De vorige keer lieten we je zien hoe je op Ubuntu een webserver installeert en daar vervolgens zelf WordPress op host. Dit keer gaan we daarmee verder en beveiligen we die website met Let's Encrypt.
Let's Encrypt is een organisatie die gratis SSL- en TLS-certificaten uitgeeft, geheel automatisch. Je hoeft je nergens voor aan te melden en hoeft, op een e-mailadres na, niets in te vullen. Zodra het proces eenmaal uitgevoerd is, is je website met HTTPS beveiligd, wat inhoudt dat de verbinding tussen degene die je website bezoekt en jouw Ubuntu-server versleuteld is en door niemand afgetapt of afgeluisterd kan worden. Dat is bijvoorbeeld handig voor bij het inloggen op een openbaar WiFi-netwerk. Zonder encryptie zouden anderen dan de inloggegevens kunnen onderscheppen.
Voordat we beginnen, gaan we ervanuit dat je een domeinnaam hebt gekocht en dat je daar WordPress op je Ubuntu-server aan hebt gekoppeld. Je kunt pas een Let's Encrypt-certificaat aanvragen als je website publiekelijk beschikbaar is.
Let's Encrypt installeren
Je installeert Let's Encrypt door opnieuw in te loggen in je Ubuntu-VPS. Vervolgens voer je het volgende commando in: git clone https://github.com/letsencrypt/letsencrypt. Daarmee wordt de client van Let's Encrypt gedownload, die straks het certificaat gaat uitgeven. Als je een melding krijgt dat git niet geïnstalleerd is, installeer je dat eerst en voer je daarna bovenstaand commando opnieuw uit. Je installeert git met: sudo apt install git -y.
Certificaat verkrijgen
Vervolgens gaan we naar de map letsencrypt door het commando cd letsencrypt in te voeren. Om nu Let's Encrypt uit te voeren, typ je ./letsencrypt-auto --apache -d jedomeinnaam.nl -d www.jedomeinnaam.nl. Daarbij gaan we ervanuit dat je zowel een certificaat wilt voor je domeinnaam met en zonder www. ervoor. Vervang dus jedomeinnaam.nl met je daadwerkelijke domeinnaam. Tijdens het proces wordt om een e-mailadres gevraagd. Vul dat in, zodat je meldingen krijgt als er iets aan de hand is met je certificaat. Ook wordt gevraagd of je nog HTTP wilt aan laten of alles om wilt leiden naar HTTPS. Voor optimale veiligheid raden wij de optie Secure aan.
Zorg ervoor dat je de optie Secure kiest om http in zijn geheel uit te schakelen
Dat is alles. Let's Encrypt verifieert automatisch of jij eigenaar bent van het domein, door even snel een HTML-bestand te uploaden en dat extern te benaderen. Is dat geverifieerd, dan wordt het certificaat geïnstalleerd. Het certificaat is drie maanden geldig. Dat is kort, maar gelukkig is het vernieuwen ervan te automatiseren.
Automatisch verlengen
Om een nieuw certificaat aan te vragen als de oude verloopt, voer je het commando ./letsencrypt-auto renew uit. Let's Encrypt zal zelf kijken welke certificaten in aanmerking komen voor vernieuwing en deze vernieuwen. Dat is alleen het geval als het certificaat binnen 30 dagen verloopt. Om dit geheel te automatiseren, voer je het commando sudo crontab -e uit, kies voor optie 2, nano, en voer je de volgende regel in onder het laatste hekje:
30 2 * * 1 /home/[gebruikersnaam]/letsencrypt/letsencrypt-auto renew && service apache2 reload. Druk op CTRL + X en daarna op Y om het bestand op te slaan.
Het commando wordt dan elke maandag om half drie in de ochtend uitgevoerd, zodat jij je nergens zorgen over hoeft te maken. Apache wordt daarna wel even snel opnieuw geladen, om het nieuwe certificaat actief te maken.