Assegureu Apache amb el certificat Let's Encrypt a Rocky Linux

A la nostra guia anterior, us vam explicar la configuració dels amfitrions virtuals d'Apache en cas que necessiteu allotjar diversos llocs web en un sol servidor.

Però no acaba aquí. La seguretat del lloc web és ara una de les principals preocupacions de la majoria d'organitzacions i usuaris per igual davant les creixents amenaces cibernètiques. Hi ha diverses maneres de protegir el vostre lloc web. Una de les principals maneres d'implementar una protecció bàsica contra els pirates informàtics és xifrar el vostre lloc mitjançant un certificat SSL/TLS.

Un certificat SSL/TLS és un certificat criptogràfic que autentica la identitat del vostre lloc web i xifra les dades intercanviades entre el navegador d'un usuari i un servidor web.

En efecte, el vostre lloc passa d'utilitzar el protocol HTTP que envia dades en text sense format a HTTPS (HTTP Secure) que xifra les dades. Sense xifratge, els pirates informàtics poden obtenir fàcilment informació confidencial, com ara noms d'usuari i contrasenyes, escoltant les dades intercanviades entre el servidor web i el navegador.

Fa un temps, Google es va preocupar d'alertar els usuaris que visitaven llocs no xifrats col·locant una etiqueta No segur a la barra d'URL. Això és per voler que els usuaris tinguin el risc que implica mentre naveguen pel lloc.

Si sou propietari d'un lloc web, sens dubte no voldríeu posar els vostres clients i visitants del lloc web en risc que la seva informació personal estigui exposada als pirates informàtics. És per aquest motiu que instal·lar un certificat SSL al vostre servidor web és un pas fonamental per assegurar el vostre lloc.

En aquesta guia, us mostrarem com protegir un servidor web Apache a Rocky Linux 8 mitjançant Lets Encrypt SSL Certificate.

Perquè això funcioni, cal que el vostre domini apunti a l'adreça IP pública del vostre lloc web. Per tant, heu de dirigir-vos al vostre amfitrió web i assegurar-vos que el nom de domini apunta a la IP del vostre servidor web.

Aquí, tenim el domini tecmint.info apuntat a l'adreça IP pública del nostre servidor virtual.

Pas 1: instal·leu EPEL Repo a Rocky Linux

Comencem instal·lant paquets de requisits previs que seran beneficiosos al llarg del camí. Instal·larem el repositori EPEL i el paquet mod_ssl, que és un mòdul de seguretat per al servidor HTTP Apache que proporciona una criptografia forta aprofitant els protocols SSL/TLS mitjançant OpenSSL.

$ sudo dnf install epel-release mod_ssl

Pas 2: instal·leu Certbot a Rocky Linux

Ara instal·lem Certbot: és un client que obté el certificat SSL de l'autoritat Let's Encrypt i automatitza la seva instal·lació i configuració. Això elimina el dolor i l'enrenou de realitzar tot el procés manualment.

$ sudo dnf install certbot python3-certbot-apache 

Certbot ara està completament instal·lat i ben configurat.

Pas 3: instal·lar un certificat SSL per a Apache a Rocky Linux

L'últim pas és recuperar i instal·lar el certificat SSL de Let's Encrypt. Per aconseguir-ho, executeu l'ordre:

$ sudo certbot --apache

Això activa una sèrie d'indicacions. En primer lloc, se us demanarà que proporcioneu la vostra adreça de correu electrònic. A continuació, reviseu les Condicions del servei a l'URL proporcionat i premeu Y per acceptar-les i premeu ENTER.

A continuació, se us demanarà si esteu disposat a compartir la vostra adreça de correu electrònic amb EFF (Electronic Frontier Foundation), que és el soci fundador de Let's Encrypt.

Si compartiu la vostra adreça de correu electrònic, us subscriureu a notícies, campanyes i altres actualitzacions sobre l'organització. Si us sentiu còmode proporcionant la vostra adreça de correu electrònic, premeu Y, en cas contrari, premeu N i premeu INTRO.

La següent sol·licitud proporcionarà una llista de dominis basada en la configuració del vostre servidor web i us demanarà quin preferiu habilitar HTTPS. Podeu triar 1 o 2. Però per uniformitat, simplement premeu ENTER per habilitar HTTPS a tots els dominis.

Certbot finalitzarà la instal·lació i configuració de Let's Encrypt i desarà les claus de seguretat al camí /etc/letsencrypt/live/yourdomain/.

Si tot ha anat segons el previst, es mostrarà la sortida.

Pas 4: Renovació automàtica del certificat SSL per a Apache a Rocky Linux

Certbot proporciona un script per renovar el certificat només uns dies abans del seu venciment. Podeu realitzar una execució en sec per provar l'script tal com es mostra.

$ sudo certbot renew --dry-run

Ara, per automatitzar la renovació del certificat mitjançant l'script, editeu el crontab.

$ crontab -e

Especifiqueu el treball cron que es mostra i deseu els canvis.

0 * * * * /usr/sbin/certbot-auto renew

Pas 4: verifiqueu el certificat SSL d'Apache a Rocky Linux

Per confirmar que el vostre lloc està xifrat, només cal que aneu al vostre navegador i torneu a carregar el vostre lloc web. Aquesta vegada, hauríeu de veure una icona de cadenat just abans de l'URL del lloc web.

Per obtenir més detalls, feu clic a la icona i feu clic a l'opció Certificat del menú que apareix.

Això omple tots els detalls del certificat tal com es proporciona.

Podeu provar la força del vostre certificat dirigint-vos a la prova SSL Labs. Proporcioneu l'URL o el nom de domini del lloc web i premeu ENTER.

Hauríeu d'obtenir una puntuació A tal com s'indica aquí.

Si heu arribat fins aquí, hauríeu d'estar en condicions de xifrar el vostre servidor web Apache mitjançant el certificat SSL Let's Encrypt aprofitant el client Certbot d'EFF.