Как обезопасить Apache с Let's Encrypt на CentOS Stream

Пошаговая инструкция, как обезопасить web-сервер Apache (Апач), используя Let’s Encrypt.

Что такое Let’s Encrypt и как он повышает безопасность?

Летс Инскрипт выдает сертификаты SSL/TLS. Это позволяет значительно повысить безопасность, т.к. трафик шифруется HTTPS (защита от потери логина, пароля и других секретных данных, что особенно актуально при подключении к открытым общедоступным сетям).

Чтобы обезопасить Апач с использованием инструментов Let’s Encrypt, необходимо предварительно:

подключить CentOS Stream и установить Апатч;

запустить на Апаче вирт. хост, к которому будет подключаться domen;

настроить на сервере брандмаэур;

открыть порты для работы с http и https (это 80 и 443 соответственно).

Все команды выполняются от имени юзера, который имеет права sudo, но не является рутом.

Пошаговая инструкция, как обезопасить Апач с Let's Encrypt

1. Установить Certbot для того, чтобы автоматизировать все вопросы получения от удостоверяющего центра сертификатов безопасности и / или их продления. Для инсталла нам нужны снап-пакеты, так что ставим snapd. Команда – $ sudo dnf install snapd.

2. Запускаем службу snapd, которая будет работать со снап-пакетами. Чтобы в будущем экономить время, добавляем службу в автозагрузку.

3. Перезагружаем сервер и смотрим, чтобы все пакеты работали корректно. Если с ними порядок, устанавливаем модуль для Апача командой $ sudo dnf install mod_ssl.

4. Устанавливаем Certbot с использованием команды $ sudo snap install --classic certbot. Для запуска делаем симлинк $ sudo ln -s /snap/bin/certbot /usr/bin/certbot.

5. Создаем сертификат на CentOS Stream при помощи Цертбота. Система просит ответить на вопросы и вписать адрес электронной почты. Когда сделали это, укажите domen, для которого требуется создание СБ. Это делается при помощи команды $ sudo certbot --apache.

Инструкция завершена. Ничего сложного. Теперь вы знаете, как правильно обезопасить Апач с Let's Encrypt.