ปรับแต่ง let’s encrypt บน FreeBSD
เริ่มขั้นตอนการคอนฟิก ใน FreeBSD
ปรับแต่ง let’s encrypt บน FreeBSD
Let’s Encrypt คือ ผู้ออกใบรับรอง หรือที่เรียกว่า Certificate Authority (CA) ที่ให้บริการในรูปแบบง่าย และมีการติดตั้ง ใบรับรอง TLS/SSL (TLS/SSL certificates) ฟรี นั้นหมายความว่า เว็บไซต์ของเรา ในการเรียกใช้งานต้องมีการเข้ารหัสก่อน โดยจะอยู่ในลักษณะ https://
ในการดำเนินการติดต้ง เริ่มจากต้องสร้างพื้นที่สำหรับเก็บไฟล์คอนฟิกก่อน
#mkdir /usr/local/etc/apache24/sites-available |
#mkdir /usr/local/etc/apache24/sites-enabled |
ใช้คำสั่งเพื่อแก้ไข httpd.conf
#vi /usr/local/etc/apache24/httpd.conf |
เพิ่มค่าในไฟล์คอนฟิกของ apache โดยให้เพิ่มค่าไว้ท้ายสุดของแถว
IncludeOptional etc/apache24/sites-enabled/*.conf
เพื่อเปิดค่าของ TLS module สำหรับ Apache โดยการสร้างไฟล์ชื่อ 020_mod_ssl.conf ใน ไดเร็กเตอรี่ modules.d
คำสั่งในการสร้าง file
Vvi /usr/local/etc/apache24/modules.d/020_mod_ssl.conf |
แล้วเพิ่มข้อมูล ตามตัวอย่างข้างล่าง ลงไป (Add following lines to file 020_mod_ssl.conf.)
Listen 443SSLProtocol ALL -SSLv2 -SSLv3SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5SSLPassPhraseDialog builtinSSLSessionCacheTimeout 300 |
เปิดค่าให้ SSL ทำงานโดยเอาเครื่องหมาย # หน้า SSL module ในไฟล์ httpd.conf ออก
from /usr/local/etc/apache24/httpd.conf file by removing the hashtag from the beginning of the following line as illustrated below:
ใช้คำสั่งเพื่อแก้ไข ไฟล์ httpd.conf
#vi /usr/local/etc/apache24/httpd.conf |
เอาเครื่องหมาย # ออกหน้า mod_ssl.so
LoadModule ssl_module libexec/apache24/mod_ssl.so |
#LoadModule session_dbd_module libexec/apache24/mod_session_dbd.so#LoadModule slotmem_shm_module libexec/apache24/mod_slotmem_shm.so#LoadModule slotmem_plain_module libexec/apache24/mod_slotmem_plain.soLoadModule ssl_module libexec/apache24/mod_ssl.so#LoadModule dialup_module libexec/apache24/mod_dialup.so#LoadModule http2_module libexec/apache24/mod_http2.so#LoadModule proxy_http2_module libexec/apache24/mod_proxy_http2.so |
สร้าง ไฟล์คอนฟิกของ TLS สำหรับโดเมนของเราในไฟล์ที่เราเริ่มสร้างครั้งแรก sites-available directory
create the TLS configuration file for your domain in sites-available directory, preferably with the name of your domain, as presented in the below excerpt:
ใช้คำสั่งนี้ เพื่อสร้างไฟล์
#vi /usr/local/etc/apache24/sites-available/bsd.lan-ssl.conf |
คัดลอก ข้อมูลข้างล่าง ลงไปวาง แต่ต้องแก้ค่าโดเมน ให้ตรงกับโดเมนของเราเอง ตรงตัวอักษร สีน้ำเงิน ต้องแก้ให้เป็นของเรา
