محفوظ کریں اپاچی کے ساتھ سینٹوس 8 پر انکرپٹ ہوجائیں

چلو انکرپٹ ایک آزاد ، خودکار اور اوپن سرٹیفکیٹ اتھارٹی ہے جو انٹرنیٹ سیکیورٹی ریسرچ گروپ (ISRG) کے ذریعہ تیار کیا گیا ہے جو مفت SSL سرٹیفکیٹ مہیا کرتا ہے۔

لیٹ انکرپٹ کے ذریعہ جاری کردہ سرٹیفکیٹ پر تمام بڑے براؤزرز پر بھروسہ کیا جاتا ہے اور جاری ہونے کی تاریخ سے 90 دن کے لئے موزوں ہوتا ہے۔

اس ٹیوٹوریل میں یہ وضاحت کی گئی ہے کہ سینٹوس 8 پر اپاچی کو بطور سرور سرور چلانے پر ایک چل چل انکرپٹ ایس ایس ایل سرٹیفکیٹ انسٹال کرنے کا طریقہ ہے۔ ہم سرٹیفکیٹ لینے اور تجدید کرنے کے لئے سرٹبوٹ ٹول کا استعمال کریں گے۔

شرطیں

اس بات کو یقینی بنائیں کہ جاری رکھنے سے پہلے درج ذیل شرائط کو پورا کیا جائے:

• اپنے عوامی سرور IP کی طرف اشارہ کرنے والا ایک ڈومین نام رکھیں۔ ہم example.com ڈاٹ کام کا استعمال کریں گے ۔آپاہی انسٹال ہے اور آپ کے ڈومین کیلئے تشکیل شدہ ورچوئل میزبان کے ساتھ آپ کے سرور پر چل رہی ہے۔ 80 اور 443 بندرگاہیں آپ کے فائر وال میں کھلی ہیں۔

درج ذیل پیکیجز انسٹال کریں جو ایک SSL خفیہ کردہ ویب سرور کے لئے درکار ہیں۔

sudo dnf install mod_ssl openssl

جب mod_ssl پیکیج انسٹال ہوجائے تو ، اسے لوکلہوسٹ کے ل a خود دستخط شدہ کلید اور سرٹیفکیٹ فائلیں بنانی چاہ.۔ اگر فائلیں خود بخود نہیں بنی ہیں تو ، آپ openssl کمانڈ استعمال کرکے ان کو تشکیل دے سکتے ہیں۔

sudo openssl req -newkey rsa:4096 -x509 -sha256 -days 3650 -nodes \ -out /etc/pki/tls/certs/localhost.crt \ -keyout /etc/pki/tls/private/localhost.key

سرٹبوٹ انسٹال کریں

سیرٹبوٹ ایک مفت کمانڈ لائن ٹول ہے جو آپ کے سرور پر ایچ ٹی پی پی ایس سے ایس ایس ایل سرٹیفکیٹ حاصل کرنے اور اسے خود بخود چالو کرنے کے ل Let's انکرپٹ ایس ایس ایل سرٹیفکیٹ کے حصول اور تجدید کے عمل کو آسان بناتا ہے۔

سیرٹبوٹ پیکیج معیاری CentOS 8 ذخیروں میں شامل نہیں ہے ، لیکن یہ فروش کی ویب سائٹ سے ڈاؤن لوڈ کیا جاسکتا ہے۔

تصدیق نامہ اسکرپٹ کو /usr/local/bin ڈائرکٹری میں ڈاؤن لوڈ کرنے کے لئے مندرجہ ذیل wget کمانڈ کو روٹ یا sudo صارف کے طور پر چلائیں۔

sudo wget -P /usr/local/bin

ایک بار ڈاؤن لوڈ مکمل ہونے کے بعد ، فائل کو قابل عمل بنائیں:

sudo chmod +x /usr/local/bin/certbot-auto

مضبوط ڈی ایچ (ڈفی ہیلمین) گروپ تیار کریں

ڈیفی – ہیلمین کیچ ایکسچینج (ڈی ایچ) غیر محفوظ مواصلات چینل پر کرپٹوگرافک چابیاں کا محفوظ طریقے سے تبادلہ کرنے کا ایک طریقہ ہے۔ سیکیورٹی کو مستحکم کرنے کے لئے 2048 بٹ ڈی ایچ پیرامیٹرز کا ایک نیا سیٹ تیار کریں:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

آپ سائز کو 4096 بٹس تک تبدیل کرسکتے ہیں ، لیکن سسٹم اینٹروپی کے لحاظ سے نسل 30 منٹ سے زیادہ وقت لے سکتی ہے۔

آئیے اینکرپٹ ایس ایس ایل سرٹیفکیٹ حاصل کرنا

ڈومین کے لئے ایس ایس ایل سرٹیفکیٹ حاصل کرنے کے ل we're ہم ویبروٹ پلگ ان کا استعمال کرنے جارہے ہیں جو domain ${webroot-path}/.well-known/acme-challenge ڈائرکٹری میں مطلوبہ ڈومین کی توثیق کرنے کے لئے عارضی فائل تشکیل دے کر کام کرتا ہے۔ چلو انکرپٹ سرور عارضی فائل سے HTTP درخواستوں کی توثیق کرتا ہے تاکہ یہ تصدیق کی جاسکے کہ درخواست کردہ ڈومین سرور میں حل ہوجاتا ہے جہاں سرٹیٹ بوٹ چلتا ہے۔

