Franchement, le cryptage Letamp;rsquos est probablement le meilleur choix après le brouillage, permettant damp;rsquoobtenir des certificats SSL TLS gratuits à lamp;rsquoaide damp;rsquooutils et damp;rsquoapi open source pour créer et renouveler automatiquement et en permanence ces certificats. Il y a déjà beaucoup de lignes directrices sur la façon de commencer à utiliser le cryptage de let, y compris la documentation de spécification, et Brad parle dans un autre article de son excitation pour le cryptage de let. Aujourdamp;rsquohui, cependant, nous allons examiner quelque chose de très spécifique nécessaire pour un projet parallèle: lamp;rsquoutilisation damp;rsquoun certificat de chiffrement Letamp;rsquos avec une ligne nodebalancer.
Date de mise à jour: 22 02 2017 Japanese originally beta version of letencrypt auto, now provides a minor update to refer to the Current standard certbot tool. Toutes les opérations doivent rester valides, mais lamp;rsquoutilisation damp;rsquoune opération de renouvellement (plutôt que damp;rsquoutiliser uniquement le certificat) peut réduire légèrement la commande de renouvellement du certificat. équilibrage des noeuds https + lorsque avez un site ou un service réussi, devrez probablement diviser le trafic entre plusieurs serveurs pour gérer votre charge de travail. Il y a beaucoup à dire sur lamp;rsquoutilisation de plusieurs serveurs Web pour se protéger contre les pannes de serveur. Camp;rsquoest pourquoi lamp;rsquoéquilibreur de noeuds est souvent utilisé pour accepter le trafic Internet entrant et le transmettre rapidement au serveur damp;rsquoarrière plan afin de traiter les nouvelles demandes et de grouper entre le client et le serveur.
Lorsque utilisez le Service damp;rsquoéquilibrage de noeuds devant un ou plusieurs serveurs Web, il existe deux façons courantes de traiter les demandes HTTPS. Vous pouvez soit transmettre une requête https au serveur Web derrière le Service damp;rsquoéquilibrage de noeuds, soit mettre fin à la requête pour le Service damp;rsquoéquilibrage de noeuds et transmettre la requête comme http au serveur damp;rsquoarrière plan. Les deux approches présentent des avantages et des inconvénients. Par exemple, à très haute capacité
ENCRYPT jamp;rsquoai passé les paramètres certonly et webroot pour mamp;rsquoassurer quamp;rsquoun certificat est généré qui peut être utilisé ailleurs et nous dire que ENCRYPT utilise la méthode webroot pour vérifier mon contrôle sur le domaine. Lorsque utilisez une combinaison de ces paramètres, let sencrypt stocke un fichier nommé au hasard dans le Répertoire. Le célèbre défi Acme, créé sous la racine Web que spécifiez en utilisant le drapeau W, exige que le Service de cryptage let vérifie quamp;rsquoil est accessible à partir du domaine. Camp;rsquoest pourquoi jamp;rsquoa i besoin damp;rsquoun serveur HTTP de travail pour le domaine. Ian Jones. Com, au moins au début.
Nous devons également utiliser la méthode certonly au lieu damp;rsquoApache ou damp;rsquoautres méthodes de configuration spécifiques au serveur Web. Bien quamp;rsquoelles soient pratiques, nous aimerions utiliser ces certificats de différentes façons plus tard et utiliser la méthode pour mettre fin au service damp;rsquoéquilibrage des noeuds (je pense à lamp;rsquoavenir). Vous remarquerez que jamp;rsquoai utilisé le paramètre Staging. Ceci est dû au fait que pourriez rencontrer des problèmes de configuration lors de la première configuration du certificat et que devez corriger le problème et exécuter letencrypt plusieurs fois jusquamp;rsquoà ce que soyez sûr que tout fonctionne correctement. Le serveur en direct crypté Letamp;rsquos a une limite de vitesse assez faible (au moment de la rédaction de seulement 5 certificats sont délivrés ou mis à jour pour le domaine public chaque semaine) pour empêcher les abus du processus rebelle, qui refuse de travailler pour pendant des heures, voire des jours si appelez régulièrement. Les serveurs temporaires ont des limites plus élevées et doivent donc être utilisés lors de la configuration initiale.
