如何使用Ubuntu 16.04上的Let's Encrypt保护Apache

介绍

本教程将向您展示如何在运行Apache作为Web服务器的Ubuntu 16.04服务器上设置Let's Encrypt的TLS / SSL证书。

Web服务器中使用SSL证书来加密服务器和客户端之间的流量，为访问应用程序的用户提供额外的安全性。让我们的加密提供了一种免费获取和安装可信证书的简便方法。

先决条件

要完成本指南，您需要：

• 具有非root sudo权限的用户的Ubuntu 16.04服务器，没有服务器的同学可以在这里购买，不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验，学会安装后再购买服务器。
• Apache Web服务器安装有一个或多个通过虚拟主机指定ServerName来正确配置的域名，如果你有域名，保护你网站的最简单方法是使用腾讯云SSL证书服务，它提供免费的可信证书。腾讯云SSL证书安装操作指南进行设置。如果你没有域名，建议您先去这里注册一个域名，如果你只是使用此配置进行测试或个人使用，则可以使用自签名证书，不需要购买域名。自签名证书提供了相同类型的加密，但没有域名验证公告。关于自签名证书，你可以参考为Apache创建自签名SSL证书和如何为Nginx创建自签名SSL证书这两篇文章。

当您准备好继续前进时，请使用启用了sudo的帐户登录您的服务器。

第1步 - 安装 Let's Encrypt的客户端

让我们通过服务器上运行的客户端软件获取加密证书。官方客户端称为Certbot，其开发人员使用最新版本维护自己的Ubuntu软件存储库。因为Certbot处于这样的主动开发中，所以默认使用此存储库来安装比Ubuntu提供的更新的版本是值得的。

首先，添加存储库：

sudo add-apt-repository ppa:certbot/certbot

你需要按下ENTER接受。然后，更新包列表以获取新存储库的包信息：

sudo apt-get update

最后，使用apt-get从新存储库安装Certbot ：

sudo apt-get install python-certbot-apache

该certbotLet's Encrypt客户端就可以使用了。

第2步 - 设置SSL证书

使用Certbot为Apache生成SSL证书非常简单。客户端将自动获取并安装新的SSL证书，该证书对作为参数提供的域有效。

要执行交互式安装并获取仅涵盖单个域的证书，请运行如下certbot命令，其中example.com是您的域：

sudo certbot --apache -d example.com

如果要安装对多个域或子域有效的单个证书，可以将它们作为附加参数传递给该命令。参数列表中的第一个域名将是Let's Encrypt用于创建证书的基本域，因此我们建议您将裸顶级域名作为列表中的第一个，然后是任何其他子域名或别名：

sudo certbot --apache -d example.com -d www.example.com

对于此示例，基本域将是example.com。

如果您有多个虚拟主机，则应为每个虚拟主机运行certbot一次，为每个虚拟主机生成新证书。您可以以任何方式跨虚拟主机分发多个域和子域。

安装依赖项后，将向您提供自定义证书选项的分步指南。系统会要求您提供丢失密钥恢复和通知的电子邮件地址，您可以选择启用http和https访问，还是强制所有重定向请求https。除非您特别需要未加密的http流量，否则通常来说请求https最安全。

安装完成后，您应该能够在/etc/letsencrypt/live中找到生成的证书文件。您可以使用以下链接验证SSL证书的状态（不要忘记将example.com替换为您的基本域）：

https://www.ssllabs.com/ssltest/analyze.html?d=example.com&latest

您现在应该可以使用https前缀访问您的网站。

第3步 - 验证Certbot自动续订

Let’s Encrypt的证书只能持续90天。但是，我们安装的certbot软件包通过运行certbot renew并且使用systemd计时器每天运行两次来为我们解决这个问题。在非系统发行版上，此功能由放置在/etc/cron.d其中的cron脚本提供。该任务每天运行两次，并将续订任何在到期后30天内的证书。

要测试更新过程，您可以执行用certbot来以下操作：

sudo certbot renew --dry-run

如果您没有看到任何错误，那么您已经完成了设置。必要时，Certbot将续订您的证书并重新加载Apache以获取更改。如果自动续订过程失败，我们的加密将向您指定的电子邮件发送一条消息，并在您的证书即将过期时发出警告。

结论

在本指南中，我们了解了如何从Let's Encrypt安装免费的SSL证书，以保护使用Apache托管的网站。我们建议您不时查看官方Let's Encrypt博客以获取重要更新，并阅读Certbot文档以获取有关Certbot客户端的更多详细信息。

更多Ubuntu教程请前往腾讯云+社区学习更多知识。

参考文献：《How To Secure Apache with Let's Encrypt on Ubuntu 16.04》