Как обезопасить Apache с Let's Encrypt на CentOS Stream

Пошаговая инструкция, как обезопасить web-сервер Apache, используя Let’s Encrypt.

Что такое Let’s Encrypt и как он повышает безопасность?

Let’s Encrypt выдает сертификаты SSL/TLS. Это позволяет значительно повысить безопасность, так, как трафик шифруется HTTPS (защита от потери логина, пароля и других секретных данных, что особенно актуально при подключении к открытым общедоступным сетям).

Чтобы обезопасить Apache с использованием инструментов Let’s Encrypt, необходимо предварительно:

• подключить CentOS Stream и установить Apache;
• запустить на Apache виртуальный хост, к которому будет подключаться domen;
• настроить на сервере брандмаэур;
• открыть порты для работы с http и https (это 80 и 443 соответственно).

Все команды выполняются от имени пользователя, который имеет права sudo, но не является рутом.

Пошаговая инструкция, как обезопасить Apache с Let's Encrypt

1. Установить Certbot для того, чтобы автоматизировать все вопросы получения от удостоверяющего центра сертификатов безопасности и / или их продления. Для установки нам нужны снап-пакеты, так что ставим snapd. Команда – $ sudo dnf install snapd.

2. Запускаем службу snapd, которая будет работать со снап-пакетами. Чтобы в будущем экономить время, добавляем службу в автозагрузку.

3. Перезагружаем сервер и смотрим, чтобы все пакеты работали корректно. Если с ними порядок, устанавливаем модуль для Apache командой

$ sudo dnf install mod_ssl

4. Устанавливаем Certbot с использованием команды

$ sudo snap install --classic certbot.

Для запуска делаем симлинк

$ sudo ln -s /snap/bin/certbot /usr/bin/certbot

5. Создаем сертификат на CentOS Stream при помощи Цертбота. Система просит ответить на вопросы и вписать адрес электронной почты. Когда сделали это, укажите domen, для которого требуется создание cerbot. Это делается при помощи команды

$ sudo certbot --apache

Инструкция завершена. Ничего сложного. Теперь вы знаете, как правильно обезопасить Apache с Let's Encrypt.