Létrehozása önaláíró ssl-tanúsítvány apache ubuntu
Miután szerver biztonságos adatközpontok Európában. Nyílt felhő VPS / VDS szerver egy gyors SSD 1 perc alatt!
A legjobb Web Hosting:
- megvédi az illetéktelen hozzáférés egy biztonságos európai adatközpont
- fizet legalább Bitcoin.
- Akkor tegye meg a disztribúciós
- védelmet DDOS támadások
- ingyenes biztonsági mentés
- Üzemidő 99,9999%
- DPC - TIER III
- ISP - TIER I
Támogatás az orosz 24/7/365 dolgozni a jogi és fizikai személyek. Most kell 24 mag és 72 Gb RAM. Kérlek!
A versenyképes áron bizonyítani, hogy a legolcsóbb hosting, ha nem tudja!
A percek alatt, válassza ki a konfiguráció, a fizetés és a CMS egy VPS kész.
Pénzvisszafizetési - 30 nap alatt!
Bankkártyák, elektronikus valuta révén Qiwi terminálok, WebMoney, PayPal, Novoplat és mások.
Tegye fel kérdését támogatás 24/7/365
Megtalálja a választ az adatbázisunkban, és megfelel az ajánlásokat a
TLS (Transport Layer Security) és SSL elődje (Secure Socket Layers) - a kriptográfiai protokollok az adatok védelme az interneten.
Ez a technológia lehetővé teszi, hogy megvédje az adatcserét a szerver és a kliens, és megakadályozzák a lehallgatás vagy illetéktelen hozzáférést a továbbított információt. Ráadásul ezek a jelentések igazolást rendszer, amely segít a felhasználóknak, hogy ellenőrizze a hitelességét az oldalak, amelyekre mennek.
Ez az útmutató segít létrehozni egy saját aláírású igazolást az SSL-Apache webkiszolgáló Ubuntu 16.04.
Megjegyzés. Önmaga által aláírt tanúsítványt nem lesz képes megerősíteni a szerver azonosítója, mivel nem írta alá megbízható hitelesítésszolgáltató (CA); Mindazonáltal e bizonyítvány lehetővé teszi, hogy titkosítja a kölcsönhatás webkliensekhez. Önmaga által aláírt tanúsítványt felhasználók számára, akik nem a domain nevet. Amikor a tartomány a rendelkezésre álló ajánlatos alkalmazni által aláírt igazolást az egyik megbízható CA-k. Ön is kap egy ingyenes tanúsítványt egy megbízható szolgáltatást Nézzük titkosítása.
követelmények
- Nem root felhasználó számára elérhetővé teszik sudo (utasításokat létre egy ilyen felhasználó - ebben a cikkben).
- Előre telepített Apache webszerver. Akkor telepíteni a LAMP, amelynek egyik komponens Apache (erre ez az útmutató); Apache telepítésére csak fel, csak a telepítési utasításokat a webszerver, akkor hagyja a fennmaradó részt.
1: létrehozása SSL-tanúsítvány
A munka TLS / SSL kombinációját használja nyilvános tanúsítvány és a saját kulcs. A privát kulcs tárolódik a szerveren, és nem kerülnek nyilvánosságra. SSL-tanúsítványt használ a nyitott és minden felhasználó számára elérhető kérő tartalmat.
Ahhoz, hogy hozzon létre egy saját aláírású tanúsítványt és kulcsot futtassa a következő parancsot:
sudo openssl req -x509 -nodes -days 365 -newkey RSA: 2048 -keyout /etc/ssl/private/apache-selfsigned.key kijelentkezés /etc/ssl/certs/apache-selfsigned.crt
A csapat meg fogja kérdezni néhány kérdést. Tekintsük a csapat több összetevőből áll:
Mint már említettük, az összes ezeket a lehetőségeket generál egy kulcsot és tanúsítványt. Töltse ki a mezőket, amelyek megjelennek az adatok szerver, ami megjelenik a tanúsítványban.
Ország neve (2 kétbetűs kód) [AU]: US
Állam vagy tartomány neve (teljes név) [Egyes állami]: New York
Hely neve (pl város) []: New York City
Szervezet neve (pl cég) [Internet Widgits Pty Ltd]: légvárak, Inc.
Szervezeti egység neve (pl rész) []: Vízügyi Minisztérium Diák
Név (például szerver tartománynév vagy az Ön neve) []: szerver_ip_címe
E-mail cím []: admin@your_domain.com
kulcs és tanúsítvány fájlok kerülnek a / etc / ssl.
