Sådan installeres SSL-certifikat på Apache for CentOS 7

Sådan installeres SSL-certifikat på Apache for CentOS 7

introduktion

SSL-certifikater er små datafiler, der bekræfter ejerskab af en offentlig kryptografisk nøgle. Certifikatmyndigheder (CA) garanterer, at nøglen tilhører en organisation, server eller anden enhed, der er angivet i certifikatet.

når en bruger får adgang til en certificeret hjemmeside, krypteres oplysningerne med en unik offentlig nøgle. Dataene kan kun dekrypteres ved hjælp af en unik privat nøgle placeret på værtsserveren. Dette høje krypteringsniveau forhindrer uautoriserede forsøg på at få adgang til oplysningerne.

i denne vejledning lærer du, hvordan du installerer et SSL-certifikat på CentOS 7.

Tutorial om, hvordan du installerer SSL-certifikat på CentOS 7.

forudsætninger

  • en bruger med sudo-privilegier
  • adgang til en kommandolinje (Ctrl-Alt-T)
  • en CentOS 7-maskine
  • et gyldigt domænenavn med DNS peget på serveren

Sådan får du et SSL-certifikat

der er flere måder at få certifikater:

  1. brug af en automatiseret og gratis certifikatmyndighed som Let ‘ s Encrypt-projektet.
  2. Kommercielle certifikatmyndigheder leverer certifikater mod et gebyr (Comodo, DigiCert, GoDaddy)
  3. alternativt er det muligt at oprette et selvsigneret certifikat. Denne type certifikat er nyttig til testformål eller til brug i et udviklingsmiljø.

hvis du stadig overvejer, hvilken type certifikat du har brug for, eller hvilken CA Du skal vælge, har vi udarbejdet en omfattende guide til SSL-certifikater, private nøgler og CSR ‘ er for at hjælpe dig i processen.

Bemærk: betroede CAs verificerer ikke selvsignerede certifikater. Brugere kan ikke bruge det til at validere identiteten af deres server automatisk.

installer SSL-certifikat med Let ‘s Encrypt

Let’ s Encrypt er en gratis, åben og automatiseret certifikatmyndighed. Det bruger certbot værktøj til at administrere certifikater automatisk.

Certbot er et meget automatiseret værktøj. Sørg for, at din Apache-installation er gyldig, og at du har en virtuel vært konfigureret til dit domæne/dine domæner. Du bør først læse vores vejledning om, hvordan du installerer Apache på CentOS 7, hvis du har brug for hjælp til at konfigurere dine virtuelle værter.

Certbot Installation

1. Brug kommandoen terminal til at installere EPEL repository og yum-utils:

sudo yum –y install epel-release yum-utils

2. Installer derefter et modul, der understøtter SSL til Apache:

sudo yum -y install mod_ssl

i dette eksempel er den nyeste version af modulet allerede tilgængelig.

kommando, der installerer et modul til understøttelse af SSL til Apache.

3. Vi kan nu installere Certbot til Apache:

sudo yum –y install python-certbot-apache

4. Når installationen kører, kan du starte processen for at få et certifikat ved at indtaste:

sudo certbot –apache –d yourdomain.com

alternativt kan du starte certbot ved at skrive:

sudo certbot

5. Kunden beder dig om at angive en e-mail-adresse og læse og acceptere servicevilkårene. Certbot viser derefter de domæner, der er tilgængelige på din server. Aktiver HTTPS for bestemte domæner eller dem alle ved at lade feltet være tomt.

Certbot derefter de domæner, der er tilgængelige på din server.

den næste prompt giver dig mulighed for at tvinge alle anmodninger om at sikre HTTPS-adgang.

når du har foretaget dine valg, bekræfter meddelelsen på terminalen, at du har aktiveret kryptering for dit domæne.

automatisk Certifikatfornyelse

certifikaterne udstedt af Let ‘ s Encrypt er gyldige i 90 dage. Kommandoen certbot forny kontrollerer de installerede certifikater og forsøger at forny dem, hvis de er mindre end 30 dage væk fra udløbet. For at automatisere denne proces skal du oprette et cron-job for at udføre kommandoen med jævne mellemrum.

brug din foretrukne teksteditor til at definere, hvor ofte kommandoen forny skal udføres:

sudo crontab -e

Indtast denne linje og gem crontab:

* */12 * * * /usr/bin/certbot renew >/dev/null 2>&1

Sådan installeres SSL-certifikat med Comodo

1. Det første skridt er at indsende en anmodning om underskrivelse af certifikat til en certificeringsmyndighed. Vores detaljerede guide til, hvordan du genererer en anmodning om certifikatsignering (CSR) med OpenSSL, er en fremragende ressource, hvis du har brug for hjælp til denne proces.

2. Når en CA certificerer din anmodning, modtager du en kopi af dit SSL-certifikat. Du kan nu installere certifikatet på din CentOS 7-server.

dette eksempel viser, hvordan du installerer et certifikat fra en betalt SSL-udbyder, Comodo.

3. Når Comodo verificerer din CSR anmodningen, hente SSL-filer. Kopier dem (ComodoRSACA.crt) og det primære certifikat (yourdomain.crt), til din Apache server mappe. Den private nøgle, der genereres under CSR-processen (Certifikatsigneringsanmodning), skal være på den samme server.

