cum se instalează certificatul SSL pe Apache pentru CentOS 7

Introducere

Certificatele SSL sunt fișiere de date mici care certifică dreptul de proprietate asupra unei chei criptografice publice. Autoritățile de certificare (CA) garantează că cheia aparține unei organizații, unui server sau unei alte entități enumerate în certificat.

când un utilizator, prin intermediul browserului său, accesează un site web certificat, informațiile sunt criptate cu o cheie publică unică. Datele pot fi decriptate numai utilizând o cheie privată unică situată pe serverul gazdă. Acest nivel ridicat de criptare împiedică încercările neautorizate de a accesa informațiile.

în acest tutorial, Aflați cum să instalați un certificat SSL pe CentOS 7.

Tutorial despre cum se instalează certificatul SSL pe CentOS 7.

cerințe preliminare

  • un utilizator cu privilegii sudo
  • acces la o linie de comandă (Ctrl-Alt-T)
  • o mașină CentOS 7
  • un nume de domeniu valid cu DNS îndreptat spre server

cum să obțineți un certificat SSL

există mai multe modalități de a obține certificate:

  1. folosind o autoritate de certificare automată și gratuită, cum ar fi proiectul Let ‘ s Encrypt.
  2. autoritățile de certificare comercială furnizează certificate contra cost (Comodo, DigiCert, GoDaddy)
  3. alternativ, este posibil să se creeze un certificat auto-semnat. Acest tip de certificat este util în scopuri de testare sau pentru utilizarea într-un mediu de dezvoltare.

dacă încă mai aveți în vedere ce tip de certificat aveți nevoie sau ce CA să alegeți, am pregătit un ghid cuprinzător pentru certificatele SSL, cheile private și CSR-urile pentru a vă ajuta în acest proces.

notă: CAs de încredere nu verifică certificatele auto-semnate. Utilizatorii nu-l pot folosi pentru a valida automat identitatea serverului lor.

instalați certificatul SSL cu Let ‘s Encrypt

Let’ s Encrypt este o autoritate de certificare gratuită, deschisă și automată. Utilizează instrumentul software certbot pentru a administra automat certificatele.

Certbot este un instrument foarte automatizat. Asigurați-vă că instalarea Apache este validă și că aveți o gazdă virtuală configurată pentru domeniul/domeniile dvs. Ar trebui să citiți mai întâi tutorialul nostru despre cum să instalați Apache pe CentOS 7 dacă aveți nevoie de asistență pentru configurarea firewall-ului și a gazdelor virtuale.

Instalare Certbot

1. Utilizați terminalul de comandă pentru a instala depozitul EPEL și Yum-utils:

sudo yum –y install epel-release yum-utils

2. Apoi, instalați un modul care acceptă SSL pentru Apache:

sudo yum -y install mod_ssl

în acest exemplu, cea mai recentă versiune a modulului este deja disponibilă.

comandă care instalează un modul pentru a sprijini SSL pentru Apache.

3. Acum putem instala certbot pentru Apache:

sudo yum –y install python-certbot-apache

4. Odată ce instalarea își desfășoară cursul, puteți începe procesul de obținere a unui certificat introducând:

sudo certbot –apache –d yourdomain.com

alternativ, porniți certbot tastând:

sudo certbot

5. Clientul vă solicită să furnizați o adresă de e-mail și să citiți și să acceptați Termenii Serviciilor. Certbot listează apoi domeniile disponibile pe serverul dvs. Activați HTTPS pentru anumite domenii sau toate lăsând câmpul necompletat.

Certbot apoi domeniile disponibile pe serverul dvs.

următorul prompt vă permite să forțați toate cererile pentru a asigura accesul HTTPS.

după ce ați făcut alegerile, mesajul de pe terminal confirmă faptul că ați activat criptarea pentru domeniul dvs.

reînnoirea automată a certificatului

certificatele emise de Let ‘ s Encrypt sunt valabile 90 de zile. Comanda certbot renew verifică certificatele instalate și încearcă să le reînnoiască dacă sunt la mai puțin de 30 de zile de la expirare. Pentru a automatiza acest proces, creați o lucrare cron pentru a executa comanda periodic.

utilizați editorul de text preferat pentru a defini cât de des să executați comanda renew:

sudo crontab -e

introduceți această linie și salvați crontab:

* */12 * * * /usr/bin/certbot renew >/dev/null 2>&1

cum se instalează certificatul SSL cu Comodo

1. Primul pas este trimiterea unei cereri de semnare a certificatului către o autoritate de certificare. Ghidul nostru detaliat despre cum să generați o cerere de semnare a certificatului (CSR) cu OpenSSL este o resursă excelentă dacă aveți nevoie de asistență în acest proces.

2. Odată ce un CA certifică solicitarea dvs., primiți o copie a certificatului SSL. Acum Puteți instala certificatul pe serverul CentOS 7.

acest exemplu arată cum se instalează un certificat de la un furnizor SSL plătit, Comodo.

