月曆

五月 2018
« 四月    
 12345
6789101112
13141516171819
20212223242526
2728293031  

分類

 
 
Your IP: 54.196.86.89

Let's Encrypt

Google 宣布自2017年1月起,Chrome使用者瀏覽到HTTP網站時,網址列將出現「不安全」的警告標示,提醒用戶資料可能因此遭竊。此外,Google 同時提高採用 HTTPS 協定的網站搜尋排名。因此,為網站加密使用 HTTPS 協定將短期內快速成長,也意味著HTTP終將消失。

要使用 HTTPS 加密協定,就要找一家 CA 發憑證,這是要 NT$ 的。還好,由許多大公司以及各大非營利團體,為了推廣 HTTPS 贊助一家免費發佈 SSL certificate 的 Certiciate Authority:Let’s Encrypt

就來試一試吧:

現有一台剛裝好的 CentOS 7,就讓它的變成有綠色鎖頭的加密網站吧!

一、安裝需求套件:其中 epel-release 是要拿來安裝 certbot 的 yum  repositories#yum install httpd mod_ssl openssl epel-release
二、啟動網頁伺服器:並先產生一個網頁檔,以確認服務正常。
 #systemctl start httpd
 #echo "<h1>HELLO</h1>" > /var/www/html/index.html
三、開防火牆:
 #firewall-cmd --zone=public --add-port=80/tcp --add-port=443/tcp --permanent
 可用 #firewall-cmd --list-all 確認防火牆是否開啟 (使用 #iptables -L -n 也行)
 

四、測試網頁服務正常:
(1)直接先用 IP 連線看 http 服務是否正常

(2)用 IP 連線看 https 服務是否正常:連線正常,但憑證是不安全的,先把它新增到到外網站去。

(3)可以看到,憑網站正常,但憑證是自已簽發的。

五、設定 DNS:
就看自己的 DNS 服務是那邊提供的,設定 2 組 (用 2 組是因為要測試 SAN, Subject Alternative Name,不同 FQDN 用一個憑證即可,如果只需要 1 個 FQDN 的憑證,那就只設 1 組即可),設好要能夠解析,而且是 Let’s Encrypt 要能查得到才行,可用 8.8.8.8 來測試 DNS 有效性。我設了 2 組測試網址:weba.test.ntpc.edu.tw 及 webb.test.ntpc.edu.tw:

設定好 FQDN,可以再用瀏覽器連看看:



六、安裝 CertBOT:會連 python 相關套件一併安裝
 #yum install python-certbot-apache
 安裝完成,查一下:
 #ls -al /usr/bin/*cert*
 

七、測試簽署憑證:使用 –staging 選項做測試,其中 webroot 是指直接在 webroot 裡建立檔案,讓 Let’s Encrypt 透過 ACME 機制驗證 FQDN 所有權。因為 Let’s Encrypt 的憑證簽署,在正式環境內有次數限制:「There is a Failed Validation limit of 5 failures per account, per hostname, per hour.」每小時 5 次,所以先在 staging environment 做測試,至少每小時可失敗 60 次,讓你有充裕的次數去除錯。

 #certbot --staging certonly --webroot -d weba.test.ntpc.edu.tw -d webb.test.ntpc.edu.tw
 輸入連絡人email、同意服務條款、並決定是否同意收Email:
 

輸入 webroot 的路徑,預設在 /var/www/html,因為第 2 個 FQDN 放在同一個地方,所以就選 2,如果有不同虛擬網站,這邊一定要輸入正確的路徑。

成功!可以改用正式環境來簽署了!

八、正式簽署憑證:
 #certbot certonly --webroot -d weba.test.ntpc.edu.tw -d webb.test.ntpc.edu.tw
 更新成正式憑證,也有次數限制喔。
 

程序一樣,成功!記住憑證檔及私鑰路徑。

九、更新 httpd.conf 及 ssl.conf 
 #vi /etc/httpd/conf.d/ssl.conf
 在 SSLCertificateFile 後面改成憑證檔路徑、在 SSLCertificateKeyFile 後面改成私鑰路徑
 

#vi /etc/httpd/conf.d/ssl.conf
在設定檔補上 RewirteEngine,會自動將 http 連線改寫成 https:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{SERVER_NAME}/$1 [R,L]

十、重啟網頁伺服器、確認憑證:
 #systemctl reload httpd

用瀏覽器確認憑證的有效性,不管是輸入 http://FQDN 或 https://FQDN,最後都會重導成 https://FQDN,綠色鎖頭出來了,YA:

憑證有效期只有 3 個月,所以要記得更新憑證:

十一、啟動自動更新憑證:
 更新憑證的指令選項是: #certbot renew
 利用 crond 排程執行,編輯 crontab,下列例子是每個月 5 號的中午 12:55 會執行 #certbot renew 指令
 #vi /etc/crontab
 
存檔後重載 crond 設定檔:
 #systemctl reload crond
可使用 #cat /var/log/cron 看是否執行
 

十二、大功告成!!

 

 

 

迴響功能已關閉!