Jak nainstalovat certifikát SSL na Apache for CentOS 7

Úvod

SSL certifikáty jsou malé datové soubory, které potvrzují vlastnictví veřejného kryptografického klíče. Certifikační orgány (CA) zaručují, že klíč patří organizaci, serveru nebo jinému subjektu uvedenému v certifikátu.

když uživatel prostřednictvím svého prohlížeče přistupuje k certifikované webové stránce, informace jsou šifrovány jedinečným veřejným klíčem. Data lze dešifrovat pouze pomocí jedinečného soukromého klíče umístěného na hostitelském serveru. Tato vysoká úroveň šifrování zabraňuje neoprávněným pokusům o přístup k informacím.

v tomto tutoriálu se dozvíte, jak nainstalovat certifikát SSL na CentOS 7.

návod, jak nainstalovat SSL certifikát na CentOS 7.

předpoklady

  • uživatel s oprávněními sudo
  • přístup k příkazovému řádku (Ctrl-Alt-T)
  • stroj CentOS 7
  • platný název domény s DNS namířený na server

Jak získat certifikát SSL

existuje několik způsobů, jak získat certifikáty:

  1. použití automatizované a bezplatné certifikační autority, jako je projekt Let ‚ s Encrypt.
  2. Komerční certifikační úřady poskytují certifikáty za poplatek (Comodo, DigiCert, GoDaddy)
  3. alternativně je možné vytvořit certifikát s vlastním podpisem. Tento typ certifikátu je užitečný pro účely testování nebo pro použití ve vývojovém prostředí.

pokud stále zvažujete, jaký typ certifikátu potřebujete nebo který CA zvolit, připravili jsme pro vás komplexní průvodce SSL certifikáty, soukromými klíči a CSR, které vám pomohou v procesu.

Poznámka: důvěryhodné CAs neověřují certifikáty podepsané Samostatně. Uživatelé jej nemohou použít k automatickému ověření identity svého serveru.

nainstalujte SSL certifikát pomocí Let ‚s Encrypt

Let‘ s Encrypt je bezplatná, otevřená a automatizovaná certifikační autorita. K automatické správě certifikátů používá softwarový nástroj certbot.

Certbot je vysoce automatizovaný nástroj. Ujistěte se, že instalace Apache je platná a že máte nakonfigurovaného virtuálního hostitele pro vaši doménu/domény. Nejprve byste si měli přečíst náš návod, jak nainstalovat Apache na CentOS 7, pokud potřebujete pomoc s konfigurací brány firewall a virtuálních hostitelů.

Instalace Certbotu

1. Pomocí příkazového terminálu nainstalujte úložiště EPEL a yum-utils:

sudo yum –y install epel-release yum-utils

2. Dále nainstalujte modul, který podporuje SSL pro Apache:

sudo yum -y install mod_ssl

v tomto příkladu je již k dispozici nejnovější verze modulu.

příkaz, který nainstaluje modul pro podporu SSL pro Apache.

3. Nyní můžeme nainstalovat certbot pro Apache:

sudo yum –y install python-certbot-apache

4. Jakmile instalace spustí svůj průběh, můžete zahájit proces získání certifikátu zadáním:

sudo certbot –apache –d yourdomain.com

případně spusťte certbot zadáním:

sudo certbot

5. Klient vás požádá o zadání e-mailové adresy a o přečtení a přijetí podmínek služeb. Certbot pak uvádí seznam domén dostupných na vašem serveru. Aktivujte HTTPS pro konkrétní domény nebo všechny z nich ponecháním pole prázdné.

Certbot pak domény dostupné na vašem serveru.

další výzva vám umožní vynutit všechny požadavky na zabezpečení přístupu HTTPS.

jakmile se rozhodnete, zpráva na terminálu potvrdí, že jste pro svou doménu povolili šifrování.

automatické obnovení certifikátu

certifikáty vydané společností Let ‚ s Encrypt jsou platné 90 dní. Příkaz certbot renew zkontroluje nainstalované certifikáty a pokusí se je obnovit, pokud jsou kratší než 30 dní od vypršení platnosti. Chcete-li tento proces automatizovat, vytvořte úlohu cron pro pravidelné provádění příkazu.

pomocí preferovaného textového editoru určete, jak často se má příkaz Obnovit:

sudo crontab -e

zadejte tento řádek a uložte crontab:

* */12 * * * /usr/bin/certbot renew >/dev/null 2>&1

Jak nainstalovat SSL certifikát s Comodo

1. Prvním krokem je podání žádosti o podpis certifikátu certifikační autoritě. Náš podrobný průvodce, jak vygenerovat žádost o podepsání certifikátu (CSR) pomocí OpenSSL, je vynikajícím zdrojem, pokud potřebujete pomoc s tímto procesem.

2. Jakmile CA potvrdí vaši žádost, obdržíte kopii certifikátu SSL. Nyní můžete certifikát nainstalovat na server CentOS 7.

tento příklad ukazuje, jak nainstalovat certifikát od placeného poskytovatele SSL, společnosti Comodo.

3. Jakmile Comodo ověří váš CSR požadavek, stáhněte si soubory SSL. Opište je (ComodoRSACA.crt) a primární certifikát (yourdomain.crt), do adresáře serveru Apache. Soukromý klíč generovaný během procesu CSR (žádost o podepsání certifikátu) musí být na stejném serveru.

konfigurace virtuálních hostitelů pro SSL

Aftr úspěšně jste certifikovali doménu a umístili klíčové soubory na server, dalším krokem bude konfigurace virtuálních hostitelů pro zobrazení certifikátu.

