چلو کے ساتھ اپاچی کو محفوظ کریں سینٹوس 7 پر انکرپٹ کریں

چلو انکرپٹ ایک آزاد ، خودکار اور اوپن سرٹیفکیٹ اتھارٹی ہے جو انٹرنیٹ سیکیورٹی ریسرچ گروپ (ISRG) کے ذریعہ تیار کیا گیا ہے۔ چلو انکرپٹ کے ذریعہ جاری کردہ سرٹیفکیٹ جاری ہونے کی تاریخ سے 90 دن کے لئے درست ہیں اور آج تمام بڑے براؤزرز پر ان پر اعتماد کیا جاتا ہے۔

اس ٹیوٹوریل میں ، ہم سینٹوس 7 سرور پر اپاچی کو بطور سرور سرور چلانے والے مفت چلو انکرپٹ ایس ایس ایل سرٹیفکیٹ انسٹال کرنے کے لئے ضروری مراحل کا احاطہ کریں گے۔ ہم لیس انکرپٹ سرٹیفکیٹ حاصل کرنے اور اس کی تجدید کیلئے سرٹبوٹ یوٹیلیٹی کا استعمال کریں گے۔

شرطیں

اس بات کو یقینی بنائیں کہ اس ٹیوٹوریل کو جاری رکھنے سے پہلے آپ نے درج ذیل شرائط کو پورا کرلیا ہے۔

• اپنے عوامی سرور IP کی طرف اشارہ کرنے والا ایک ڈومین نام رکھیں۔ ہم example.com ڈاٹ کام کا استعمال کریں گے ۔آپچے انسٹال اور آپ کے سرور پر چل رہے ہیں۔ آپ کے ڈومین کیلئے اپاچی ورچوئل ہوسٹ ہے۔ 80 اور 443 بندرگاہیں آپ کے فائر وال میں کھلی ہیں۔

درج ذیل پیکیجز انسٹال کریں جو ایک SSL خفیہ کردہ ویب سرور کے لئے درکار ہیں۔

yum install mod_ssl openssl

سرٹبوٹ انسٹال کریں

سیرٹبوٹ ایک ایسا آلہ ہے جو آئیے انکرپٹ سے SSL سرٹیفکیٹ حاصل کرنے اور آپ کے سرور پر HTTPS کو خودکار طور پر چالو کرنے کے عمل کو آسان بناتا ہے۔

ایپلیل سے انسٹالیشن کے لئے سیرٹبوٹ پیکیج قابل قبول ہے۔ اگر آپ کے سسٹم پر EPEL ذخیرہ انسٹال نہیں ہے تو ، آپ اسے مندرجہ ذیل کمانڈ کا استعمال کرکے انسٹال کرسکتے ہیں:

sudo yum install epel-release

ایک بار EPEL ذخیرہ چالو ہوجانے کے بعد ، سرٹبوٹ پیکیج کو ٹائپ کرکے انسٹال کریں:

sudo yum install certbot

مضبوط ڈی ایچ (ڈفی ہیلمین) گروپ تیار کریں

ڈیفی – ہیلمین کیچ ایکسچینج (ڈی ایچ) غیر محفوظ مواصلات چینل پر کرپٹوگرافک چابیاں کا محفوظ طریقے سے تبادلہ کرنے کا ایک طریقہ ہے۔ سیکیورٹی کو مستحکم کرنے کے لئے 2048 بٹ ڈی ایچ پیرامیٹرز کا ایک نیا سیٹ تیار کریں:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048 آپ سائز کو 4096 بٹس تک تبدیل کرسکتے ہیں ، لیکن اس صورت میں ، نسل انسٹروپی کے حساب سے 30 منٹ سے زیادہ وقت لے سکتی ہے۔

آئیے اینکرپٹ ایس ایس ایل سرٹیفکیٹ حاصل کرنا

ہمارے ڈومین کے لئے ایس ایس ایل سرٹیفکیٹ حاصل کرنے کے ل we're ، ہم ویبروٹ پلگ ان کا استعمال کرنے جارہے ہیں جو domain ${webroot-path}/.well-known/acme-challenge ڈائرکٹری میں مطلوبہ ڈومین کی توثیق کرنے کے لئے عارضی فائل تشکیل دے کر کام کرتا ہے۔ چلو انکرپٹ سرور عارضی فائل سے HTTP درخواستوں کی توثیق کرتا ہے تاکہ یہ تصدیق کی جاسکے کہ درخواست کردہ ڈومین سرور میں حل ہوجاتا ہے جہاں سرٹیٹ بوٹ چلتا ہے۔

اس کو مزید آسان بنانے کے /var/lib/letsencrypt . ہم ایک واحد ڈائرکٹری ، /var/lib/letsencrypt .well-known/acme-challenge لئے تمام HTTP درخواستوں کا نقشہ /var/lib/letsencrypt گے۔

ڈائریکٹری بنانے اور اپاچی سرور کے ل writ اسے قابل تحریر بنانے کے لئے درج ذیل کمانڈ کو چلائیں۔

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp apache /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

نقل کوڈ سے بچنے کے لئے مندرجہ ذیل دو تشکیلات کے ٹکڑوں کو تشکیل دیں۔

/etc/httpd/conf.d/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS /etc/httpd/conf.d/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off

مذکورہ بالا ٹکڑا Cipherli.st کی تجویز کردہ چیپروں کا استعمال کررہا ہے ، OCSP اسٹپلنگ ، HTTP سخت ٹرانسپورٹ سیکیورٹی (HSTS) کو قابل بناتا ہے اور حفاظتی مرکوز HTTP ہیڈر کو نافذ کرتا ہے۔