Letencrypt fonctionne et retourne OK, et tout ce dont avez besoin pour configurer le serveur Web Apache est dans le répertoire etc letencrypt. Le fichier le plus important pour moi pour la configuration Apache est etc letencrypt live le. Ian Jones. Com :
[2]
{Apache log Dir} access. Fusion des journaux
Autoriser toutes les dérogations Nom du serveur le. Ian Jones. Gestion du serveur com [protégé par courriel] Documentroot var www le. Ian Jones. Index des répertoires com. Index HTML. Php Error log ${Apache _ log Dir} error. Log customlog ${Apache _ log Dir} access. Fusion des journaux Autoriser toutes les dérogations Vim: Syntax = Apache Ts = 4 SW = 4 STS = 4 Sr noet jamp;rsquoai un https:le.ianmjones.com Utilisez le certificat de chiffrement let, fourni par le nodebalancer de ligne. Renouvellement automatique des certificats si avez suivi et essayé damp;rsquoexécuter letencrypt plusieurs fois, remarquerez quamp;rsquoil pose des problèmes à chaque fois. essayez de mettre en place un renouvellement automatique du certificat, des problèmes peuvent survenir. Heureusement, par défaut, il y a un paramètre Renew que pouvez utiliser pour spécifier que camp;rsquoest tout ce que voulez faire, et il namp;rsquoy a pas eu de changement depuis la dernière fois que avez configuré le domaine spécifié. Le cryptage Letamp;rsquos recueillera toutes les informations requises à partir des fichiers associés dans etc letencrypt Renew. Vous pouvez utiliser le drapeau N (non interactif) pour ne pas poser de questions et pouvez également utiliser agree tos et M [protégé par courriel] Gardez tout en ordre. Au fait, une nouvelle commande letencrypt Renew est sur le point damp;rsquoêtre publiée, ce qui devrait être encore mieux. Il vérifiera quels certificats attendent damp;rsquoêtre renouvelés dans les 30 prochains jours et ne renouvellera que ces certificats. Il namp;rsquoa pas besoin damp;rsquoêtre informé des domaines et des méthodes damp;rsquoauthentification à utiliser. Avant de configurer Cron pour mettre à jour le certificat une fois par semaine, jamp;rsquoa i créé un petit script Shell à exécuter, donc jamp;rsquoai gracieusement testé et redémarré Apache (en utilisant Apache 2ctl). Après le redémarrage damp;rsquoApache, le certificat sur le site reflète la nouvelle date damp;rsquoexpiration. Il ne reste plus quamp;rsquoà crontab E et à ajouter un script hebdomadaire (un meilleur administrateur pourrait ajouter quelque chose dans etc cron.weekly ). 5 5 * * 1 pièce rein
W _ permet le chiffrement. SH amp;amp amp;amp usr sbin apache2ctl elegant si voulez être très prudent avec la limite de vitesse de Letamp;rsquos ENCRYPT, je recommande de définir le travail Cron à exécuter une fois par mois, peut être deux fois par mois. La seule raison pour laquelle jamp;rsquoai décidé de mettre à jour mon certificat de cryptage de let une fois par semaine était de mamp;rsquoassurer que le cycle de rétroaction de la phase de test de cryptage de let namp;rsquoétait pas trop long. Bien sûr, jamp;rsquoa I aussi temporairement ajouté une entrée en double dans crontab, mais quelques minutes plus tard, puis jamp;rsquoai vérifié quamp;rsquoApache avait redémarré à lamp;rsquoheure prévue et que mon certificat SSL avait été mis à jour pour une nouvelle date et heure damp;rsquoexpiration. Cela garantit que Cron namp;rsquoa aucun problème avec lamp;rsquoenvironnement dans lequel il exécute le script. Cette approche est facile à adapter et à étendre à votre serveur web préféré, de sorte que pouvez envoyer de nouveaux fichiers de certificats à damp;rsquoautres serveurs, que ce soit SCP, rsync, ansible et ses pairs, ou partager des fichiers de configuration via glusterfs. avez configuré un ensemble de serveurs Web avec équilibrage de noeuds, avez certainement la méthode préférée pour synchroniser les profils. Nodebalancer https termination pour configurer la ligne nodebalancer qui gère le décryptage chiffrement https et la mise à jour automatique avec un certificat de chiffrement let mis à jour, je vais damp;rsquoabord configurer manuellement la nouvelle configuration du port nodebalancer. Parce que je voulais utiliser le même nodebalancer de ligne pour traiter HTTPS, et que jamp;rsquoavais configuré https avec la configuration qui gère le trafic sur le port 443, jamp;rsquoai damp;rsquoabord supprimé la configuration et ajouté une nouvelle configuration HTTPS. Vous remarquerez dans la capture damp;rsquoécran ci dessus deux nouveaux grands champs, le certificat SSL et la clé privée, nécessaires pour que nodebalancer puisse traiter le protocole HTTPS. Parce que je suis prêt.
