SSL tanúsítvány telepítése Apache CentOS 7

SSL tanúsítvány telepítése Apache CentOS 7

Bevezetés

az SSL tanúsítványok kis adatfájlok, amelyek igazolják a nyilvános kriptográfiai kulcs tulajdonjogát. A hitelesítésszolgáltatók (CA) garantálják, hogy a kulcs a tanúsítványban felsorolt szervezethez, szerverhez vagy más entitáshoz tartozik.

amikor egy felhasználó a böngészőjén keresztül hozzáfér egy hitelesített webhelyhez, az információkat egyedi nyilvános kulccsal titkosítják. Az adatokat csak a gazdakiszolgálón található egyedi privát kulcs segítségével lehet visszafejteni. Ez a magas szintű titkosítás megakadályozza az információkhoz való jogosulatlan hozzáférési kísérleteket.

ebben az oktatóanyagban megtudhatja, hogyan telepíthet SSL-tanúsítványt a CentOS 7-re.

útmutató az SSL tanúsítvány telepítéséhez a CentOS 7 rendszeren.

előfeltételek

  • sudo jogosultságokkal rendelkező felhasználó
  • hozzáférés parancssorhoz (Ctrl-Alt-T)
  • CentOS 7 gép
  • érvényes domain név DNS-sel a kiszolgálóra mutatva

SSL tanúsítvány beszerzése

számos módon szerezhető be Tanúsítványok:

  1. automatizált és ingyenes tanúsító hatóság, például a Let ‘ s Encrypt projekt használata.
  2. a kereskedelmi tanúsító hatóságok díj ellenében nyújtanak tanúsítványokat (Comodo, DigiCert, GoDaddy)
  3. Alternatív megoldásként önaláírt tanúsítványt is létrehozhat. Ez a típusú tanúsítvány tesztelési célokra vagy fejlesztési környezetben való használatra hasznos.

ha még mindig fontolgatja, hogy milyen típusú tanúsítványra van szüksége, vagy melyik hitelesítésszolgáltatót válassza, elkészítettünk egy átfogó útmutatót az SSL-tanúsítványokról, a privát kulcsokról és a CSR-ekről, hogy segítsünk a folyamatban.

Megjegyzés: A megbízható Hitelesítésszolgáltatók nem ellenőrzik az önaláírt tanúsítványokat. A felhasználók nem használhatják automatikusan a kiszolgáló identitásának ellenőrzésére.

telepítse az SSL tanúsítványt a Let ‘s Encrypt

a Let’ s Encrypt egy ingyenes, nyitott és automatizált tanúsító hatóság. A tanúsítványok automatikus kezeléséhez a certbot szoftver eszközt használja.

Certbot egy nagyon automatizált eszköz. Győződjön meg arról, hogy az Apache telepítése érvényes, és hogy van egy virtuális gazdagép konfigurálva a tartományhoz/tartományokhoz. Először olvassa el az Apache CentOS 7-re történő telepítéséről szóló oktatóanyagunkat, ha segítségre van szüksége a tűzfal és a virtuális gazdagépek konfigurálásában.

Certbot Telepítés

1. Használja a parancsterminált az EPEL repository és a yum-utils telepítéséhez:

sudo yum –y install epel-release yum-utils

2. Ezután telepítsen egy modult, amely támogatja az SSL-t az Apache számára:

sudo yum -y install mod_ssl

ebben a példában a modul legújabb verziója már elérhető.

parancs, amely telepít egy modult az SSL támogatására az Apache számára.

3. Most már telepíthetjük a certbotot az Apache számára:

sudo yum –y install python-certbot-apache

4. Miután a telepítés lefut, elindíthatja a tanúsítvány megszerzésének folyamatát a belépéssel:

sudo certbot –apache –d yourdomain.com

Alternatív megoldásként indítsa el a certbot gépeléssel:

sudo certbot

5. Az ügyfél kéri, hogy adjon meg egy e-mail címet, és olvassa el és fogadja el a szolgáltatási feltételeket. A Certbot ezután felsorolja a szerveren elérhető domaineket. Aktiválja a HTTPS-t bizonyos tartományokhoz vagy mindegyikhez úgy, hogy üresen hagyja a mezőt.

