SSL tanúsítvány telepítése Apache CentOS 7
Bevezetés
az SSL tanúsítványok kis adatfájlok, amelyek igazolják a nyilvános kriptográfiai kulcs tulajdonjogát. A hitelesítésszolgáltatók (CA) garantálják, hogy a kulcs a tanúsítványban felsorolt szervezethez, szerverhez vagy más entitáshoz tartozik.
amikor egy felhasználó a böngészőjén keresztül hozzáfér egy hitelesített webhelyhez, az információkat egyedi nyilvános kulccsal titkosítják. Az adatokat csak a gazdakiszolgálón található egyedi privát kulcs segítségével lehet visszafejteni. Ez a magas szintű titkosítás megakadályozza az információkhoz való jogosulatlan hozzáférési kísérleteket.
ebben az oktatóanyagban megtudhatja, hogyan telepíthet SSL-tanúsítványt a CentOS 7-re.
előfeltételek
- sudo jogosultságokkal rendelkező felhasználó
- hozzáférés parancssorhoz (Ctrl-Alt-T)
- CentOS 7 gép
- érvényes domain név DNS-sel a kiszolgálóra mutatva
SSL tanúsítvány beszerzése
számos módon szerezhető be Tanúsítványok:
- automatizált és ingyenes tanúsító hatóság, például a Let ‘ s Encrypt projekt használata.
- a kereskedelmi tanúsító hatóságok díj ellenében nyújtanak tanúsítványokat (Comodo, DigiCert, GoDaddy)
- Alternatív megoldásként önaláírt tanúsítványt is létrehozhat. Ez a típusú tanúsítvány tesztelési célokra vagy fejlesztési környezetben való használatra hasznos.
ha még mindig fontolgatja, hogy milyen típusú tanúsítványra van szüksége, vagy melyik hitelesítésszolgáltatót válassza, elkészítettünk egy átfogó útmutatót az SSL-tanúsítványokról, a privát kulcsokról és a CSR-ekről, hogy segítsünk a folyamatban.
Megjegyzés: A megbízható Hitelesítésszolgáltatók nem ellenőrzik az önaláírt tanúsítványokat. A felhasználók nem használhatják automatikusan a kiszolgáló identitásának ellenőrzésére.
telepítse az SSL tanúsítványt a Let ‘s Encrypt
a Let’ s Encrypt egy ingyenes, nyitott és automatizált tanúsító hatóság. A tanúsítványok automatikus kezeléséhez a certbot szoftver eszközt használja.
Certbot egy nagyon automatizált eszköz. Győződjön meg arról, hogy az Apache telepítése érvényes, és hogy van egy virtuális gazdagép konfigurálva a tartományhoz/tartományokhoz. Először olvassa el az Apache CentOS 7-re történő telepítéséről szóló oktatóanyagunkat, ha segítségre van szüksége a tűzfal és a virtuális gazdagépek konfigurálásában.
Certbot Telepítés
1. Használja a parancsterminált az EPEL repository és a yum-utils telepítéséhez:
sudo yum –y install epel-release yum-utils
2. Ezután telepítsen egy modult, amely támogatja az SSL-t az Apache számára:
sudo yum -y install mod_ssl
ebben a példában a modul legújabb verziója már elérhető.
3. Most már telepíthetjük a certbotot az Apache számára:
sudo yum –y install python-certbot-apache
4. Miután a telepítés lefut, elindíthatja a tanúsítvány megszerzésének folyamatát a belépéssel:
sudo certbot –apache –d yourdomain.com
Alternatív megoldásként indítsa el a certbot gépeléssel:
sudo certbot
5. Az ügyfél kéri, hogy adjon meg egy e-mail címet, és olvassa el és fogadja el a szolgáltatási feltételeket. A Certbot ezután felsorolja a szerveren elérhető domaineket. Aktiválja a HTTPS-t bizonyos tartományokhoz vagy mindegyikhez úgy, hogy üresen hagyja a mezőt.
