Làm thế nào để cài đặt Let’s Encrypt SSL Trên Web Server chạy CentOS 7

Giới thiệu

Trong bài hướng dẫn này, bạn sẽ học quy trình cài đặt TLS/SSL ceritificate trên web server Apache. Khi bạn đã hoàn tất, tất cả kết nối dữ liệu từ server và client sẽ được mã hóa. Đây là một tiêu chuẩn an toàn của website thương mại điện tử và tài chính trực tuyến. Let’s Encrypt đi đầu trong việc triển khai SSL miễn phí và được dùng như một nhà cung cấp chứng chỉ trong trường hợp này.

Bạn cần gì?

Trước khi bắt đầu, bạn cần chuẩn bị:

• Quyền truy cập SSH tới CentOS 7 VPS
• Web server Apache có domain và vhost cấu hình đúng

Bước 1 — Cài đặt modules cần thiết

Để cài đặt certbot bạn sẽ phải cài EPEL repository vì nó không được cài mặc định, mod_ssl cũng cần thiết cho việc mã hóa để được nhận dạng trên Apache.

Để cài đặt cả 2 thành phần này, chạy lệnh sau:

yum install epel-release mod_ssl

Bây giờ bạn đã có thể tiếp tục và cài certbot.

Bước 2 — Tải client Let’s Encrypt client

Tiếp theo, bạn sẽ cài client certbot từ EPEL repository:

yum install python-certbot-apache

certbot sẽ được cài và sẳn sàng để dùng thực sự.

Bước 3 — Cài đặt SSL certificate

Certbot sẽ quản lý SSL certificate dễ dàng, nó sẽ tạo certificate mới cho domain như một tham số.

Trong trường hợp, example.com sẽ được dùng như là tên miền mà certificate sẽ được cấp:

certbot --apache -d example.com

Nếu bạn muốn tạo SSL cho nhiều domain hoặc subdomains, chạy lệnh sau:

certbot --apache -d example.com -d www.example.com

QUAN TRỌNG! Tên miền đầu tiên sẽ là tên miền nền của bạn, trong trường hợp này là example.com

Khi cài đặt certificate bạn sẽ được cấp một hướng dẫn từng bước để bạn dễ dàng chỉnh sửa chi tiết của certificate. Bạn cũng được chọn giữa việc buộc chạy HTTPS hoặc để HTTP như một giao thức mặc định, cũng cấp email address cho vấn đề bảo mật.

Khi cài đặt hoàn tất, bạn sẽ nhận được thư tương tự:

IMPORTANT NOTES:
 - If you lose your account credentials, you can recover through
   e-mails sent to [email protected].
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/example.com/fullchain.pem. Your cert
   will expire on 2016-04-21. To obtain a new version of the
   certificate in the future, simply run Let's Encrypt again.
 - Your account credentials have been saved in your Let's Encrypt
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Let's
   Encrypt so making regular backups of this folder is ideal.
 - If you like Let's Encrypt, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Bước 4 — Cài đặt tự động gia hạn cho certificate

Let’s Encrypt certificate có hạn dùng là 90 ngày, nhưng mỗi nhà phát triển web đều khuyên bạn nên gia hạn trong 60 ngày để tránh bất kỳ lỗi nào. Để làm việc này, certbot sẽ giúp bạn với lệnh renew của nó. Nó sẽ kiểm tra certificate xem có ít hơn 30 ngày từ khi hết hạn không.

Hãy chạy lệnh sau để làm việc này:

certbot renew

Nếu certificated vừa được cài, certbot sẽ chỉ kiểm tra ngày hết hạn:

Processing /etc/letsencrypt/renewal/example.com.conf

The following certs are not due for renewal yet:
  /etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

Để tự động gia hạn, bạn cần cài đặt cronjob. Trước tiên mở crobtab:

crontab -e

Job này sẽ chạy vào mỗi tối thứ Hai:

0 0 * * 1 /usr/bin/certbot renew >> /var/log/sslrenew.log

Kết quả của script sẽ được lưu vào trong file /var/log/sslrenew.log.

Kết luận

Bạn vừa bảo mật web server Apache bằng cách thiết lập giải pháp bảo mật được dùng nhiều nhất – SSL certificate miễn phí từ Let’s Encrypt SSL! Từ bây giờ tất cả traffic giữa server và client sẽ được mã hóa, bạn có thể chắc rằng không ai có thể can thiệp vào giao thức liên lạc và điều chỉnh hoặc đánh cắp thông tin quan trọng của bạn.