Zabezpiecz swoj膮 stron臋 www za darmo certyfikatem SSL od Let鈥檚 Encrypt

Jaki艣 czas temu pisa艂em o starcie us艂ugi dostarczaj膮ce darmowe certyfikaty SSL dla stron internetowych – Let’s Encrypt.

Us艂uga wysz艂a ju偶 z fazy beta,聽nadal jest w fazie beta jednak dzia艂a naprawd臋 dobrze i otrzymanie certyfikatu przebiega bez 偶adnych problem贸w.

holas.pl z certyfikatem z Let's Encrypt

Aby z niej skorzysta膰 trzeba pobra膰 klienta i post膮pi膰 zgodnie z jego instrukcj膮. Niestety aktualnie nie ma paczki na Debiana Jessie wi臋c postanowi艂em u偶y膰 jednego z alternatywnych klient贸w, kt贸ry jest skryptem w bashu i jest prosty jak „konstrukcja cepa” – https://github.com/Neilpang/acme.sh

U偶ywaj膮c powy偶szego skryptu mo偶na wszystko zrobi膰 dos艂ownie w 5 minut :). Wspomn臋 tylko, 偶e skrypt ma instalator (pkt. 1 lub 2 ze strony na githubie) i inne u艂atwiacze ale ja lubi臋 mie膰 kontrol臋 nad tym co si臋 dzieje wi臋c z nich nie korzysta艂em.

Na wst臋pie ustalmy do cel贸w poradnika, 偶e wszystko b臋dziemy wykonywa膰 z root’a (oczywi艣cie nie trzeba ale zak艂adamy tak w celu uproszczenia) oraz:

/root/.acme.sh/acme.sh – miejsce sk艂adowania skrypt贸w klienta
mojastrona.pl – strona, dla kt贸rej chcemy uzyska膰 certyfikat
/mnt/www/mojastrona.pl – katalog na dysku naszej strony
/etc/apache2 – lokalizacja apache wraz z plikami konfiguracji

Pierwszym naszym krokiem powinno by膰 pobranie wymaganych plik贸w klienta. W tym celu przechodzimy (zak艂adamy w razie potrzeby) do katalogu

/root/.acme.sh/acme.sh

i wykonujemy komend臋

git clone https://github.com/Neilpang/acme.sh

Je艣li nie mamy gita to go instalujemy lub wchodzimy na stron臋 projektu, r臋cznie pobieramy pliki i je wypakowujemy.

Nast臋pnym krokiem (dla wygody tylko) jest zrobienie symlinka z katalogu gdzie b臋d膮 nasze certyfikaty do katalogu apache. Wykonujemy to komend膮

ln -s /root/.acme.sh/ /etc/apache2/letsencrypt

Po wykonaniu powy偶szych krok贸w oraz upewnieniu si臋, 偶e nasza strona jest dost臋pna z internetu nale偶y pobra膰 certyfikat

./acme.sh issue /mnt/www/mojastrona.pl/ mojastrona.pl

lub je艣li mamy jakie艣 aliasy (np. www.mojastrona.pl) to

./acme.sh issue /mnt/www/mojastrona.pl/ mojastrona.pl www.mojastrona.pl

Je艣li nasza strona by艂a dost臋pna z internetu to powinni艣my otrzyma膰 certyfikat, a potrzebne pliki zapisane zostan膮 w katalogu

/root/.acme.sh/mojastrona.pl/

Pozosta艂o nam ju偶 tylko poprawi膰 konfiguracj臋 apache aby wskaza膰 nasze certyfikaty (dobry poradnik jak skonfigurowa膰 SSL w apache znajduje si臋 tu – krok 3 i 4). W tym celu w pliku konfiguracyjnym nale偶y wskaza膰 tak aby opcja

SSLCACertificateFile 聽kierowa艂a do ca.cer
SSLCertificateFile kierowa艂a do pliku .cer
SSLCertificateKeyFile kierowa艂a do pliku .key

np.

SSLCACertificateFile /etc/apache2/letsencrypt/mojastrona.pl/ca.cer
SSLCertificateFile /etc/apache2/letsencrypt/mojastrona.pl/mojastrona.pl.cer
SSLCertificateKeyFile /etc/apache2/letsencrypt/mojastrona.pl/mojastrona.pl.key

oraz prze艂adowa膰 apache

service apache2 reload

O tego momentu strona powinna zg艂asza膰 si臋 z certyfikatem od Let’s Encrypt.

