Kuidas luua RHEL/CentOS 7.0-s Apache jaoks ise allkirjastatud SSL-i sertifikaate ja võtmeid
SSL (Secure Sockets Layer) on krüptograafiline protokoll, mis võimaldab turvalist andmevoogu serveri ja selle klientide vahel sümmeetriliste/asümmeetriliste võtmete abil, kasutades sertifikaadi väljaandja (CA) allkirjastatud digitaalset sertifikaati.
- LAMP-i põhiline installimine RHEL/CentOS 7.0-le
See õpetus pakub lähenemisviisi selle kohta, kuidas seadistada Red Hat Enterprise Linuxi/CentOS 7.0-sse installitud Apache veebiserverisse Secure Sockets Layer (SSL) -krüptograafiaprotokoll ja kuidas luua allkirjaga bashi skripti abil, mis lihtsustab kogu protsessi oluliselt.
1. samm: installige ja konfigureerige Apache SSL
1. SSL-i lubamiseks Apache HTTP-serveris kasutage SSL-i mooduli ja OpenSSL-i tööriistakomplekti installimiseks SSL/TLS-i toe jaoks järgmist käsku.
# yum install mod_ssl openssl
2. Pärast SSL-mooduli installimist taaskäivitage deemon HTTPD ja lisage uus tulemüüri reegel, et veenduda, et SSL-port - 443 - on avatud teie arvuti välistele ühendustele kuulamisel riik.
# systemctl restart httpd # firewall-cmd --add-service=https ## On-fly rule # firewall-cmd --permanent --add-service=https ## Permanent rule – needs firewalld restart
3. SSL-ühenduse testimiseks avage kaugbrauser ja navigeerige oma serveri IP-aadressile, kasutades HTPS-protokolli saidil https:/server_IP .
2. samm: looge SSL-sertifikaadid ja võtmed
4. Eelmine SSL-side serveri ja kliendi vahel tehti installimisel automaatselt loodud vaikesertifikaadi ja võtme abil. Uute privaatvõtmete ja iseallkirjastatud sertifikaatide paaride loomiseks looge järgmine bash-skript täidetaval süsteemiteel ( $PATH ).
Selle õpetuse jaoks valiti /usr/local/bin/ tee, veenduge, et skriptil oleks käivitatav bitt ja seejärel kasutage seda käsuna uute SSL-paaride loomiseks saidil /etc/Sertifikaatide ja võtmete vaikeasukohana on httpd/ssl/.
# nano /usr/local/bin/apache_ssl
Kasutage järgmist faili sisu.
#!/bin/bash mkdir /etc/httpd/ssl cd /etc/httpd/ssl echo -e "Enter your virtual host FQDN: \nThis will generate the default name for Apache SSL Certificate and Key!" read cert openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out $cert.key chmod 600 $cert.key openssl req -new -key $cert.key -out $cert.csr openssl x509 -req -days 365 -in $cert.csr -signkey $cert.key -out $cert.crt echo -e " The Certificate and Key for $cert has been generated!\nPlease link it to Apache SSL available website!" ls -all /etc/httpd/ssl exit 0
5. Nüüd tehke see skript käivitatavaks ja käivitage, et genereerida Apache SSL-i virtuaalhosti jaoks uus paar sertifikaati ja võtit.
Sisestage see oma teabega ja pöörake tähelepanu väärtusele Common Name , et see vastaks teie serveri FQDN-le või kui virtuaalne hostimine vastaks veebiaadressile, millele pääsete juurde turvalise veebisaidiga ühenduse loomisel.
# chmod +x /usr/local/bin/apache_ssl # apache_ssl
6. Pärast sertifikaadi ja võtme genereerimist esitab skript pika loendi kõigist teie Apache SSL-paaridest, mis on salvestatud asukohas /etc/httpd/ssl/.
7. SSL-sertifikaatide ja võtmete genereerimiseks on teine lähenemisviis krüpto-utils -i oma süsteemi installimine ja paaride genereerimine käsuga genkey , mis võib tekitada probleeme, eriti kui neid kasutatakse Putty terminaliekraan.
Seega soovitan seda meetodit kasutada ainult siis, kui olete otse ekraanimonitoriga ühendatud.
# yum install crypto-utils # genkey your_FQDN
8. Uue sertifikaadi ja võtme lisamiseks oma SSL-i veebisaidile avage oma veebisaidi konfiguratsioonifail ja asendage vastavalt laused SSLCertificateFile ja SSLCertificateKeyFile uute paaride asukoha ja nimedega.
9. Kui sertifikaati ei väljastanud usaldusväärne CA - sertifitseerimisasutus või kui sertifikaadist pärinev hostinimi ei ühti ühenduse loova hostinimega, peaks teie brauseris ilmuma tõrge ja peate sertifikaadi käsitsi aktsepteerima.
See on kõik! Nüüd saate kasutada rakendust apache_ssl käsureal RHEL/CentOS 7.0-s, et genereerida nii palju vajalikke iseallkirjastatud sertifikaate ja võtmeid. Kõik hoitakse saidil /etc/httpd/ssl/ tee võtmefailiga, mis on kaitstud 700 lubadega.