a következő parancssor lehetővé teszi, hogy minden kérést kényszerítsen a HTTPS-hozzáférés biztosítására.
a választás után a terminálon megjelenő üzenet megerősíti, hogy engedélyezte a tartomány titkosítását.
automatikus Tanúsítványmegújítás
a Let ‘ s Encrypt által kiadott tanúsítványok 90 napig érvényesek. A certbot renew parancs ellenőrzi a telepített tanúsítványokat, és megpróbálja megújítani őket, ha azok kevesebb, mint 30 nap múlva lejárnak. A folyamat automatizálásához hozzon létre egy cron feladatot a parancs időszakos végrehajtásához.
a kívánt szövegszerkesztővel határozhatja meg, hogy milyen gyakran hajtsa végre a renew parancsot:
sudo crontab -e
írja be ezt a sort, és mentse el a crontab-ot:
* */12 * * * /usr/bin/certbot renew >/dev/null 2>&1
az SSL tanúsítvány telepítése a Comodo
segítségével 1. Az első lépés egy tanúsítvány-aláírási kérelem benyújtása egy tanúsító Hatósághoz. Részletes útmutatónk arról, hogyan generálhat tanúsítvány-aláírási kérelmet (CSR) az OpenSSL segítségével, kiváló forrás, ha segítségre van szüksége ebben a folyamatban.
2. Amint a CA igazolja a kérését, megkapja az SSL tanúsítvány másolatát. Most már telepítheti a tanúsítványt a CentOS 7 szerverre.
ez a példa bemutatja, hogyan telepíthet tanúsítványt egy fizetett SSL-szolgáltatótól, a Comodo-tól.
3. Miután a Comodo ellenőrizte a CSR kérését, töltse le az SSL fájlokat. Másolja őket (ComodoRSACA.crt) és az elsődleges tanúsítvány (yourdomain.crt), az Apache szerver könyvtárába. A CSR (tanúsítvány-aláírási kérelem) folyamat során generált privát kulcsnak ugyanazon a kiszolgálón kell lennie.
virtuális gazdagépek konfigurálása SSL-hez
Aftr sikeresen hitelesítette a tartományt, és elhelyezte a kulcsfájlokat a kiszolgálón, a következő lépés a virtuális gazdagépek konfigurálása a tanúsítvány megjelenítésére.
1. Hozzáférés az SSL konfigurációs fájlhoz:
sudo nano /etc/httpd/conf.d/ssl.conf
2. Szerkessze a konfigurációs fájlt, hogy a kiszolgálón lévő megfelelő fájlokra mutasson.
távolítsa el a <VirtualHost_default_ szakasz alatt a következő sorokat: 443> és írja be a megfelelő fájl elérési utat:
- DocumentRoot “/ var / www / yourdomain. com ”
- kiszolgálónév yourdomain.com: 443
- SSLEngine on
- SSLCertificateFile – a tanúsítványfájl elérési útja.
- SSLCertificateKeyFile – a kulcsfájl elérési útja.
- SSLCertificateChainFile– a köztes Comodo tanúsítványfájl.
3. A szükséges módosítások elvégzése után lépjen ki a fájlból (Ctrl+X), majd nyomja meg az y gombot a módosítások mentéséhez.
4. Az újraindítás előtt tesztelje az Apache konfigurációját. Gépeléssel ellenőrizze, hogy a szintaxis helyes-e:
sudo apachectl configtest
5. Miután a rendszer megerősítette, hogy a szintaxis helyes, indítsa újra az Apache-t:
sudo systemctl restart httpd
most beállította az Apache szervert az SSL tanúsítvány használatára.
Hogyan hozzunk létre saját aláírású SSL tanúsítványt
az önaláírt tanúsítvány hasznos teszteléshez, fejlesztői környezetekben és intraneten.