<VirtualHost *:443> ServerName www.yourdomain.com ServerAlias yourdomain.com DocumentRoot "/usr/local/www/apache24/data/" SSLEngine on SSLCertificateFile "/usr/local/etc/letsencrypt/live/www.yourdomain.com/cert.pem" SSLCertificateKeyFile "/usr/local/etc/letsencrypt/live/www.yourdomain.com/privkey.pem" SSLCertificateChainFile "/usr/local/etc/letsencrypt/live/www.yourdomain.com/fullchain.pem"<FilesMatch "\.(cgi|shtml|phtml|php)$"> SSLOptions +StdEnvVars</FilesMatch><Directory "/usr/local/www/apache24/cgi-bin"> SSLOptions +StdEnvVars</Directory> BrowserMatch "MSIE [2-5]" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog "/var/log/apache/httpd-ssl_request.log" \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" <Directory "/usr/local/www/apache24/data/"> Options Indexes FollowSymLinks MultiViews #AllowOverride controls what directives may be placed in .htaccess files. AllowOverride All #Controls who can get stuff from this server file Require all granted </Directory> ErrorLog "/var/log/apache/yourdomain.ssl-error.log" CustomLog "/var/log/apache/yourdomain.ssl-access_log" combined</VirtualHost> |
ให้เปลี่ยนค่าโดย ตรง www.domain.com ให้เปลี่ยนเป็นของเราเอง
ติดตั้งผ่าน Package
เริ่มต้นจากต้องติดตั้ง py37-certbot ก่อน กรณีติดตั้งผ่าน Package ให้ใช้คำสั่งนี้
#pkg install py38-certbot |
หรือติดตั้งผ่าน port แนะนำติดตั้งผ่านตัวนี้
#cd /usr/ports/security/py-certbot/ && make install clean |
ขั้นตอนการสร้าง Certificate ให้กับ โดเมนของเรา (In order to generate a certificate for your domain
#certbot certonly --webroot -w /usr/local/www/apache24/data/ -d www.yourdomain.com -d www.yourdomain.com |
Warning, Tip, Notice, or Information.
สำหรับขั้นตอนนี้ ให้ระวัง ชื่อ host ในเครื่อง จะต้องกำหนดค่า ใน A record ตอนกำหนดค่าของโดเมน กรณีมีการชื้มายังไอพี อย่างเช่นตามตัวอย่างข้างบน www.domain.com www คือชื่อโอสต์ที่เราต้องกำหนด และต้องกำหนดให้ตรงกับ ค่า A record กรณี เราตั้งชื่ออื่น ไม่ได้ตั้ง www ก็ต้องกำหนดให้ถูกต้อง
ใช้คำสั่งตรวจสอบไฟล์ที่สร้างขึ้นและเก็บอยู่ตามชื่อโดเมนของเรา เพื่อตรวจสอบว่าเส้นทางตรงกันไหม กับที่เราสร้างไฟล์คอนฟิกที่ชื่อ /usr/local/etc/apache24/sites-available/bsd.lan-ssl.conf
#ls -al /usr/local/etc/letsencrypt/live/www.yourdomain.com/ |
enable the TLS configuration file, by creating a symlink for your domain TLS configuration file to sites-enabled directory คือสร้างลิงค์ให้เรียกจาก sites-enabled ได้
#ln -sf /usr/local/etc/apache24/sites-available/bsd.lan-ssl.conf /usr/local/etc/apache24/sites-enabled/ |
ทดสอบว่า การคอนฟิก Apache ถูกต้องไหม
#apachectl -t |
หากทดสอบแล้ว เจอปัญหาข้อความข้างล่าง
(2)No such file or directory: AH02291: Cannot access directory ‘/var/log/apache/’ for error log of vhost defined at /usr/local/etc/apache24/sites-enabled/bsd.lan-ssl.conf:1
AH00014: Configuration check failed
ให้แก้ไข โดยใช้คำสั่ง ดังนี้
เข้าไปยัง ไดเร็กเตอรี่ log
#cd /var/log/ |
สร้างไดเร็ดเตอรี่ ชื่อ apache
#mkdir apache |
เปลี่ยนสิทธ์การเข้าถึง
#chmod -R 744 apache/ |
ทดสอบใหม่อีกครั้ง
a#pachectl -t |
หากผ่าน ก็สั่ง รีสตาร์ท apacne
#service apache24 restart |
บางส่วนอ้างอิงจากเว็บไซต์ นี้ และเว็บไซต์นี้
