Biztosítsuk az Apache-t SSL/TLS tanúsítvánnyal.
A tanúsítvány megvalósítása után a konfigurált tartomány/IP elérhető lesz HTTPS-en keresztül.
Kezdjük el.
Magas szinten a következőket fogjuk tenni.
- Fordítsa le az Apache HTTP 2.4.5-öt SSL modullal
- Szerezzen SSL tanúsítványt
- Állítsa be az Apache-t az SSL támogatására
Tartalomjegyzék
Telepítse az Apache-t SSL-lel a forrásból
Az SSL beállításához az Apache HTTP-t a mod_ssl-lel kell lefordítani. A CentOS 7 VM-et fogom használni Digitális óceán ennek bemutatására.
- Jelentkezzen be a Linux szerverre root felhasználóval, és töltse le az Apache legújabb verzióját
wget http://www-us.apache.org/dist//httpd/httpd-2.4.25.tar.gz .
Megjegyzés: megteheti ellenőrizze itt a legújabb verzióhoz.
- Kivonat gunzip paranccsal
gunzip -c httpd-2.4.25.tar.gz | tar xvf -
- Lesz egy új mappa „httpd-2.4.25”
- Menjen be, és hajtsa végre a következő configure parancsot
./configure --enable-ssl –-enable-so
Megjegyzés: Ha ezt egy vadonatúj szerveren teszi, akkor problémákat tapasztalhat az APR, PCRE, OpenSSL használatával kapcsolatban, és tekintse meg a hibaelhárítási útmutatót.
Győződjön meg arról, hogy nem kap semmilyen hibát a fenti configure parancsból, és ezután a make parancsokkal kell telepítenie.
make make install
A szokásos módon ügyeljen arra, hogy a fenti parancsokból ne legyen hiba. Ez azt jelenti, hogy telepített egy SSL-támogatással rendelkező Apache webszervert.
SSL-tanúsítvány beszerzése
Számos módja van az SSL-tanúsítvány létrehozásának és a tanúsító hatóság általi aláírásának.
Ha az SSL-t az Intranet webszerveren szeretné megvalósítani, akkor a szervezet legtöbbje rendelkezik belső tanúsítványkibocsátó csapattal, ezért velük kell egyeztetnie. De továbbra is létre kell hoznia egy CSR-t (Certificate Signing Request), és ezt megteheti az OpenSSL használatával.
Ha azonban egy internetre néző URL-t szeretne biztosítani, vásárolhat tanúsítványt a VeriSign, GoDaddy, Namecheap, ZeroSSLstb., vagy kérjen INGYENES tanúsítványt a webhelyről Titkosítsuk.
A Let’s Encrypt egy Linux Foundation Collaboration Project, amely INGYENES SSL/TLS tanúsítványt kínál. A Let’s Encrypt funkciót használom, hogy egy tanúsítványt szerezzek a domainemhez – Chandan.io
Számos módja van a CSR létrehozásának, de a legegyszerűbbet a „SSL INGYENES” online eszköz.
Írja be a biztonságossá kívánt URL-t
Ellenőrizze a domain tulajdonjogát a felsorolt módszerek egyikével, és töltse le a domain tanúsítvány fájljait.
Három fájlt fog kapni, amelyeket ezután az Apache webszerver konfigurálásához fogunk használni.
Vigye át a letöltött fájlt a webszerverre. Hamarosan szükségünk lesz rájuk.
Apache SSL konfiguráció
Az utolsó lépés az Apache beállítása, hogy HTTPS-en keresztül tudja kiszolgálni a kérést.
- Jelentkezzen be az Apache webszerverére
- Készítsen biztonsági másolatot a httpd.conf fájlról (alapértelmezett hely /usr/local/apache2/conf/)
- Nyissa meg a fájlt a vi szerkesztővel, és győződjön meg arról, hogy a mod_ssl modul és a httpd-ssl.conf létezik, és nincs megjegyzésben
LoadModule ssl_module modules/mod_ssl.so Include conf/extra/httpd-ssl.conf
A tanúsítvány részleteinek konfigurálásához a httpd-ssl.conf fájlt fogjuk használni. A következőkre van szükség, hogy megbizonyosodjon a megfelelő paraméterek létezéséről.
Tipp: érdemes lehet létrehozni egy új mappát „ssl” néven, és ebben megőrizni az összes tanúsítvánnyal kapcsolatos fájlt.
- Ha szükséges, készítsen biztonsági másolatot, és használja a vi szerkesztőt a fájl módosításához.
SSLCertificateFile "/usr/local/apache2/conf/ssl/certificate.crt" SSLCertificateChainFile "/usr/local/apache2/conf/ssl/ca_bundle.crt" SSLCertificateKeyFile "/usr/local/apache2/conf/ssl/private.key"
Ezután be kell állítania a „ServerName” direktívát. Általában ez a domain/URL neve
ServerName chandan.io
- Mentse el a fájlt, és indítsa újra az Apache webszervert
cd /usr/local/apache2/bin ./apachectl stop ./apachectl start
Végül pedig gondoskodnia kell arról, hogy a domain az újonnan konfigurált webszerver IP-címéhez legyen hozzárendelve. Ha elkészült, próbálja meg elérni a domainjét HTTPS-sel.
És amint látja, a Chandan.io elérhető https-en keresztül az általam konfigurált tanúsítvánnyal.
A fenti lépések elengedhetetlenek az SSL-tanúsítvány beállításához, és tovább kell módosítania az SSL-t a szilárdság és a biztonság érdekében, amit itt kifejtettem. Élőbe lépés előtt érdemes tesztelni a webszerver SSL/TLS-jét is, hogy megbizonyosodjon arról, hogy nincs kitéve gyakori biztonsági réseknek.
Remélem, ez ötletet ad arról, hogyan lehet SSL-tanúsítványt implementálni az Apache webszerveren, hogy az URL elérhető legyen HTTPS-en keresztül.
Élvezettel olvasta a cikket? Mit szólnál a világgal való megosztáshoz?