Ha OpenSSL létre kell hoznia a Diffie-Hellman kulcsokat, amelyek szükségesek, hogy támogassa a PFS (tökéletes egyenes titok).
sudo openssl dhparam kijelentkezés /etc/ssl/certs/dhparam.pem 2048
Ez a folyamat néhány percet vesz igénybe. DH keys kerül a /etc/ssl/certs/dhparam.pem.
2: Az Apache beállítása SSL támogatás
Tehát, ebben a szakaszban a tanúsítvány és kulcs fájlok jönnek létre, és a könyvtárban tárolt / etc / ssl. Most meg kell szerkeszteni az Apache konfigurációs:
kulcs helyét és tanúsítvány
Először létre kell hoznia az Apache kódrészletet, amely meghatározza több SSL-beállítások, Itt lehet kiválasztani az SSL titkosítási módszer, és további biztonsági funkciók. Beállított paraméterek itt később felhasználható bármely virtuális gép az SSL támogatást.
Hozzon létre egy új Apache töredéket könyvtár etc / apache2 / conf-álló.
Javasoljuk, hogy jelölje meg a célját a fájl nevét (például ssl-params.conf):
sudo nano /etc/apache2/conf-available/ssl-params.conf
Hogy biztosítsa SSL beállítása, kérjük, olvassa el az ajánlások Remy Van Elst a Cipherli.st oldalon. Ezt az oldalt szétosztásra szánt egyszerű és megbízható titkosítási beállításokat kínálva a legnépszerűbb szoftver. További lehetőségek az Apache is itt található.
Megjegyzés. Ez a lista a beállítások alkalmas újabb ügyfeleket. Ahhoz, hogy a beállításokat más ügyfelek, menj Igen, adj egy ciphersuite, amely együttműködik a legacy / régi szoftver.
Másolás az összes javasolt lehetőségeket.
Azt is meg kell adni egy paramétert SSLOpenSSLConfCmd DHParameters, hogy hozzanak létre támogatási DiffieHellman-.
Mentse és zárja be a fájlt.
Mércét virtuális host Apache
Most kell, hogy hozzanak létre egy szabványos virtuális host Apache (/etc/apache2/sites-available/default-ssl.conf) SSL támogatására.
Megjegyzés. Ha egy másik virtuális host, adja meg a nevét helyett /etc/apache2/sites-available/default-ssl.conf.
Mielőtt elkezdjük beállítani, hogy egy biztonsági másolatot a host fájlt.
sudo cp /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-available/default-ssl.conf.bak
sudo nano /etc/apache2/sites-available/default-ssl.conf
ServerAdmin webmaster @ localhost
DocumentRoot / var / www / html
ErrorLog $ / error.log
CustomLog $ / access.log kombinált
SSLEngine on
SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
SSLOptions + StdEnvVars
SSLOptions + StdEnvVars
# BrowserMatch "MSIE [2-6]" \
# Nokeepalive ssl-tisztátalan kikapcsolás \
# Downgrade-1.0 erő-válasz-1.0
Az eredményül kapott fájl lesz a következő formában:
ServerAdmin [email protected]
ServerName server_domain_or_IP
DocumentRoot / var / www / html
ErrorLog $ / error.log
CustomLog $ / access.log kombinált
SSLEngine on
SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt
SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.key
SSLOptions + StdEnvVars
SSLOptions + StdEnvVars
BrowserMatch "MSIE [2-6]" \
nokeepalive ssl-tisztátalan kikapcsolás \
visszalépési-1.0 erő-válasz-1.0
Mentse és zárja be a fájlt.
Ezen a ponton, a kiszolgáló támogatja a HTTP és HTTPS. Mert jobb védelmet nyújt a szerver akkor ajánlott kikapcsolni titkosítatlan HTTP forgalmat.
sudo nano /etc/apache2/sites-available/000-default.conf
Mentse és zárja be a fájlt.
