Proteja o Apache com o certificado Let's Encrypt no Rocky Linux
Em nosso guia anterior, orientamos você na instalação da pilha LAMP no Rocky Linux e continuamos configurando hosts virtuais Apache caso você precise hospedar vários sites em um único servidor.
Mas não termina aí. A segurança dos sites é hoje uma das maiores preocupações da maioria das organizações e dos usuários diante das crescentes ameaças cibernéticas. Existem várias maneiras de proteger seu site. Uma das principais formas de implementar alguma proteção básica contra hackers é criptografar seu site usando um certificado SSL/TLS.
Um certificado SSL/TLS é um certificado criptográfico que autentica a identidade do seu site e criptografa os dados trocados entre o navegador de um usuário e um servidor web.
Na verdade, seu site deixa de usar o protocolo HTTP, que envia dados em texto simples, para HTTPS (HTTP Seguro), que criptografa os dados. Sem criptografia, os hackers podem facilmente obter informações confidenciais, como nomes de usuário e senhas, espionando os dados trocados entre o servidor web e o navegador.
Há algum tempo, o Google fez questão de alertar os usuários que visitavam sites não criptografados, colocando um rótulo “Não seguro” na barra de URL. Isso é para alertar os usuários sobre os riscos envolvidos ao navegar no site.
Se você é proprietário de um site, certamente não gostaria de colocar seus clientes e visitantes do site em risco de ter suas informações pessoais expostas a hackers. É por esta razão que instalar um certificado SSL no seu servidor web é um passo fundamental para proteger o seu site.
Neste guia, mostraremos como proteger um servidor web Apache no Rocky Linux 8 usando o certificado SSL Lets Encrypt.
Pré-requisitos
Para que isso funcione, você precisa ter seu domínio apontado para o endereço IP público do seu site. Portanto, você precisa ir até o seu host e garantir que o nome de domínio esteja apontando para o IP do seu servidor web.
Aqui temos o domínio tecmint.info apontado para o endereço IP público do nosso servidor virtual.
Etapa 1: Instale o EPEL Repo no Rocky Linux
Começamos instalando pacotes de pré-requisitos que serão benéficos ao longo do caminho. Instalaremos o repositório EPEL e o pacote mod_ssl que é um módulo de segurança para o servidor HTTP Apache que fornece criptografia forte aproveitando os protocolos SSL/TLS usando OpenSSL.
sudo dnf install epel-release mod_ssl
Etapa 2: Instale o Certbot no Rocky Linux
Vamos agora instalar o Certbot – é um cliente que busca o certificado SSL da autoridade Let’s Encrypt e automatiza sua instalação e configuração. Isso elimina a dor e a agitação de realizar todo o processo manualmente.
sudo dnf install certbot python3-certbot-apache
Certbot agora está totalmente instalado e bem configurado.
Etapa 3: Instalando um certificado SSL para Apache no Rocky Linux
A última etapa é recuperar e instalar o Certificado SSL Let’s Encrypt. Para conseguir isso, execute o comando:
sudo certbot --apache
Isso desencadeia uma série de prompts. Primeiro, você deverá fornecer seu endereço de e-mail. Em seguida, leia os Termos de Serviço no URL fornecido e pressione 'Y' para concordar com os Termos e pressione ENTER.
Em seguida, você será perguntado se deseja compartilhar seu endereço de e-mail com a EFF (Electronic Frontier Foundation), que é a parceira fundadora da Let’s Encrypt.
Ao compartilhar seu endereço de e-mail, você assinará notícias, campanhas e outras atualizações sobre a organização. Se você se sentir confortável em fornecer seu endereço de e-mail, pressione 'Y'; caso contrário, pressione 'N' e pressione ENTER.
O próximo prompt fornecerá uma lista de domínios com base na configuração do seu servidor web e perguntará em qual você prefere habilitar o HTTPS. Você pode escolher '1' ou '2'. Mas para uniformidade, basta pressionar ENTER para habilitar HTTPS para todos os domínios.
O Certbot finalizará a instalação e configuração do Let’s Encrypt e salvará as chaves de segurança no caminho /etc/letsencrypt/live/yourdomain/.
Se tudo correr conforme o planejado, você verá o resultado.
Etapa 4: renovação automática do certificado SSL para Apache no Rocky Linux
O Certbot fornece um script para renovar o certificado apenas alguns dias antes de seu vencimento. Você pode realizar uma simulação para testar o script conforme mostrado.
sudo certbot renew --dry-run
Agora, para automatizar a renovação do certificado pelo script, edite o arquivo crontab.
crontab -e
Especifique o cron job mostrado e salve as alterações.
0 * * * * /usr/sbin/certbot-auto renew
Etapa 4: verifique o certificado Apache SSL no Rocky Linux
Para confirmar se o seu site está criptografado, basta acessar o navegador e recarregar o site. Desta vez, você deverá ver um ícone de cadeado logo antes do URL do site.
Para obter mais detalhes, clique no ícone e clique na opção ‘Certificado’ no menu que aparece.
Isso preenche todos os detalhes do certificado conforme fornecido.
Você pode testar a força do seu certificado acessando o SSL Labs Test. Forneça o URL do site ou nome de domínio e pressione ENTER.
Você deve obter uma classificação A conforme indicado aqui.
Conclusão
Se você chegou até aqui, então você deve ser capaz de criptografar seu servidor web Apache usando o Certificado SSL Let’s Encrypt aproveitando o cliente Certbot da EFF.