Спрощення налаштування SSL з Let’s Encrypt на Ubuntu Server
Налаштування SSL-сертифікатів у Linux традиційно вважається складним завданням, що часто відлякує багатьох від впровадження HTTPS на своїх веб-ресурсах. На щастя, служба Let’s Encrypt змінює ситуацію, пропонуючи простий процес налаштування SSL, доступний для більшості користувачів. Зокрема, використання Let’s Encrypt разом з Apache на Ubuntu Server дозволяє без зайвих зусиль отримати та налаштувати сертифікати SSL.
Let’s Encrypt надає свої послуги абсолютно безкоштовно для користувачів Linux. Вам не доведеться платити за використання цієї служби. Єдиним нюансом є обмежений термін дії сертифікатів, які потрібно оновлювати кожні 90 днів.
Програмне забезпечення Let’s Encrypt сумісне з двома найпоширенішими веб-серверами на платформі Linux: Apache та Nginx. У цьому посібнику ми розглянемо, як отримати та налаштувати SSL-сертифікат Let’s Encrypt для використання з Apache на сервері Ubuntu.
Зверніть увагу: Let’s Encrypt підтримує всі операційні системи Linux. Якщо ви не використовуєте Ubuntu Server, перейдіть за цим посиланням, щоб дізнатися про налаштування на іншій серверній операційній системі.
Отримання Certbot
Let’s Encrypt значно спрощує процес отримання SSL-сертифіката завдяки інструменту Certbot. Він дозволяє швидко отримати сертифікат SSL для вашого сервера Ubuntu.
Certbot не є стандартною частиною Ubuntu Server. Для його використання потрібно додати сторонній репозиторій програмного забезпечення (PPA) та встановити його. Перш ніж додавати PPA, важливо пам’ятати, що не кожна версія Ubuntu Server має вбудовану підтримку PPA. Щоб отримати доступ до PPA, необхідно встановити пакет software-properties-common.
sudo apt install software-properties-common
Після встановлення software-properties-common, введіть команду нижче, щоб додати репозиторій Certbot до Ubuntu.
sudo add-apt-repository ppa:certbot/certbot
Після додавання репозиторію, оновіть джерела програмного забезпечення сервера Ubuntu за допомогою команди update, щоб Certbot став доступним.
sudo apt update
Після оновлення джерел, встановіть пакет Certbot за допомогою Apt.
sudo apt install python-certbot-apache
Активування HTTPS-трафіку
Let’s Encrypt дозволяє швидко налаштувати SSL-сертифікат у Linux, позбавляючи користувачів від необхідності виконувати все вручну. Однією з необхідних умов для використання цієї служби є увімкнення HTTPS-трафіку для Apache 2 на сервері.
Щоб активувати HTTPS-трафік на веб-сервері Apache, переконайтеся, що брандмауер Ubuntu запущено. Потім використовуйте наведені нижче команди UFW для дозволу трафіку HTTPS.
Примітка: Якщо брандмауер не працює, увімкніть його командою sudo ufw enable, а потім перезавантажтеся.
sudo ufw allow 'Apache Full'
Після успішного виконання команди UFW, HTTPS має бути активований. Перевірити стан брандмауера можна за допомогою команди ufw status.
sudo ufw status
Створення SSL-сертифіката
Після налаштування сервера Ubuntu для використання SSL та встановлення Certbot, можна скористатися програмою Certbot для створення нового SSL-сертифіката для веб-сервера Apache.
Для створення нового SSL-сертифіката, запустіть certbot з параметром apache. Пам’ятайте, що сертифікат буде працювати лише в тому випадку, якщо домен, вказаний у команді, відповідає файлу конфігурації вашого веб-сайту в /etc/apache2/sites-available/.
Примітка: Обов’язково замініть mywebsite.com та www.mywebsite.com у команді Certbot на доменне ім’я вашого сайту.
sudo certbot --apache -d mywebsite.com -d www.mywebsite.com
Після успішного виконання команди Certbot ви побачите текстовий запит з налаштуваннями Apache. Прочитайте підказку та виберіть варіант, який найкраще відповідає вашим потребам. Після завершення налаштування, ваш SSL-сертифікат буде готовий до роботи!
Оновлення SSL-сертифіката
Сертифікати SSL Let’s Encrypt діють лише 90 днів, тому їх потрібно регулярно оновлювати. На щастя, Certbot постачається з автоматичною задачею Cron, яка виконує це за вас.
Скрипт автоматичного оновлення Cron знаходиться в /etc/cron.d/ на вашому сервері. Ви можете переглянути його вміст за допомогою команди:
Оновлення вручну
Завдяки автоматичному скрипту оновлення, ваш сервер Apache завжди повинен мати дійсний SSL-сертифікат. Однак, іноді можуть виникати проблеми, тому важливо знати, як оновити сертифікат SSL вручну.
Для ручного оновлення сертифіката SSL на сервері Ubuntu, відкрийте вікно термінала, підключіться через SSH та виконайте наведені нижче дії.
Крок 1: Виконайте команду certbot renew з параметром --dry-run. Це дозволить вам перевірити процес оновлення та виявити можливі проблеми.
sudo certbot renew --dry-run
Крок 2: Якщо пробний запуск пройшов успішно, можна безпечно виконати команду оновлення Certbot без параметра --dry-run.
sudo certbot renew
Після успішного виконання команди, ваш SSL-сертифікат буде оновлено.