Certbot majd a szerveren elérhető domainek.

a következő parancssor lehetővé teszi, hogy minden kérést kényszerítsen a HTTPS-hozzáférés biztosítására.

a választás után a terminálon megjelenő üzenet megerősíti, hogy engedélyezte a tartomány titkosítását.

automatikus Tanúsítványmegújítás

a Let ‘ s Encrypt által kiadott tanúsítványok 90 napig érvényesek. A certbot renew parancs ellenőrzi a telepített tanúsítványokat, és megpróbálja megújítani őket, ha azok kevesebb, mint 30 nap múlva lejárnak. A folyamat automatizálásához hozzon létre egy cron feladatot a parancs időszakos végrehajtásához.

a kívánt szövegszerkesztővel határozhatja meg, hogy milyen gyakran hajtsa végre a renew parancsot:

sudo crontab -e

írja be ezt a sort, és mentse el a crontab-ot:

* */12 * * * /usr/bin/certbot renew >/dev/null 2>&1

az SSL tanúsítvány telepítése a Comodo

segítségével 1. Az első lépés egy tanúsítvány-aláírási kérelem benyújtása egy tanúsító Hatósághoz. Részletes útmutatónk arról, hogyan generálhat tanúsítvány-aláírási kérelmet (CSR) az OpenSSL segítségével, kiváló forrás, ha segítségre van szüksége ebben a folyamatban.

2. Amint a CA igazolja a kérését, megkapja az SSL tanúsítvány másolatát. Most már telepítheti a tanúsítványt a CentOS 7 szerverre.

ez a példa bemutatja, hogyan telepíthet tanúsítványt egy fizetett SSL-szolgáltatótól, a Comodo-tól.

3. Miután a Comodo ellenőrizte a CSR kérését, töltse le az SSL fájlokat. Másolja őket (ComodoRSACA.crt) és az elsődleges tanúsítvány (yourdomain.crt), az Apache szerver könyvtárába. A CSR (tanúsítvány-aláírási kérelem) folyamat során generált privát kulcsnak ugyanazon a kiszolgálón kell lennie.

virtuális gazdagépek konfigurálása SSL-hez

Aftr sikeresen hitelesítette a tartományt, és elhelyezte a kulcsfájlokat a kiszolgálón, a következő lépés a virtuális gazdagépek konfigurálása a tanúsítvány megjelenítésére.

1. Hozzáférés az SSL konfigurációs fájlhoz:

sudo nano /etc/httpd/conf.d/ssl.conf

2. Szerkessze a konfigurációs fájlt, hogy a kiszolgálón lévő megfelelő fájlokra mutasson.

távolítsa el a <VirtualHost_default_ szakasz alatt a következő sorokat: 443> és írja be a megfelelő fájl elérési utat:

  • DocumentRoot “/ var / www / yourdomain. com ”
  • kiszolgálónév yourdomain.com: 443
Általános gazdagép virtuális gazdagéphez
  • SSLEngine on
  • SSLCertificateFile – a tanúsítványfájl elérési útja.
  • SSLCertificateKeyFile – a kulcsfájl elérési útja.
  • SSLCertificateChainFile– a köztes Comodo tanúsítványfájl.
a virtuális gazdagép általános beállításának folytatása.

3. A szükséges módosítások elvégzése után lépjen ki a fájlból (Ctrl+X), majd nyomja meg az y gombot a módosítások mentéséhez.

4. Az újraindítás előtt tesztelje az Apache konfigurációját. Gépeléssel ellenőrizze, hogy a szintaxis helyes-e:

sudo apachectl configtest

5. Miután a rendszer megerősítette, hogy a szintaxis helyes, indítsa újra az Apache-t:

sudo systemctl restart httpd

most beállította az Apache szervert az SSL tanúsítvány használatára.

Hogyan hozzunk létre saját aláírású SSL tanúsítványt

az önaláírt tanúsítvány hasznos teszteléshez, fejlesztői környezetekben és intraneten.