Dodatkowo warto ustawi膰 automatyczne odnawianie certyfikat贸w gdy偶 maj膮 one wa偶no艣膰 90 dni.

W tym celu najpro艣ciej stworzy膰 wykonywalny skrypt, np.

acme.sh_cron

z zawarto艣ci np.

#!/bin/sh
/root/.acme.sh/acme.sh/acme.sh cron >> /var/log/le-renew.log
service apache2 reload

i przenie艣膰 go do

/etc/cron.daily

Jak wida膰 proces nie jest przesadnie skomplikowany i po wst臋pnej konfiguracji raczej banalny. Docelowo prawdopodobnie i tak wybior臋 oficjalnego klienta ale pierw musi w repozytoriach Debiana Jessie zosta膰 udost臋pniona oficjalna paczka.

Powodzenia w szyfrowaniu! 馃檪

EDIT:
Skrypt zmieni艂 nazw臋 wi臋c powy偶szy opis zosta艂 odpowiednio dostosowany.

Potrzebujesz gdzie艣 zajrze膰 ale trzeba si臋 zalogowa膰 – tymczasowy adres e-mail to rozwi膮zanie dla Ciebie.

Zapewne spora cz臋艣膰 z Was聽ma lub mia艂a adres e-mail za艂o偶ony tylko po to aby gdzie艣 go u偶y膰 i nie narazi膰 na SPAM g艂贸wnej skrzynki. Nie jest jeszcze tak 藕le je艣li pami臋tamy namiary na niego ale cz臋sto powstaje on na zasadzie uderzenia w klawiatur臋 (podobnie jak has艂o do niego) i mamy potem adres w stylu

sd76fd8sfsw0@e-mail.pl

Zapami臋tanie tego graniczy z cudem i przy nast臋pnej okazji zn贸w zak艂adamy nast臋pny mail i tracimy cenne minuty.

Powsta艂y jednak us艂ugi, kt贸re ten proces mog膮 znacznie u艂atwi膰. S膮 to tymczasowe adresy e-mail wa偶ne od parunastu minut do zamkni臋cia okna przegl膮darki czy prze艂adowania strony. Us艂ug takich jest pe艂no (wystarczy odpowiednio zapyta膰 Google) jednak mi najbardziej odpowiadaj膮 dwie z nich:

Zasada dzia艂ania ich jest banalnie prosta. Wchodzimy na stron臋, kopiujemy wygenerowany adres e-mail i u偶ywamy go gdzie potrzebujemy. Wszelka poczta dostarczona na niego pojawi si臋 nam na ekranie i mo偶emy j膮 przeczyta膰.

Pierwszy z wymienionych przeze mnie (ThrowAwayMail.com) dzia艂a dok艂adnie w taki spos贸b. Maile mo偶emy odbiera膰 do ko艅ca sesji przegl膮darki.

Drugi jest troch臋 bardziej zaawansowany. Maile odbieraj膮 si臋 automatycznie do momentu od艣wie偶enia okna przegl膮darki. Dodatkowo mo偶emy zapisa膰 sobie klucz pozwalaj膮cy odzyska膰 dost臋p do adresu (niestety nie do maili) oraz mo偶emy ustawi膰 przekierowanie na sw贸j prawdziwy mail (zawsze mo偶emy potem z tego przekierowania zrezygnowa膰).

Powy偶sze us艂ugi s膮 proste ale takie maj膮 by膰. Wchodzimy na stron臋, u偶ywamy maila i nie martwimy si臋 spamem bo mail znika po paru godzinach.

 

Alfa Consilium: Financial & Insurance Consulting

Wykonanie projektu i wdro偶enie go z wykorzystaniem systemu CMS w wersjach RWD (komputer, tablet, telefon).

Alfa Consilium sp. z o.o.

Dzia艂amy na rynku finansowym, w tym rynku ubezpiecze艅, w oparciu o ustaw臋 o po艣rednictwie ubezpieczeniowym i wykonujemy czynno艣ci brokerskie jako licencjonowany broker ubezpieczeniowy.

Zapraszam do wizyty: alfaconsilium.eu