Kuidas luua RHEL/CentOS 7.0-s Apache jaoks ise allkirjastatud SSL-i sertifikaate ja võtmeid

SSL (Secure Sockets Layer) on krüptograafiline protokoll, mis võimaldab turvalist andmevoogu serveri ja selle klientide vahel sümmeetriliste/asümmeetriliste võtmete abil, kasutades sertifikaadi väljaandja (CA) allkirjastatud digitaalset sertifikaati.

  1. LAMP-i põhiline installimine RHEL/CentOS 7.0-le

See õpetus pakub lähenemisviisi selle kohta, kuidas seadistada Red Hat Enterprise Linuxi/CentOS 7.0-sse installitud Apache veebiserverisse Secure Sockets Layer (SSL) -krüptograafiaprotokoll ja kuidas luua allkirjaga bashi skripti abil, mis lihtsustab kogu protsessi oluliselt.

1. samm: installige ja konfigureerige Apache SSL

1. SSL-i lubamiseks Apache HTTP-serveris kasutage SSL-i mooduli ja OpenSSL-i tööriistakomplekti installimiseks SSL/TLS-i toe jaoks järgmist käsku.

# yum install mod_ssl openssl

2. Pärast SSL-mooduli installimist taaskäivitage deemon HTTPD ja lisage uus tulemüüri reegel, et veenduda, et SSL-port - 443 - on avatud teie arvuti välistele ühendustele kuulamisel riik.

# systemctl restart httpd
# firewall-cmd --add-service=https   ## On-fly rule

# firewall-cmd --permanent  --add-service=https   ## Permanent rule – needs firewalld restart

3. SSL-ühenduse testimiseks avage kaugbrauser ja navigeerige oma serveri IP-aadressile, kasutades HTPS-protokolli saidil https:/server_IP .

2. samm: looge SSL-sertifikaadid ja võtmed

4. Eelmine SSL-side serveri ja kliendi vahel tehti installimisel automaatselt loodud vaikesertifikaadi ja võtme abil. Uute privaatvõtmete ja iseallkirjastatud sertifikaatide paaride loomiseks looge järgmine bash-skript täidetaval süsteemiteel ( $PATH ).

Selle õpetuse jaoks valiti /usr/local/bin/ tee, veenduge, et skriptil oleks käivitatav bitt ja seejärel kasutage seda käsuna uute SSL-paaride loomiseks saidil /etc/Sertifikaatide ja võtmete vaikeasukohana on httpd/ssl/.

# nano /usr/local/bin/apache_ssl

Kasutage järgmist faili sisu.

#!/bin/bash
mkdir /etc/httpd/ssl
cd /etc/httpd/ssl

echo -e "Enter your virtual host FQDN: \nThis will generate the default name for Apache SSL Certificate and Key!"
read cert

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out $cert.key
chmod 600 $cert.key
openssl req -new -key $cert.key -out $cert.csr
openssl x509 -req -days 365 -in $cert.csr -signkey $cert.key -out $cert.crt

echo -e " The Certificate and Key for $cert has been generated!\nPlease link it to Apache SSL available website!"
ls -all /etc/httpd/ssl
exit 0

5. Nüüd tehke see skript käivitatavaks ja käivitage, et genereerida Apache SSL-i virtuaalhosti jaoks uus paar sertifikaati ja võtit.

Sisestage see oma teabega ja pöörake tähelepanu väärtusele Common Name , et see vastaks teie serveri FQDN-le või kui virtuaalne hostimine vastaks veebiaadressile, millele pääsete juurde turvalise veebisaidiga ühenduse loomisel.

# chmod +x /usr/local/bin/apache_ssl
# apache_ssl

6. Pärast sertifikaadi ja võtme genereerimist esitab skript pika loendi kõigist teie Apache SSL-paaridest, mis on salvestatud asukohas /etc/httpd/ssl/.

7. SSL-sertifikaatide ja võtmete genereerimiseks on teine lähenemisviis krüpto-utils -i oma süsteemi installimine ja paaride genereerimine käsuga genkey , mis võib tekitada probleeme, eriti kui neid kasutatakse Putty terminaliekraan.

Seega soovitan seda meetodit kasutada ainult siis, kui olete otse ekraanimonitoriga ühendatud.

# yum install crypto-utils
# genkey your_FQDN

8. Uue sertifikaadi ja võtme lisamiseks oma SSL-i veebisaidile avage oma veebisaidi konfiguratsioonifail ja asendage vastavalt laused SSLCertificateFile ja SSLCertificateKeyFile uute paaride asukoha ja nimedega.

9. Kui sertifikaati ei väljastanud usaldusväärne CA - sertifitseerimisasutus või kui sertifikaadist pärinev hostinimi ei ühti ühenduse loova hostinimega, peaks teie brauseris ilmuma tõrge ja peate sertifikaadi käsitsi aktsepteerima.

See on kõik! Nüüd saate kasutada rakendust apache_ssl käsureal RHEL/CentOS 7.0-s, et genereerida nii palju vajalikke iseallkirjastatud sertifikaate ja võtmeid. Kõik hoitakse saidil /etc/httpd/ssl/ tee võtmefailiga, mis on kaitstud 700 lubadega.