通过免费让我们加密SSL证书来保护ISPConfig 3.1

2018-02-13 分类:系统运维 阅读() 评论()

通过免费让我们加密SSL证书来保护ISPConfig 3.1

作者: ahrasis

本教程展示了如何创建和配置免费让我们为ISPconfig接口(端口8080),电子邮件系统(Postfix和Dovecot / Courier),FTP服务器(pure-ftpd)和Monit加密SSL证书。 本教程中的命令已在Ubuntu 16.04上测试过,它们也应该可以在Debian上运行。 某些修改可能需要使其在CentOS上运行。

论坛主题提供本指南的帮助。

使用ISPConfig服务器主机名FQDN创建网站

通过站点>网站>添加新网站,在ISPConfig面板中为您的服务器创建一个站点。 记得! 这是您的服务器网站,因此它必须包含您的服务器完全限定的域名(FQDN)。 我将在本指南中将其称为`hostname -f`。 

hostname -f

希望它不会对你的服务器做任何改变。

在线访问ISPConfig网站

检查您的服务器站点是否已准备就绪,并且可以在线访问,因为Let's Encrypt需要在为您的服务器站点发布SSL密钥,证书和链文件之前验证您的网站是否可访问。 您还必须创建其DNS区域并允许它正确传播,因为Let's Encrypt也需要进行验证。

启用S​​SL对于ISPConfig 3控制面板(端口8080)

如果您在ISPConfig设置期间尚未启用SSL,即其端口8080上的控制面板,请在终端中键入ispconfig_update.sh并在SSL中选择yes。 我们不需要这是一个合适的关键,我们也不想保留它,但我们想要更快地工作,因此我们可以简单地进入它的所有领域。 完成此操作后,应该已经为您的ISPConfig启用了自签名SSL。

检查SSL对于ISPConfig 3控制面板(端口8080)

请检查您的浏览器,以在端口8080上打开ISPConfig控制面板进行确认。请注意,在此阶段您可能会收到一些警告,因为创建的SSL文件是自签名的,但浏览器会确认您的ISPConfig启用了SSL或其他功能。

让我们加密SSL以确保ISPConfig网站的安全

如果完成上述操作,请返回到ISPConfig面板>站点>网站>网站名称 ,然后单击SSL让我们加密检查按钮并保存 - 以创建让我们加密SSL文件并为您的服务器站点启用它们。 如果你的服务器站点成功,现在应该使用这个让我们加密SSL文件,但不是你的ISPConfig 8080页面。 如果不成功,您将无法继续前进,因此请检查其日志文件以获取线索。

更改ISPConfig 3控制面板(端口8080)

如果LE SSL已经正常工作,则转到您的服务器终端,通过sudo su进入root并使用以下命令备份并使用Let's Encrypt SSL文件替换已创建的自签名SSL文件。 

cd /usr/local/ispconfig/interface/ssl/
mv ispserver.crt ispserver.crt-$(date +"%y%m%d%H%M%S").bak
mv ispserver.key ispserver.key-$(date +"%y%m%d%H%M%S").bak
mv ispserver.pem ispserver.pem-$(date +"%y%m%d%H%M%S").bak
ln -s /etc/letsencrypt/live/$(hostname -f)/fullchain.pem ispserver.crt
ln -s /etc/letsencrypt/live/$(hostname -f)/privkey.pem ispserver.key
cat ispserver.{key,crt} > ispserver.pem
chmod 600 ispserver.pem
  • 如果您之前尚未创建ispserver.pem,则可以忽略旨在将现有命名(如果有)重命名为备份的第三行。
  • 注意我们正在使用让我们加密活动文件夹而不是归档文件夹。
  • 还要注意最后一行,其中ispserver.pem是通过组合文件创建的,因此,它不会通过让我们加密自动更新,而不像其他文件那样我们只是将它们链接起来,因此,我们将在本指南的最后部分处理这一点。
  • 还请注意,您输入`hostname -f`或server1.example.com,因为结果是相同的,因为`hostname -f`是server1.example.com。

使用同样的方式让我们为其他主要服务加密SSL证书

作为附加提示,基于保护您的ISPConfig 3安装,您可能希望使用符号链接到ispserver.key或.crt或.pem,而不是直接将您的postfix,dovecot,courier,pure-FTPd和monit指向Let's Encrypt SSL文件。 对于dovecot,如果它已经在使用postfix SSL文件,那么忽略它是安全的。 详细你只需要做以下事情:

一个。 对于Postfix 

cd /etc/postfix/
mv smtpd.cert smtpd.cert-$(date +"%y%m%d%H%M%S").bak
mv smtpd.key smtpd.key-$(date +"%y%m%d%H%M%S").bak
ln -s /usr/local/ispconfig/interface/ssl/ispserver.crt smtpd.cert
ln -s /usr/local/ispconfig/interface/ssl/ispserver.key smtpd.key
service postfix restart
service dovecot restart


湾 对于鸽友:(*注意,这不应该与Express一起存在)

使用nano /etc/dovecot/dovecot.conf检查这段代码是否存在 

[...]
ssl_cert = </etc/postfix/smtpd.cert
ssl_key = </etc/postfix/smtpd.key
[...]