3. Odată ce Comodo verifică CSR cererea, descărcați fișierele SSL. Copiați-le (ComodoRSACA.crt) și certificatul primar (yourdomain.crt), în directorul serverului Apache. Cheia privată generată în timpul procesului CSR (cerere de semnare a certificatului) trebuie să fie pe același server.

configurați gazdele virtuale pentru SSL

după ce ați certificat cu succes domeniul și ați plasat fișierele cheie pe server, următorul pas va fi configurarea gazdelor virtuale pentru a afișa certificatul.

1. Accesați fișierul de configurare SSL:

sudo nano /etc/httpd/conf.d/ssl.conf

2. Editați fișierul de configurare pentru a indica fișierele corecte de pe server.

decomentați următoarele rânduri în secțiunea <VirtualHost_default_: 443> și introduceți căile de fișier corecte:

  • DocumentRoot „/ var / www / yourdomain. com ”
  • ServerName yourdomain.com: 443
gazdă generală pentru gazdă virtuală
  • SSLEngine pe
  • SSLCertificateFile – calea fișierului certificat.
  • SSLCertificateKeyFile – calea fișierului cheie.
  • SSLCertificateChainFile– fișierul certificat COMODO intermediar.
continuarea configurării generale pentru gazda virtuală.

3. După efectuarea modificărilor necesare, ieșiți din fișier (Ctrl+X) și apăsați y pentru a salva modificările.

4. Testați configurația Apache înainte de a reporni. Asigurați-vă că sintaxa este corectă tastând:

sudo apachectl configtest

5. Odată ce sistemul confirmă că sintaxa este corectă, reporniți Apache:

sudo systemctl restart httpd

acum ați configurat serverul Apache pentru a utiliza certificatul SSL.

cum se creează un certificat SSL auto-semnat

un certificat auto-semnat este util pentru testare, în medii de dezvoltare și pe un intranet.

1. Ca și în cazul Let ‘ s Encrypt, modulul mod_ssl Apache oferă suport pentru criptarea SSL:

sudo yum –y install mod_ssl

2. Creați un nou director pentru a stoca cheia privată:

sudo mkdir /etc/ssl/privatekey

3. Restricționați accesul la acel director numai la utilizatorul root:

sudo chmod 700 /etc/ssl/privatekey

4. Generați un certificat auto-semnat folosind această comandă OpenSSL:

sudo openssl req -x509 -new -newkey rsa:2048 -nodes -days 365 -keyout /etc/ssl/privatekey/ yourdomain.key -out /etc/ssl/certs/yourdomain.csr

aceasta este o prezentare detaliată a elementelor:

  • openssl-activează software-ul OpenSSL
  • req-indică faptul că avem nevoie de un CSR
  • – x509-specifică utilizarea cererii de semnare X. 509
  • – new-newkey-generează o nouă cheie
  • rsa:2048-generați o cheie matematică RSA de 2048 biți
  • – noduri-fără DES, adică nu criptați cheia privată într-un fișier PKCS#12
  • – keyout-indică domeniul pe care îl generați o cheie pentru
  • – out-specifică numele fișierului care conține codul CSR

Notă: Asigurați-vă că pentru a înlocui yourdomain cu domeniul Real.

5. Sistemul lansează un chestionar pe care îl puteți completa.

introduceți informațiile dvs. în câmpurile disponibile:

  • numele țării – utilizați un cod de țară din 2 litere
  • stat-statul în care proprietarul domeniului este încorporat în
  • localitate – orașul în care proprietarul domeniului este încorporat în
  • numele organizației – o entitate care deține domeniul
  • numele unității organizaționale – departamentul sau grupul din organizația dvs. care lucrează cu certificate
  • nume comun –cel mai adesea, numele de domeniu complet calificat (FQDN)
  • adresa de e – mail – adresa de e – mail de contact
  • parola provocării-definiți o parolă opțională pentru pereche de chei

imaginea reprezintă un exemplu de chestionar în CentOS 7.

exemplu de chestionar în CentOS 7.

6. Continuați să configurați gazda virtuală pentru a afișa noul certificat. Procesul este identic cu pașii descriși în Capitolul 2, Configurați gazdele virtuale pentru SSL.

7. Testați configurația Apache înainte de a reporni. Pentru a vă asigura că sintaxa este corectă, tastați:

sudo apachectl configtest

8. Odată ce sistemul confirmă că sintaxa este corectă, reporniți Apache:

sudo systemctl restart httpd

acum ați configurat serverul Apache pentru a utiliza certificatul SSL auto-semnat și ar trebui să poată vizita site-ul dvs. cu SSL activat.

cum să verificați dacă un certificat SSL este Valid?

pentru a verifica dacă un certificat SSL este valid, puteți pune la dispoziție servicii publice, cum ar fi testul serverului SSL. Confirmați starea certificatului dvs. și verificați dacă toate detaliile sunt corecte.

alternativ, accesați site-ul dvs. web folosind https:// pentru a vedea dacă certificatul SSL este vizibil. Lacătul verde indică faptul că stratul suplimentar de criptare este prezent.

exemplu de verificare a stării SSL în browser

concluzie

urmând aceste instrucțiuni, ați asigurat traficul pe site-ul dvs. de distribuție CentOS Linux prin implementarea unui certificat SSL.

noul dvs. certificat SSL asigură că toate datele care trec între serverul web și browsere rămân private și sigure.

Leave a Reply

Adresa ta de email nu va fi publicată.