Konfigurer virtuelle værter til SSL

Aftr du har certificeret domænet og placeret nøglefilerne på serveren, det næste trin er at konfigurere de virtuelle værter til at vise certifikatet.

1. Få adgang til SSL-konfigurationsfilen:

sudo nano /etc/httpd/conf.d/ssl.conf

2. Rediger konfigurationsfilen for at pege på de korrekte filer på din server.

fjern de følgende linjer under afsnit < VirtualHost_default_: 443> og indtast de korrekte filstier:

  • DocumentRoot”/var/DK / yourdomain.com ”
  • servernavn yourdomain.com: 443
generel vært for virtuel vært
  • SSLEngine på
  • SSLCertificateFile – stien til din certifikatfil.
  • SSLCertificateKeyFile – stien til din nøglefil.
  • SSLCertificateChainFile– den mellemliggende Comodo-certifikatfil.

fortsættelse af Generel opsætning til virtuel vært.

3. Når du har foretaget de nødvendige ændringer, skal du afslutte filen (Ctrl+H) og trykke på y for at gemme ændringerne.

4. Test din Apache-konfiguration, før du genstarter. Sørg for, at syntaksen er korrekt ved at skrive:

sudo apachectl configtest

5. Når systemet bekræfter, at syntaksen er korrekt, skal du genstarte Apache:

sudo systemctl restart httpd

du har nu konfigureret din Apache-server til at bruge SSL-certifikatet.

Sådan oprettes et selvsigneret SSL-certifikat

et selvsigneret certifikat er nyttigt til test, i udviklingsmiljøer og på et intranet.

1. Som med Let ‘ s Encrypt giver mod_ssl Apache-modulet support til SSL-kryptering:

sudo yum –y install mod_ssl

2. Opret en ny mappe til at gemme den private nøgle:

sudo mkdir /etc/ssl/privatekey

3. Begræns kun adgangen til denne mappe til rodbrugeren:

sudo chmod 700 /etc/ssl/privatekey

4. Generer et selvsigneret certifikat ved hjælp af denne OpenSSL-kommando:

sudo openssl req -x509 -new -newkey rsa:2048 -nodes -days 365 -keyout /etc/ssl/privatekey/ yourdomain.key -out /etc/ssl/certs/yourdomain.csr

dette er en detaljeret oversigt over elementerne:

  • OpenSSL-aktiverer OpenSSL-programmet
  • angiver, at vi har brug for en CSR
  • – 509-angiver, at vi skal bruge underskriftsanmodningen
  • – ny-nynøgle-generer en ny nøgle
  • rsa:2048-generer en 2048-bit RSA matematisk nøgle
  • – noder-ingen DES, hvilket betyder, at du ikke krypterer den private nøgle i en PKCS#12 –fil
  • – dage 365-antal dage, som certifikatet er gyldigt for
  • – keyout-angiver det domæne, du genererer en nøgle til
  • – out-angiver navnet på den fil, der indeholder CSR

Bemærk: Sørg for at erstatte dit domæne med dit faktiske domæne.

5. Systemet lancerer et spørgeskema, som du kan udfylde.

Indtast dine oplysninger i de tilgængelige felter:

  • landenavn – brug en 2-bogstavs landekode
  • stat – staten, hvor domæneejeren er inkorporeret i
  • lokalitet – byen, hvor domæneejeren er inkorporeret i
  • organisationsnavn – en enhed, der ejer domænet
  • organisationsenhed navn –den afdeling eller gruppe i din organisation, der arbejder med certifikater
  • almindeligt navn – oftest det fuldt kvalificerede domænenavn
  • e – mail – adresse-kontakt e-mail-adresse
  • udfordringsadgangskode-definer en valgfri adgangskode til din nøglepar

billedet repræsenterer et eksempel spørgeskema i CentOS 7.

eksempel spørgeskema i CentOS 7.

6. Fortsæt med at konfigurere den virtuelle vært til at vise det nye certifikat. Processen er identisk med de trin, der er beskrevet i kapitel 2, Konfigurer virtuelle værter til SSL.

7. Test din Apache-konfiguration, før du genstarter. For at sikre, at syntaksen er korrekt, skal du skrive:

sudo apachectl configtest

8. Når systemet bekræfter, at syntaksen er korrekt, skal du genstarte Apache:

sudo systemctl restart httpd

du har nu konfigureret din Apache-server til at bruge dit selvsignerede SSL-certifikat og skal kunne besøge din hjemmeside med SSL aktiveret.

Sådan kontrolleres, om et SSL-certifikat er gyldigt?

for at kontrollere, om et SSL-certifikat er gyldigt, kan du offentligt tilgængelige tjenester, såsom SSL-Servertesten. Bekræft status for dit certifikat, og for at kontrollere, om alle detaljer er korrekte.

alternativt kan du få adgang til din hjemmeside ved hjælp af https:// for at se, om SSL-certifikatet er synligt. Den grønne hængelås angiver, at det ekstra krypteringslag er til stede.

eksempel på kontrol af SSL-status

konklusion

ved at følge disse instruktioner har du sikret trafik på din hjemmeside ved at implementere et SSL-certifikat.

dit nye SSL-certifikat sikrer, at alle data, der overføres mellem internetserveren og internetserveren, forbliver private og sikre.

Leave a Reply

Din e-mailadresse vil ikke blive publiceret.