Mes serveurs obtiennent des certificats à partir desquels nous cryptons et ils fournissent une chaîne complète. Clé privée. PEM correspond exactement aux deux nouveaux champs, et je copie simplement leur contenu dans les deux champs et je les enregistre.
[protégé par courriel] : Etc letencrypt live le. Ian Jones. Com Cat full Chain. PEM [protégé par courriel]
: Etc letencrypt live le. Ian Jones. Com CAT privatkey. Après PEM, il suffit damp;rsquoajouter le noeud du serveur Web, en utilisant le port 80 comme connexion, puisque le trafic https port 443 se termine maintenant sur nodebalancer.
À ce stade, jamp;rsquoai configuré https sur le nodeblancer linode en utilisant le certificat SSL qui a été renouvelé pour la dernière fois à partir du chiffrement let. Lorsque jamp;rsquoai mis à jour le certificat nodebalancer plus tôt, jamp;rsquoai configuré le serveur Web pour mettre à jour automatiquement son certificat chaque semaine. Maintenant que je suis passé à lamp;rsquoutilisation de mon certificat sur nodebalancer, je dois étendre le processus de renouvellement pour mettre à jour nodebalancer. Linode dispose damp;rsquoune bonne API pour gérer votre compte, y compris non seulement votre serveur (linodes), mais aussi nodebalancer. Au départ, jamp;rsquoavais lamp;rsquointention damp;rsquoutiliser lamp;rsquoAPI originale avec lamp;rsquoURL PHP parce que la Bibliothèque PHP recommandée namp;rsquoa pas été mise à jour et que les paramètres https namp;rsquoont pas été traités sur nodebalancer. Jamp;rsquoa i testé une variété damp;rsquoappels API avec une application Paw fantastique et jamp;rsquoai regardé quelques exemples PHP qui utilisent le Code PHP pour générer une URL étendue.
Camp;rsquoest bien, mais cela signifie que je dois réparer le stockage du nom damp;rsquoutilisateur, du mot de passe et de la clé API, puis gérer le flux damp;rsquoappel nécessaire pour sélectionner la configuration à mettre à jour, puis entrer les données, coder correctement, et ainsi de suite. Ce namp;rsquoest pas la science des fusées, et nous faisons beaucoup de ce travail chaque jour en tant que développeurs PHP, mais, mon Dieu. Donc jamp;rsquoai vérifié le CLI linode, et voici tout ce dont jamp;rsquoai besoin, camp;rsquoest lamp;rsquoinsta.
M D vers le bas. Ian Jones. Com W var www lex. Ian Jones. Com D loi. Ian Jones. Com assurez que le script de mise à jour est mis à jour avec le nouveau webroot et le nouveau domaine, puis lancez manuellement la commande pour mettre à jour le Service damp;rsquoéquilibrage de noeuds, à moins que ne vouliez utiliser un autre problème de certificat très limité chaque semaine. [protégé par courriel] :~ Mise à jour de la configuration du nodebalancer de ligne application damp;rsquoétiquettes Port 443 certificat SSL etc letencrypt live le. Ian Jones. Com full Chain. PEM SSL key etc letencrypt live le. Ian Jones. Communication clé privée. PEM a mis à jour le certificat nodebalancer config apps 443 sur lex. Ian Jones. Com reflète ces changements. Jamp;rsquoai écrit beaucoup de mots là Bas, mais quand regardez le script de chiffrement Renew _ lets U. SH est très simple et namp;rsquoa besoin que de quelques appels CLI avec les bons paramètres. Des outils en ligne de commande comme letencrypt et linode simplifient nos tâches. Camp;rsquoest la préparation qui a fonctionné, et savoir à lamp;rsquoavance quels domaines avez besoin damp;rsquoobtenir des certificats aidera à réduire le nombre de fois que demandez des certificats (un gros problème dans la version bêta actuelle de Letamp;rsquos ENCRYPT). avez décidé dès le départ damp;rsquoutiliser https sur lamp;rsquoéquilibreur de noeuds, namp;rsquoavez même pas à interférer avec la configuration https sur le serveur Web et passer le port TCP 443. Vous pouvez maintenant facilement ajouter des noeuds de serveur Web à la configuration https du répartiteur de noeuds sans soucier de la configuration du certificat. Avez déjà joué au cryptage? Comment vont lamp;rsquoAPI linode et son CLI? Nous aimerions voir vos suggestions dans les commentaires ci dessous.
Chiffrement de la ligne https + nodebalancer
