Itse allekirjoitettujen SSL-sertifikaattien ja -avaimien luominen Apachelle RHEL/CentOS 7.0:ssa
SSL (Secure Sockets Layer) on salausprotokolla, joka mahdollistaa suojatun tiedonkulun palvelimen ja sen asiakkaiden välillä käyttämällä symmetrisiä/epäsymmetrisiä avaimia käyttämällä varmenteen myöntäjän allekirjoittamaa digitaalista varmennetta. (CA).
Vaatimukset
- LAMP-perusasennus RHEL/CentOS 7.0:aan
Tämä opetusohjelma tarjoaa lähestymistavan Secure Sockets Layer (SSL) -viestinnän salausprotokollan määrittämiseen Red Hat Enterprise Linuxiin/CentOS 7.0< asennettuun Apache-verkkopalvelimeen. ja luoda itse allekirjoitettuja varmenteita ja avaimia bash-komentosarjan avulla, joka yksinkertaistaa huomattavasti koko prosessia.
Vaihe 1: Asenna ja määritä Apache SSL
1. Ota SSL käyttöön Apache HTTP Serverissä käyttämällä seuraavaa komentoa asentaaksesi SSL-moduulin ja OpenSSL-työkalusarjan, jota tarvitaan SSL/TLS-tukea varten.
yum install mod_ssl openssl
2. Kun SSL-moduuli on asennettu, käynnistä HTTPD-daemon uudelleen ja lisää uusi palomuurisääntö varmistaaksesi, että SSL-portti – 443 – avataan koneen ulkoiset liitännät kuuntelutilassa.
systemctl restart httpd
firewall-cmd --add-service=https ## On-fly rule
firewall-cmd --permanent --add-service=https ## Permanent rule – needs firewalld restart
3. Testaa SSL-yhteyttä avaamalla etäselain ja siirtymällä palvelimesi IP-osoitteeseen käyttämällä HTPS-protokollaa osoitteessa https://server_IP.
Vaihe 2: Luo SSL-varmenteet ja -avaimet
4. Edellinen SSL-yhteys palvelimen ja asiakkaan välillä käytettiin oletussertifikaatilla ja -avaimella, joka luotiin automaattisesti asennuksen yhteydessä. Luodaksesi uusia yksityisiä avaimia ja itse allekirjoitettuja varmenteita pareja, luo seuraava bash-skripti suoritettavalle järjestelmäpolulle (` PATH).
Tälle opetusohjelmalle valittiin polku /usr/local/bin/, varmista, että komentosarjassa on suoritettava bitti, ja käytä sitä sitten komennona uusien SSL-parien luomiseen osoitteessa /etc/ httpd/ssl/ sertifikaattien ja avainten oletussijaintina.
nano /usr/local/bin/apache_ssl
Käytä seuraavaa tiedostosisältöä.
#!/bin/bash
mkdir /etc/httpd/ssl
cd /etc/httpd/ssl
echo -e "Enter your virtual host FQDN: \nThis will generate the default name for Apache SSL Certificate and Key!"
read cert
openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out $cert.key
chmod 600 $cert.key
openssl req -new -key $cert.key -out $cert.csr
openssl x509 -req -days 365 -in $cert.csr -signkey $cert.key -out $cert.crt
echo -e " The Certificate and Key for $cert has been generated!\nPlease link it to Apache SSL available website!"
ls -all /etc/httpd/ssl
exit 0
5. Tee nyt tästä skriptistä suoritettava ja käynnistä se luodaksesi uuden varmenteen ja avaimen parin Apache SSL Virtual Host -palvelimellesi.
Täytä se tiedoillasi ja kiinnitä huomiota Yleinen nimi-arvoon, jotta se vastaa palvelimesi FQDN-numeroa, tai virtuaalipalvelimen tapauksessa verkko-osoitetta, jota käytät, kun muodostat yhteyden suojattuun verkkosivustoon.
chmod +x /usr/local/bin/apache_ssl
apache_ssl
6. Kun varmenne ja avain on luotu, komentosarja näyttää pitkän luettelon kaikista Apache SSL -pareistasi, jotka on tallennettu sijaintiin /etc/httpd/ssl/.
7. Toinen tapa luoda SSL-varmenteita ja avaimia on asentaa crypto-utils-paketti järjestelmääsi ja luoda pareja genkey-komennolla, mikä voi aiheuttaa ongelmia varsinkin käytettäessä Putty-päätenäytössä.
Joten suosittelen tämän menetelmän käyttöä vain, kun olet suoraan yhteydessä näyttöön.
yum install crypto-utils
genkey your_FQDN
8. Lisää uusi varmenne ja avain SSL-verkkosivustollesi avaamalla verkkosivustosi määritystiedosto ja korvaamalla SSLCertificateFile- ja SSLCertificateKeyFile-lauseet uusilla pareilla sijainti ja nimet vastaavasti.
9. Jos varmennetta ei ole myöntänyt luotettava CA – varmenteen myöntäjä tai varmenteen isäntänimi ei vastaa yhteyden muodostanutta isäntänimeä, selaimeesi pitäisi ilmestyä virheilmoitus ja sinun on hyväksyttävä todistus.
Se siitä! Nyt voit käyttää apache_ssl:tä komentorivina RHEL/CentOS 7.0:ssa luodaksesi niin monta paria itseallekirjoitettuja varmenteita ja avaimia, joita tarvitset, ja kaikki säilytetään osoitteessa /etc/httpd/ ssl/ polku avaintiedostolla, joka on suojattu 700 käyttöoikeuksilla.