1. A Let ‘ s Encrypt-hez hasonlóan a mod_ssl Apache modul is támogatja az SSL titkosítást:
sudo yum –y install mod_ssl
2. Hozzon létre egy új könyvtárat a privát kulcs tárolásához:
sudo mkdir /etc/ssl/privatekey
3. A könyvtárhoz való hozzáférés korlátozása csak a root felhasználó számára:
sudo chmod 700 /etc/ssl/privatekey
4. Önaláírt tanúsítvány létrehozása ezzel az OpenSSL paranccsal:
sudo openssl req -x509 -new -newkey rsa:2048 -nodes -days 365 -keyout /etc/ssl/privatekey/ yourdomain.key -out /etc/ssl/certs/yourdomain.csr
ez az elemek részletes áttekintése:
- openssl-aktiválja az OpenSSL szoftvert
- req-jelzi, hogy CSR-re van szükségünk
- – x509-meghatározza az X. 509 aláírási kérelem használatát
- – új-newkey-új kulcs létrehozása
- rsa:2048-létrehoz egy 2048 bites RSA matematikai kulcs
- – csomópontok-nem DES, ami azt jelenti, nem titkosítja a privát kulcsot egy PKCS # 12 fájl
- – nap 365-napok száma, hogy a tanúsítvány érvényes
- – keyout-jelzi a tartományt, amit létrehoz egy kulcsot
- – out-megadja a fájl nevét, amely tartalmazza a CSR
Megjegyzés: győződjön meg róla, hogy cserélje yourdomain a tényleges domain.
5. A rendszer elindít egy kérdőívet, amelyet kitölthet.
írja be adatait a rendelkezésre álló mezőkbe:
- országnév – 2 betűs országkód használata
- állam-az az állam, ahol a domain tulajdonosa be van építve
- helységbe – az a város, ahol a domain tulajdonosa be van építve
- szervezet neve – a domain tulajdonosa
- szervezeti egység neve – a szervezet azon osztálya vagy csoportja, amely tanúsítványokkal dolgozik
- közönséges név –leggyakrabban a teljesen minősített domain név (FQDN)
- e – mail cím – kapcsolattartó E – mail cím
- kihívás jelszó-adjon meg egy opcionális jelszót a kulcspár
a kép egy példa kérdőívet jelent a CentOS 7-ben.
6. Folytassa a virtuális gazdagép konfigurálásával az új tanúsítvány megjelenítéséhez. A folyamat megegyezik a 2. fejezetben ismertetett lépésekkel, virtuális gazdagépek konfigurálása SSL-hez.
7. Az újraindítás előtt tesztelje az Apache konfigurációját. A szintaxis helyességének ellenőrzéséhez írja be a következőt::
sudo apachectl configtest
8. Miután a rendszer megerősítette, hogy a szintaxis helyes, indítsa újra az Apache-t:
sudo systemctl restart httpd
most beállította az Apache szervert az Ön által aláírt SSL tanúsítvány használatára, és képesnek kell lennie arra, hogy az SSL engedélyezve legyen.
Hogyan ellenőrizhető, hogy az SSL tanúsítvány érvényes-e?
az SSL-tanúsítvány érvényességének ellenőrzéséhez nyilvánosan elérhető szolgáltatásokat, például az SSL-kiszolgáló tesztjét használhatja. Erősítse meg a tanúsítvány állapotát, és ellenőrizze, hogy minden részlet helyes-e.
Alternatív megoldásként nyissa meg webhelyét a https:// használatával, hogy lássa, látható-e az SSL-tanúsítvány. A zöld lakat azt jelzi, hogy a további titkosítási réteg jelen van.
következtetés
ezen utasítások követésével SSL tanúsítvány bevezetésével biztosította a forgalmat a CentOS Linux disztribúciós webhelyén.
az új SSL tanúsítvány biztosítja, hogy a webkiszolgáló és a böngészők között áthaladó adatok bizalmasak és biztonságosak maradjanak.