1. Přístup k konfiguračnímu souboru SSL:

sudo nano /etc/httpd/conf.d/ssl.conf

2. Upravte konfigurační soubor tak, aby ukazoval na správné soubory na vašem serveru.

odkomentujte následující řádky v sekci <VirtualHost_default_: 443> a zadejte správné cesty k souborům:

  • DocumentRoot“/var / www / yourdomain.com “
  • ServerName yourdomain.com: 443
obecný hostitel pro virtuálního hostitele
  • SSLEngine na
  • SSLCertificateFile-cesta k souboru certifikátu.
  • SSLCertificateKeyFile-cesta k souboru klíče.
  • SSLCertificateChainFile-střední soubor certifikátu COMODO.
pokračování Obecného nastavení pro virtuálního hostitele.

3. Po provedení nezbytných změn soubor ukončete (Ctrl + X)a stisknutím klávesy y změny uložte.

4. Před restartováním Otestujte konfiguraci Apache. Ujistěte se, že syntaxe je správná zadáním:

sudo apachectl configtest

5. Jakmile systém potvrdí, že syntaxe je správná, restartujte Apache:

sudo systemctl restart httpd

nyní jste nastavili server Apache tak, aby používal certifikát SSL.

jak vytvořit Self-signed SSL certifikát

self-signed certifikát je užitečný pro testování, ve vývojových prostředích a na intranetu.

1. Stejně jako u Let ‚ s Encrypt poskytuje modul mod_ssl Apache podporu šifrování SSL:

sudo yum –y install mod_ssl

2. Vytvořte nový adresář pro uložení soukromého klíče:

sudo mkdir /etc/ssl/privatekey

3. Omezit přístup do tohoto adresáře pouze na uživatele root:

sudo chmod 700 /etc/ssl/privatekey

4. Vygenerujte certifikát s vlastním podpisem pomocí tohoto příkazu OpenSSL:

sudo openssl req -x509 -new -newkey rsa:2048 -nodes -days 365 -keyout /etc/ssl/privatekey/ yourdomain.key -out /etc/ssl/certs/yourdomain.csr

toto je podrobný přehled prvků:

  • openssl-aktivuje software OpenSSL
  • req-označuje, že požadujeme CSR
  • – x509-určuje použití požadavku na podpis x. 509
  • – new-newkey-vygeneruje nový klíč
  • rsa:2048-generovat 2048-bit RSA matematický klíč
  • – uzly-no DES, což znamená nešifrovat soukromý klíč v souboru PKCS # 12
  • – dny 365-počet dní, kdy je certifikát platný pro
  • – keyout-označuje doménu, kterou generujete klíč pro
  • – out-určuje název souboru, který obsahuje CSR

Poznámka: Ujistěte se, že nahradit yourdomain s vaší skutečné domény.

5. Systém spouští dotazník, který můžete vyplnit.

zadejte své údaje do dostupných polí:

  • název země – použijte 2-písmenný kód země
  • stát – stát, kde je vlastník domény začleněn do
  • lokalita – město, kde je vlastník domény začleněn do
  • název organizace – entita, která vlastní doménu
  • název organizační jednotky –oddělení nebo skupina ve vaší organizaci, která pracuje s certifikáty
  • obecný název – nejčastěji plně kvalifikovaný název domény (FQDN)
  • e – mailová adresa – kontaktní e-mailová adresa
  • výzva heslo-Definujte volitelné heslo pro vaše pár klíčů

obrázek představuje příklad dotazníku v CentOS 7.

příklad dotazníku v CentOS 7.

6. Pokračujte v konfiguraci virtuálního hostitele pro zobrazení nového certifikátu. Proces je totožný s kroky uvedenými v kapitole 2, konfigurace virtuálních hostitelů pro SSL.

7. Před restartováním Otestujte konfiguraci Apache. Chcete-li se ujistit, že syntaxe je správná, zadejte:

sudo apachectl configtest

8. Jakmile systém potvrdí, že syntaxe je správná, restartujte Apache:

sudo systemctl restart httpd

nyní jste nastavili server Apache tak, aby používal váš certifikát SSL s vlastním podpisem a měl by být schopen navštívit váš web s povoleným SSL.

jak zkontrolovat, zda je certifikát SSL platný?

Chcete-li zkontrolovat, zda je certifikát SSL platný, můžete veřejně dostupné služby, jako je test serveru SSL. Potvrďte stav certifikátu a zkontrolujte, zda jsou všechny údaje správné.

případně přejděte na svůj web pomocí https: / / a zjistěte, zda je certifikát SSL viditelný. Zelený visací zámek označuje, že je přítomna další vrstva šifrování.

příklad kontroly stavu SSL v prohlížeči

závěr

dodržováním těchto pokynů jste zabezpečili provoz na svých distribučních stránkách CentOS Linux implementací certifikátu SSL.

váš nový SSL certifikát zajišťuje, že všechna data procházející mezi webovým serverem a prohlížeči zůstanou soukromá a bezpečná.

Leave a Reply

Vaše e-mailová adresa nebude zveřejněna.