Asegure apache con cifremos en debian 9

Let's Encrypt es una autoridad de certificación creada por Internet Security Research Group (ISRG). Proporciona certificados SSL gratuitos a través de un proceso totalmente automatizado diseñado para eliminar la creación, validación, instalación y renovación de certificados manuales.

Los certificados emitidos por Let's Encrypt son válidos durante 90 días a partir de la fecha de emisión y son confiables por todos los principales navegadores de hoy.

Este tutorial lo guiará a través del proceso para obtener Let's Encrypt gratis usando la herramienta certbot en Debian 9. También le mostraremos cómo configurar Apache para usar el nuevo certificado SSL y habilitar HTTP / 2.

Prerrequisitos

Asegúrese de cumplir con los siguientes requisitos previos antes de continuar con este tutorial:

• Ingresó como usuario con privilegios de sudo. Tenga un nombre de dominio que apunte a la IP del servidor público de su servidor. Utilizaremos example.com Apache instalado. Un host virtual apache para su dominio. Puede seguir estas instrucciones para obtener detalles sobre cómo crear uno.

Instalar Certbot

Certbot es una herramienta completa y fácil de usar que puede automatizar las tareas para obtener y renovar certificados SSL de Let's Encrypt. El paquete certbot está incluido en los repositorios predeterminados de Debian.

Actualice la lista de paquetes e instale el paquete certbot usando los siguientes comandos:

sudo apt update sudo apt install certbot

Generar grupo fuerte Dh (Diffie-Hellman)

El intercambio de claves Diffie – Hellman (DH) es un método de intercambio seguro de claves criptográficas a través de un canal de comunicación no seguro.

Para generar un nuevo conjunto de parámetros DH de 2048 bits, ejecute:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048 Si lo desea, puede cambiar el tamaño hasta 4096 bits, pero en ese caso, la generación puede tomar más de 30 minutos dependiendo de la entropía del sistema.

Obtención de un certificado SSL Let's Let's Encrypt

Para obtener un certificado SSL para nuestro dominio, vamos a utilizar el complemento Webroot que funciona creando un archivo temporal para validar el dominio solicitado en el ${webroot-path}/.well-known/acme-challenge . El servidor Let's Encrypt realiza solicitudes HTTP al archivo temporal para validar que el dominio solicitado se resuelva en el servidor donde se ejecuta certbot.

Para hacerlo más simple, vamos a asignar todas las solicitudes HTTP para .well-known/acme-challenge a un solo directorio, /var/lib/letsencrypt .

Los siguientes comandos crean el directorio y lo hacen escribible para el servidor Apache.

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp www-data /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

Para evitar duplicar el código, cree los siguientes dos fragmentos de configuración:

/etc/apache2/conf-available/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS /etc/apache2/conf-available/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

El fragmento anterior está utilizando los chippers recomendados por Cipherli.st, habilita el grapado OCSP, la seguridad de transporte estricta HTTP (HSTS) y aplica pocos encabezados HTTP centrados en la seguridad.

Antes de habilitar los archivos de configuración, asegúrese de que tanto mod_ssl como mod_headers estén habilitados emitiendo:

sudo a2enmod ssl sudo a2enmod headers

Habilite el módulo HTTP / 2, que hará que sus sitios sean más rápidos y robustos:

sudo a2enmod

Habilite los archivos de configuración SSL ejecutando los siguientes comandos:

sudo a2enconf letsencrypt sudo a2enconf ssl-params

Vuelva a cargar la configuración de Apache para que los cambios surtan efecto:

sudo systemctl reload apache2

Use la herramienta Certbot con el complemento webroot para obtener los archivos de certificado SSL:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Si el certificado SSL se obtiene con éxito, certbot imprimirá el siguiente mensaje:

IMPORTANT NOTES: IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will expire on 2019-01-17. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you lose your account credentials, you can recover through e-mails sent to [email protected]. - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

Ahora que tiene los archivos de certificado, edite la configuración de host virtual de su dominio de la siguiente manera:

/etc/apache2/sites-available/example.com.conf

ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog ${APACHE_LOG_DIR}/example.com-error.log CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration

Con la configuración anterior, estamos forzando HTTPS y redirigiendo desde la versión www a la no www. Siéntase libre de ajustar la configuración según sus necesidades.

Vuelva a cargar el servicio Apache para que los cambios surtan efecto:

sudo systemctl reload apache2

Abra su sitio web usando https:// , y notará un ícono de candado verde.

Renovación automática del certificado SSL Let's Encrypt

Los certificados de Let's Encrypt son válidos por 90 días. Para renovar automáticamente los certificados antes de que caduquen, el paquete certbot crea un trabajo cron que se ejecuta dos veces al día y renovará automáticamente cualquier certificado 30 días antes de su vencimiento.

Una vez que se renueva el certificado, también tenemos que volver a cargar el servicio Apache. --renew-hook "systemctl reload apache2" al archivo /etc/cron.d/certbot para que --renew-hook "systemctl reload apache2" el siguiente aspecto:

/etc/cron.d/certbot

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload apache2"

Para probar el proceso de renovación, use el modificador --dry-run :

sudo certbot renew --dry-run

Si no hay errores, significa que el proceso de renovación fue exitoso.

Conclusión

En este tutorial, utilizó el certificado de cliente Let's Encrypt para obtener certificados SSL para su dominio. También ha creado fragmentos de Apache para evitar duplicar el código y ha configurado Apache para usar los certificados. Al final del tutorial, ha configurado un cronjob para la renovación automática de certificados.

apache debian cifremos certbot ssl

Esta publicación es parte de Cómo instalar LAMP Stack en la serie Debian 9.

Otras publicaciones en esta serie:

• Cómo instalar Apache en Debian 9 • Cómo instalar PHP en Debian 9 • Cómo configurar hosts virtuales Apache en Debian 9 • Cómo instalar MariaDB en Debian 9 • Apache seguro con Let's Encrypt en Debian 9