimirá el siguiente mensaje:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2020-01-26. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

Ahora que todo está configurado, edite la configuración de host virtual de su dominio de la siguiente manera:

/etc/httpd/conf.d/example.com.conf

ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration

La configuración anterior está forzando HTTPS y redirigiendo desde la versión www a la no www. También habilita HTTP / 2, lo que hará que sus sitios sean más rápidos y robustos. Siéntase libre de ajustar la configuración según sus necesidades.

Reinicie el servicio Apache:

sudo systemctl restart

Ahora puede abrir su sitio web usando https:// , y notará un ícono de candado verde.

Renovación automática del certificado SSL Let's Encrypt

Los certificados de Let's Encrypt son válidos por 90 días. Para renovar automáticamente los certificados antes de que caduquen, crearemos un cronjob que se ejecutará dos veces al día y renovaremos automáticamente cualquier certificado 30 días antes de su vencimiento.

Ejecute el siguiente comando para crear un nuevo cronjob que renovará el certificado y reiniciará Apache:

echo "0 0, 12 * * * root python3 -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/bin/certbot-auto -q renew --renew-hook \"systemctl reload httpd\"" | sudo tee -a /etc/crontab > /dev/null

Para probar el proceso de renovación, use el comando certbot seguido del interruptor --dry-run :

sudo /usr/local/bin/certbot-auto renew --dry-run

Si no hay errores, significa que el proceso de renovación fue exitoso.

Conclusión

En este tutorial, hablamos sobre cómo usar el certbot de cliente Let's Encrypt en CentOS para obtener certificados SSL para sus dominios. También le ha mostrado cómo configurar Apache para usar los certificados y configurar un cronjob para la renovación automática de certificados.

Para obtener más información sobre el script Certbot, visite la documentación de Certbot.

apache centos vamos a encriptar certbot ssl