如果它们存在,则保留原样。 否则,修复它们。 无论如何,运行服务dovecot restart已经在上面讨论过了。

C。 对于Express员:(*注意,这不应该与鸽舍一起存在) 

cd /etc/courier/
mv imapd.pem imapd.pem-$(date +"%y%m%d%H%M%S").bak
mv pop3d.pem pop3d.pem-$(date +"%y%m%d%H%M%S").bak
ln -s /usr/local/ispconfig/interface/ssl/ispserver.pem imapd.pem
ln -s /usr/local/ispconfig/interface/ssl/ispserver.pem pop3d.pem
service courier-imap-ssl stop
service courier-imap-ssl start
service courier-pop-ssl stop
service courier-pop-ssl start

d。 对于纯FTPd:

cd / etc / ssl / private /
mv pure-ftpd.pem pure-ftpd.pem - $(date +“%y%m%d%H%M%S”)。bak
ln -s /usr/local/ispconfig/interface/ssl/ispserver.pem pure-ftpd.pem
chmod 600 pure-ftpd.pem
service pure-ftpd-mysql restart

即 对于monit :(如果您已将它安装在您的服务器中) 

nano /etc/monit/monitrc

将以上符号链接添加到我们在此为pure-ftpd创建的ispserver.pem中: 

[...]
set httpd port 2812 and
SSL ENABLE
PEMFILE /etc/ssl/private/pure-ftpd.pem
allow admin:'secretpassword'
[...]

并重新启动监控: 

service monit restart


为您的ISPConfig Pem文件创建自动更新脚本(ispserver.pem)

在最后一个步骤中,我至今还没有在任何指南中找到这个步骤,它是ispserver.pem的自动更新,如前所述。 目前,必须在Let's Encrypt自动更新服务器SSL文件后手动更改。 为避免忽略这一点,您可能需要按照相应的incron教程中的建议安装incron,并创建一个脚本来自动更新您的ispserver.pem文件,如下所示:

通过终端命令,安装incron,然后创建脚本文件并使用nano进行编辑: 

apt install -y incron
nano /etc/init.d/le_ispc_pem.sh

将其添加到le_ispc_pem.sh中: 

#!/bin/sh
### BEGIN INIT INFO
# Provides: LE ISPSERVER.PEM AUTO UPDATER
# Required-Start: $local_fs $network
# Required-Stop: $local_fs
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: LE ISPSERVER.PEM AUTO UPDATER
# Description: Update ispserver.pem automatically after ISPC LE SSL certs are renewed.
### END INIT INFO
cd /usr/local/ispconfig/interface/ssl/
mv ispserver.pem ispserver.pem-$(date +"%y%m%d%H%M%S").bak
cat ispserver.{key,crt} > ispserver.pem
chmod 600 ispserver.pem
chmod 600 /etc/ssl/private/pure-ftpd.pem
service pure-ftpd-mysql restart
service monit restart
service postfix restart
service dovecot restart
service nginx restart
  • 注意有些人不安装监视器,所以他们可以安全地移除它。 请相应地调整上述脚本。
  • 对于多服务器设置,请参考后面的#203并在此处添加给定的scp代码以自动执行将来的更新。

然后,我们使其成为可执行文件,将root添加为incrontab的允许用户,然后编辑incrontab文件: 

chmod +x /etc/init.d/le_ispc_pem.sh
echo "root" >> /etc/incron.allow
incrontab -e


在它的incrontab中添加这一行: 

/etc/letsencrypt/archive/$(hostname -f)/ IN_MODIFY ./etc/init.d/le_ispc_pem.sh

重新启动您的服务

我想这就是为了让我们加密来保护您的服务器。 之后您可能需要重新启动Web服务器。 

service nginx restart

请记住:如果您使用的是Apache,请相应地将nginx更改为apache2。

LE4ISPC

作为替代方案,您可能需要使用为此目的而创建的LE4ISPC脚本 ,该脚本既支持来自ISPConfig的nginx和apache2,也支持除monit以外的pure-ftpd。 在使用之前,您应该已经完成​​了上述步骤(1-5)并具有:

1.通过ISPConfig为您的服务器创建网站;
2.网站可以在线访问;
3.启用ISPConfig SSL(通过安装或更新);
4. LE SSL已成功启用该网站。

赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:
标签:

相关推荐

吐血推荐

推荐云主机,建站更安全

优客志推荐站长使用阿里云主机,安全可靠、轻松上云,从此告别主机无售后、主机各种难题。点击领取1000元代金券

热度排行

热门标签

Ubuntu (2170) Linux (1251) debian (936) centos (935) Security (686) Apache (652) Nginx (536) Desktop (533) MySQL (492) web-server (486) PHP (466) fedora (446) Linux Commands (383) virtualization (308) ispconfig (297) Ubuntu 16.04 (285) Storage (284) JAVA (279) monitoring (243) server (231) Open Source (210) suse (201) Control Panels (186) Email (182) python (182) shell (179) FTP (175) Postfix (174) Linux Tricks (149) Development (137)

Copyright © 2018 优客网 All Rights Reserved

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