1. A Let ‘ s Encrypt-hez hasonlóan a mod_ssl Apache modul is támogatja az SSL titkosítást:

sudo yum –y install mod_ssl

2. Hozzon létre egy új könyvtárat a privát kulcs tárolásához:

sudo mkdir /etc/ssl/privatekey

3. A könyvtárhoz való hozzáférés korlátozása csak a root felhasználó számára:

sudo chmod 700 /etc/ssl/privatekey

4. Önaláírt tanúsítvány létrehozása ezzel az OpenSSL paranccsal:

sudo openssl req -x509 -new -newkey rsa:2048 -nodes -days 365 -keyout /etc/ssl/privatekey/ yourdomain.key -out /etc/ssl/certs/yourdomain.csr

ez az elemek részletes áttekintése:

  • openssl-aktiválja az OpenSSL szoftvert
  • req-jelzi, hogy CSR-re van szükségünk
  • – x509-meghatározza az X. 509 aláírási kérelem használatát
  • – új-newkey-új kulcs létrehozása
  • rsa:2048-létrehoz egy 2048 bites RSA matematikai kulcs
  • – csomópontok-nem DES, ami azt jelenti, nem titkosítja a privát kulcsot egy PKCS # 12 fájl
  • – nap 365-napok száma, hogy a tanúsítvány érvényes
  • – keyout-jelzi a tartományt, amit létrehoz egy kulcsot
  • – out-megadja a fájl nevét, amely tartalmazza a CSR

Megjegyzés: győződjön meg róla, hogy cserélje yourdomain a tényleges domain.

5. A rendszer elindít egy kérdőívet, amelyet kitölthet.

írja be adatait a rendelkezésre álló mezőkbe:

  • országnév – 2 betűs országkód használata
  • állam-az az állam, ahol a domain tulajdonosa be van építve
  • helységbe – az a város, ahol a domain tulajdonosa be van építve
  • szervezet neve – a domain tulajdonosa
  • szervezeti egység neve – a szervezet azon osztálya vagy csoportja, amely tanúsítványokkal dolgozik
  • közönséges név –leggyakrabban a teljesen minősített domain név (FQDN)
  • e – mail cím – kapcsolattartó E – mail cím
  • kihívás jelszó-adjon meg egy opcionális jelszót a kulcspár

a kép egy példa kérdőívet jelent a CentOS 7-ben.

példa kérdőív CentOS 7.

6. Folytassa a virtuális gazdagép konfigurálásával az új tanúsítvány megjelenítéséhez. A folyamat megegyezik a 2. fejezetben ismertetett lépésekkel, virtuális gazdagépek konfigurálása SSL-hez.

7. Az újraindítás előtt tesztelje az Apache konfigurációját. A szintaxis helyességének ellenőrzéséhez írja be a következőt::

sudo apachectl configtest

8. Miután a rendszer megerősítette, hogy a szintaxis helyes, indítsa újra az Apache-t:

sudo systemctl restart httpd

most beállította az Apache szervert az Ön által aláírt SSL tanúsítvány használatára, és képesnek kell lennie arra, hogy az SSL engedélyezve legyen.

Hogyan ellenőrizhető, hogy az SSL tanúsítvány érvényes-e?

az SSL-tanúsítvány érvényességének ellenőrzéséhez nyilvánosan elérhető szolgáltatásokat, például az SSL-kiszolgáló tesztjét használhatja. Erősítse meg a tanúsítvány állapotát, és ellenőrizze, hogy minden részlet helyes-e.

Alternatív megoldásként nyissa meg webhelyét a https:// használatával, hogy lássa, látható-e az SSL-tanúsítvány. A zöld lakat azt jelzi, hogy a további titkosítási réteg jelen van.

példa az SSL állapotának ellenőrzésére a böngészőben

következtetés

ezen utasítások követésével SSL tanúsítvány bevezetésével biztosította a forgalmat a CentOS Linux disztribúciós webhelyén.

az új SSL tanúsítvány biztosítja, hogy a webkiszolgáló és a böngészők között áthaladó adatok bizalmasak és biztonságosak maradjanak.

Leave a Reply

Az e-mail-címet nem tesszük közzé.