سیٹ اپ کو مزید آسان بنانے کے /var/lib/letsencrypt ایک واحد ڈائرکٹری ، /var/lib/letsencrypt .well-known/acme-challenge لئے تمام HTTP درخواستوں کا نقشہ تیار کرنے /var/lib/letsencrypt ۔

ڈائرکٹری بنانے اور اپاچی سرور کے ل writ اسے قابل تحریر بنانے کیلئے درج ذیل کمانڈز چلائیں۔

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp apache /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

ڈپلیکیٹ کوڈ سے بچنے اور کنفگریشن کو مزید برقرار رکھنے کیلئے ، درج ذیل دو کنفیگریشن کے ٹکڑوں کو تشکیل دیں۔

/etc/httpd/conf.d/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/" AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS /etc/httpd/conf.d/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM # Requires Apache 2.4.36 & OpenSSL 1.1.1 SSLProtocol -all +TLSv1.3 +TLSv1.2 SSLOpenSSLConfCmd Curves X25519:secp521r1:secp384r1:prime256v1 # Older versions # SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

اوپر کا ٹکڑا Cipherli.st کی تجویز کردہ چیپرز استعمال کررہا ہے۔ اس سے او سی ایس پی اسٹپلنگ ، ایچ ٹی ٹی پی سخت ٹرانسپورٹ سیکیورٹی (ایچ ایس ٹی ایس) ، ڈی ایچ کی کو قابل بناتا ہے ، اور سیکیورٹی کے متمرکز ایچ ٹی ٹی پی ہیڈر کو نافذ کرتا ہے۔

تبدیلیوں کے اثر انداز ہونے کے لئے اپاچی کی تشکیل کو دوبارہ لوڈ کریں:

sudo systemctl reload

اب ، آپ ویبروٹ پلگ ان کے ساتھ سرٹ بوٹ اسکرپٹ چلا سکتے ہیں اور ایس ایس ایل سرٹیفکیٹ فائلوں کو بازیافت کرسکتے ہیں۔

sudo /usr/local/bin/certbot-auto certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

کامیابی پر ، سیرٹبوٹ مندرجہ ذیل پیغام کو پرنٹ کرے گا۔

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2020-01-26. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

اب چونکہ سب کچھ ترتیب دیا گیا ہے ، اپنی ڈومین کی ورچوئل ہوسٹ کنفیگریشن کو مندرجہ ذیل میں ترمیم کریں۔

/etc/httpd/conf.d/example.com.conf

ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ ServerName example.com ServerAlias www.example.com Protocols h2 http:/1.1 Redirect permanent / https://example.com/ DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem # Other Apache Configuration

مذکورہ بالا ترتیب HTTPS پر مجبور کر رہی ہے اور www سے نان www ورژن میں بھیج رہی ہے۔ یہ HTTP / 2 کو بھی قابل بناتا ہے ، جو آپ کی سائٹوں کو تیز اور زیادہ مضبوط بنائے گا۔ اپنی ضروریات کے مطابق ترتیب کو ایڈجسٹ کرنے کے لئے آزاد ہو.۔

اپاچی سروس دوبارہ شروع کریں:

sudo systemctl restart

اب آپ https:// کا استعمال کرکے اپنی ویب سائٹ کھول سکتے ہیں ، اور آپ کو گرین لاک آئیکن نظر آئے گا۔

خودکار تجدید کرتے ہوئے آئی ایس کو اینکرپٹ ایس ایس ایل سرٹیفکیٹ دیں

آئیے اینکرپٹ کے سرٹیفکیٹ 90 دن کے لئے موزوں ہیں۔ سرٹیفکیٹ کی میعاد ختم ہونے سے پہلے خود بخود تجدید کرنے کے ل we ، ہم ایک ایسا کام بنائیں گے جو دن میں دو بار چلے گا اور کسی بھی سرٹیفکیٹ کی میعاد ختم ہونے سے 30 دن قبل خود بخود تجدید کرے گا۔

نیا cronjob بنانے کے لئے درج ذیل کمانڈ کو چلائیں جو سرٹیفکیٹ کی تجدید کرے گا اور اپاچی کو دوبارہ شروع کرے گا۔

echo "0 0, 12 * * * root python3 -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/bin/certbot-auto -q renew --renew-hook \"systemctl reload httpd\"" | sudo tee -a /etc/crontab > /dev/null

تجدید کاری کے عمل کو جانچنے کے لئے ، سرٹبوٹ کمانڈ استعمال کریں جس کے بعد - ڈرائی --dry-run سوئچ:

sudo /usr/local/bin/certbot-auto renew --dry-run

اگر کوئی غلطیاں نہیں ہیں تو ، اس کا مطلب ہے کہ تجدید کا عمل کامیاب رہا۔

نتیجہ اخذ کرنا

اس ٹیوٹوریل میں ، ہم نے اپنے ڈومینز کے لئے SSL سرٹیفکیٹ حاصل کرنے کے ل Cent CentOS پر لیٹس اینکرپٹ کلائنٹ سرٹبوٹ کو استعمال کرنے کا طریقہ کے بارے میں بات کی۔ آپ نے یہ بھی بتایا ہے کہ سرٹیفکیٹ کو استعمال کرنے کے لئے اپاچی کو کنفیگر کرنے کا طریقہ اور خودکار سرٹیفکیٹ کی تجدید کے لron ایک کرونজوب مرتب کرنا ہے۔

سرٹبوٹ اسکرپٹ کے بارے میں مزید جاننے کے لئے ، سرٹبوٹ دستاویزات دیکھیں۔

اپاچی سینٹوز تصدیق نامہ ایس ایس ایل کو خفیہ کریں