Strona administracyjna FreePBX domyślnie działa na nieszyfrowanym porcie 80 (http). Oznacza to że wszystkie dane włącznie z loginami i hasłami są przesyłane otwartym tekstem, łatwym do przechwycenia nawet przez amatorskich hakerów. O ile mamy zamiar administrować naszą centralką telefoniczną wyłącznie w sieci lokalnej LAN nie jest to wielkim problemem (o ile do naszej sieci LAN nie mają dostępu osoby postronne), o tyle jeśli mamy zamiar mieć dostęp do kokpitu FreePBX z Internetu, konieczne powinniśmy zaszyfrować przesyłane dane przy pomocy darmowego klucza SSL Let’s Encrypt korzystając z szyfrowanego protokołu HTTPS.
Ponadto niektóre usługi nie będą działać bez zainstalowanego certyfikatu SSL, jak na przykład: WebRTC, Sangoma Zulu, Sangoma Connect, czy Clearly Anywhere
Wstępne ustawienia
Na początek przejdź do okna Admin i System Admin, na następnie z prawego menu wybierz Port Management
Jak możesz zauważyć na poniższej ilustracji, opcja Let’s Encrypt jest wyłączona. Jednak gdy spróbujesz ją włączyć przełączając komunikację na port 80, otrzymasz błąd, gdyż z portu 80 korzysta już usługa Admin. Aby naprawić ten błąd, zmień port usługi Admin na jakiś inny, na przykład 8080, i spróbuj ponownie włączyć Let’s encrypt. Aby zatwierdzić zmiany wciśnij Update Now.
Connectivity - Firewall - Services
Przejdź do okna Connectivity – Firewall, a następnie z wysuwanego prawego menu przejdź do Services. W tym oknie możesz zobaczyć, że funkcją Let’s Encrypt zarządza Responsive LetsEncrypt Rules. Teoretycznie możesz tą funkcję wyłączyć i zarządzać usługą Let’s Encrypt ręcznie, ale lepszym rozwiązaniem jest pozostawienie zarządzania tą usługą Responsive LetsEncrypt Rules.
Admin - Certificate Management
Przejdź do Admin, a następnie do Certificate Management, aby zarządzać certyfikatami. Na poniższej ilustracji możesz zobaczyć, że w tej chwili masz zainstalowany samopodpisany certyfikat. Aby zainstalować nowy certyfikat Let’s Encrypt, kliknij New Certificate, a następnie Generate Let’s Encrypt Certificate
W nowootwartym oknie uzupełnij poszczególne pola:
- Certificate Host Name – jeśli masz wykupioną własną domenę, wpisz ją w tym polu.
- Owners Email – wpisz swój adres email
- Country – Kraj
- Alternative Names – Alternatywne domeny FQDN, które muszą być poprawnie skonfigurowane na serwerach DNS. Jeśli nie wiesz co tam wpisać, pozostaw to pole puste.
- – port na którym Let’s Encrypt będzie automatycznie odnawiał certyfikat
- Remove DST Root CA X3 – Usuwa z klucza certyfikat X3, który może powodować problemy na starszych przeglądarkach.
Gdy otrzymasz informację o stworzeniu certyfikatu, musisz jeszcze wybrać go jako domyślny certyfikat dla Twojej centralki. W tym celu kliknij zielony ptaszek w oknie Default
Aby dokończyć instalację certyfikatu, przejdź do okna Admin, System Admin i z menu po prawej stronie wybierz HTTPS Setup i przejdź do zakładki Settings. W oknie Certificate Settings wybierz swój nowo utworzony certyfikat i kliknij Install. Po zainstalowaniu certyfikatu SSL musisz jeszcze zrestartować serwer Apache przyciskiem Save and Restart Apache.
Po odświeżeniu strony, przy pasku adresu powinniśmy mieć już informację, że nasz certyfikat jest poprawny i połączenie z nasza stroną jest szyfrowane.
Podsumowanie
Dbanie o bezpieczeństwo Twoich serwerów powinno być Twoim priorytetem. Dzięki Let’s Encrypt możesz za darmo zabezpieczyć swoją centralkę telefoniczną FreePBX Asterisk bezpiecznym protokołem SSL TLS.