تبدیلیوں کے اثر انداز ہونے کے لئے اپاچی کی تشکیل کو دوبارہ لوڈ کریں:

sudo systemctl reload

اب ، ہم ویبروٹ پلگ ان کے ذریعہ سرٹ بوٹ ٹول چلا سکتے ہیں اور ٹائپ کرکے SSL سرٹیفکیٹ فائلیں حاصل کرسکتے ہیں۔

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

اگر ایس ایس ایل سرٹیفکیٹ کامیابی کے ساتھ حاصل کرلیا گیا ہے ، تو سرٹی بوٹ مندرجہ ذیل پیغام کو پرنٹ کرے گا۔

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-12-07. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

سینٹوس 7 بحری جہاز اپاچی ورژن 2.4.6 کے ساتھ ، جس میں SSLOpenSSLConfCmd ہدایت شامل نہیں ہے۔ یہ ہدایت صرف اپاچی 2.4.8 پر بعد میں دستیاب ہے ، اور اس کا استعمال اوپن ایس ایس ایل پیرامیٹرز جیسے ڈیفی f ہیلمین کیچ ایکسچینج (ڈی ایچ) کی تشکیل کے لئے کیا جاتا ہے۔

ہمیں لیٹس اینکرپٹ ایس ایس ایل سرٹیفکیٹ اور تیار کردہ ڈی ایچ فائل کا استعمال کرتے ہوئے ایک نئی مشترکہ فائل بنانی ہوگی۔ ایسا کرنے کے ل type ، ٹائپ کریں:

cat /etc/letsencrypt/live/example.com/cert.pem /etc/ssl/certs/dhparam.pem >/etc/letsencrypt/live/example.com/cert.dh.pem

اب چونکہ سب کچھ ترتیب دیا گیا ہے ، اپنی ڈومین کی ورچوئل ہوسٹ کنفیگریشن کو مندرجہ ذیل میں ترمیم کریں۔

/etc/httpd/conf.d/example.com.conf

ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem # Other Apache Configuration

مذکورہ بالا ترتیب کے ساتھ ، ہم ایچ ٹی ٹی پی ایس پر مجبور کر رہے ہیں اور www سے نان- www ورژن میں بھیج رہے ہیں۔ اپنی ضروریات کے مطابق ترتیب کو ایڈجسٹ کرنے کے لئے آزاد ہو.۔

تبدیلیوں کے اثر انداز ہونے کے لئے اپاچی سروس کو دوبارہ شروع کریں:

sudo systemctl restart

اب آپ اپنی ویب سائٹ https:// کا استعمال کرکے کھول سکتے ہیں اور آپ کو گرین لاک آئیکن نظر آئے گا۔

خودکار تجدید کرتے ہوئے آئی ایس کو اینکرپٹ ایس ایس ایل سرٹیفکیٹ دیں

آئیے اینکرپٹ کے سرٹیفکیٹ 90 دن کے لئے موزوں ہیں۔ سرٹیفکیٹ کی میعاد ختم ہونے سے پہلے خود بخود تجدید کرنے کے لئے ، ہم ایک ایسا کام بنائیں گے جو دن میں دو بار چلے گا اور کسی بھی سرٹیفکیٹ کی میعاد ختم ہونے سے 30 دن قبل خود بخود تجدید کرے گا۔

ایک نیا کرون کام بنانے کے لئے crontab کمانڈ چلائیں جو سرٹیفکیٹ کی تجدید کرے گا ، ایک نئی مشترکہ فائل بنائے گا جس میں ڈی ایچ کیجی اور اپاچی دوبارہ اسٹارٹ ہوں گے۔

sudo crontab -e

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload

فائل کو محفوظ کریں اور بند کریں۔

تجدید کاری کے عمل کی جانچ کرنے کے لئے ، آپ سرٹبوٹ کمانڈ استعمال کرسکتے ہیں جس کے بعد - ڈرائی --dry-run سوئچ ہوگا:

sudo certbot renew --dry-run

اگر کوئی غلطیاں نہیں ہیں تو ، اس کا مطلب ہے کہ تجدید کا عمل کامیاب رہا۔

نتیجہ اخذ کرنا

اس ٹیوٹوریل میں ، آپ نے اپنے ڈومین کے لئے ایس ایس ایل سرٹیفکیٹ ڈاؤن لوڈ کرنے کے لئے لیٹس اینکرپٹ کلائنٹ سرٹی بوٹ کا استعمال کیا۔ آپ نے نقل کے کوڈ سے بچنے کے لئے اپاچی کے ٹکڑوں کو بھی تشکیل دیا ہے اور سرٹیفکیٹ استعمال کرنے کے لئے اپاچی کو تشکیل دیا ہے۔ سبق کے اختتام پر ، آپ نے خود بخود سرٹیفکیٹ کی تجدید کیلئے ایک کرون کام ترتیب دیا ہے۔

اپاچی سینٹوز تصدیق نامہ ایس ایس ایل کو خفیہ کریں

یہ پوسٹ CentOS 7 سیریز پر انسٹال LAMP اسٹیک کا ایک حصہ ہے۔

اس سلسلے میں دیگر پوسٹس:

Cent سینٹوس 7 پر اپاچی کو انسٹال کرنے کا طریقہ Cent سینٹوس 7 پر ایس کیو ایل انسٹال کریں Cent سینٹوس 7 پر اپاچی ورچوئل ہوسٹس سیٹ اپ کرنے کا طریقہ Cent سینٹوس 7 پر لیٹ انکرپٹ کے ساتھ اپاچی کو محفوظ کریں