3: A tűzfal konfigurálása
Ha engedélyezi a tűzfalat ufw (a használati utasítás szerint a kezdeti beállítás), ebben a szakaszban, hogy kell beállítani, hogy támogatja az SSL forgalom. Szerencsére, amikor az Apache bejelentkezik ufw azok egyes profilokat.
sudo ufw app lista
Elérhető alkalmazások:
Apache
Apache Full
Apache Biztonságos
OpenSSH
sudo ufw status
Ha csak a HTTP forgalom engedélyezett, a beállítások a következő formában:
Státusz: aktív
Hogy cselekvés
-- ------ ----
OpenSSH ENGEDÉLYEZIK Bárhol
Apache ENGEDÉLYEZIK Bárhol
OpenSSH (v6) Hagyja Bárhol (v6)
Apache (v6) Hagyja Bárhol (v6)
Támogatást adni HTTPS forgalom, meg kell ki és bekapcsolni a Full Apache Apache profil profil.
sudo ufw teszi 'Apache Full'
sudo ufw törölni teszi 'Apache'
Ellenőrizze az aktuális állapotát a tűzfal:
sudo ufw status
Státusz: aktív
Hogy cselekvés
-- ------ ----
OpenSSH ENGEDÉLYEZIK Bárhol
Apache Teljes ENGEDÉLYEZIK Bárhol
OpenSSH (v6) Hagyja Bárhol (v6)
Apache Full (v6) Hagyja Anywhere (v6)
4: frissítse az Apache konfigurációs
Tehát most beállítani a webkiszolgáló és a tűzfal korrigálni. Akkor viszont az SSL és a támogatására beállított virtuális host a tanúsítvány, majd indítsa újra a webszervert.
SSL engedélyezése az Apache modul, a mod_ssl és mod_headers modul, amely szükséges az SSL kódrészlet:
sudo a2enmod ssl
sudo a2enmod fejlécek
Viszont úgy állítjuk elő egy virtuális host:
sudo a2ensite default-ssl
Szóval, most a helyszínen, és az összes szükséges modulokat tartalmazza. Ellenőrizze a szintaxis hibák:
sudo apache2ctl configtest
Ha nincs hiba, akkor a parancs visszatér:
AH00558: apache2: nem sikerült megbízhatóan meghatározni a kiszolgáló teljesen minősített tartománynév használatával 127.0.1.1. Állítsa be a „ServerName” irányelv globálisan elnyomni ezt az üzenetet
Syntax OK
Az első sor a kimeneti beszámol arról, hogy a ServerName direktíva nincs megadva világszerte. Hogy megoldja ezt a figyelmeztetést, módosítsa a ServerName direktíva /etc/apache2/apache2.conf, adja meg a domain nevet vagy IP szerver (ez opcionális, ezt a figyelmeztetést, hogy megszüntesse opcionális).
Ha szintaktikai hibát talál, javítsa ki azokat. Ezután indítsa újra a webszervert:
sudo restart systemctl apache2
5: Testing
Most arra van szükség, hogy győződjön meg arról, hogy a forgalom a kliens és a szerver titkosított. Böngészõnket az alábbi linkre:
Mivel a tanúsítvány által aláírt magát, a böngésző jelentésbe megbízhatatlanság:
Az Ön kapcsolata nem privát
A támadók megpróbálhatják ellopni adatait
(Például, jelszavait, üzeneteit vagy hitelkártya). NET :: ERR_CERT_AUTHORITY_INVALID
Ez normális viselkedés a program egy ilyen helyzetben, mert a böngésző nem tudja hitelesíteni a gazda. Azonban ebben az esetben van szükség, csak titkosítani a forgalom, mint egy saját maga által aláírt tanúsítvány csehsüveg, mert a böngésző figyelmeztetést figyelmen kívül lehet hagyni. Ehhez kattintson a Speciális gombra, majd a javasolt linkre.
Ezt követően, akkor hozzáférhet a webhelyen.
6: Állandó átirányítás
Ha az összes szerver beállításokat megfelelően működik, meg az állandó átirányítás helyett átmeneti.
Nyissa meg a Apache virtuális host fájlt:
sudo nano /etc/apache2/sites-available/000-default.conf
Keresse korábban hozzáadott átirányítás irányelv és állítsa állandó.
Mentse és zárja be a fájlt. Ellenőrizze a szintaxist:
sudo apache2ctl configtest
sudo restart systemctl apache2
következtetés
Most, az Apache szerver lehet titkosítani a továbbított adatok, amelyek megvédik kiszolgálók kommunikálnak az ügyfelekkel, és megakadályozza a lehallgatást behatolók forgalom.
Természetesen, ha a fejlődő a helyszínen arra ösztönzik, hogy aláírja az SSL-tanúsítvány megbízható tanúsítványt hatóságok, így elkerülhető a megjelenése ijeszteni riasztásokat.