Itse allekirjoitettujen SSL-sertifikaattien ja -avaimien luominen Apachelle RHEL/CentOS 7.0:ssa


SSL (Secure Sockets Layer) on salausprotokolla, joka mahdollistaa suojatun tiedonkulun palvelimen ja sen asiakkaiden välillä käyttämällä symmetrisiä/epäsymmetrisiä avaimia käyttämällä varmenteen myöntäjän allekirjoittamaa digitaalista varmennetta. (CA).

Vaatimukset

  1. LAMP-perusasennus RHEL/CentOS 7.0:aan

Tämä opetusohjelma tarjoaa lähestymistavan Secure Sockets Layer (SSL) -viestinnän salausprotokollan määrittämiseen Red Hat Enterprise Linuxiin/CentOS 7.0< asennettuun Apache-verkkopalvelimeen. ja luoda itse allekirjoitettuja varmenteita ja avaimia bash-komentosarjan avulla, joka yksinkertaistaa huomattavasti koko prosessia.

Vaihe 1: Asenna ja määritä Apache SSL

1. Ota SSL käyttöön Apache HTTP Serverissä käyttämällä seuraavaa komentoa asentaaksesi SSL-moduulin ja OpenSSL-työkalusarjan, jota tarvitaan SSL/TLS-tukea varten.

yum install mod_ssl openssl

2. Kun SSL-moduuli on asennettu, käynnistä HTTPD-daemon uudelleen ja lisää uusi palomuurisääntö varmistaaksesi, että SSL-portti – 443 – avataan koneen ulkoiset liitännät kuuntelutilassa.

systemctl restart httpd
firewall-cmd --add-service=https   ## On-fly rule

firewall-cmd --permanent  --add-service=https   ## Permanent rule – needs firewalld restart

3. Testaa SSL-yhteyttä avaamalla etäselain ja siirtymällä palvelimesi IP-osoitteeseen käyttämällä HTPS-protokollaa osoitteessa https://server_IP.

Vaihe 2: Luo SSL-varmenteet ja -avaimet

4. Edellinen SSL-yhteys palvelimen ja asiakkaan välillä käytettiin oletussertifikaatilla ja -avaimella, joka luotiin automaattisesti asennuksen yhteydessä. Luodaksesi uusia yksityisiä avaimia ja itse allekirjoitettuja varmenteita pareja, luo seuraava bash-skripti suoritettavalle järjestelmäpolulle (` PATH).

Tälle opetusohjelmalle valittiin polku /usr/local/bin/, varmista, että komentosarjassa on suoritettava bitti, ja käytä sitä sitten komennona uusien SSL-parien luomiseen osoitteessa /etc/ httpd/ssl/ sertifikaattien ja avainten oletussijaintina.

nano /usr/local/bin/apache_ssl

Käytä seuraavaa tiedostosisältöä.

#!/bin/bash
mkdir /etc/httpd/ssl
cd /etc/httpd/ssl

echo -e "Enter your virtual host FQDN: \nThis will generate the default name for Apache SSL Certificate and Key!"
read cert

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out $cert.key
chmod 600 $cert.key
openssl req -new -key $cert.key -out $cert.csr
openssl x509 -req -days 365 -in $cert.csr -signkey $cert.key -out $cert.crt

echo -e " The Certificate and Key for $cert has been generated!\nPlease link it to Apache SSL available website!"
ls -all /etc/httpd/ssl
exit 0

5. Tee nyt tästä skriptistä suoritettava ja käynnistä se luodaksesi uuden varmenteen ja avaimen parin Apache SSL Virtual Host -palvelimellesi.

Täytä se tiedoillasi ja kiinnitä huomiota Yleinen nimi-arvoon, jotta se vastaa palvelimesi FQDN-numeroa, tai virtuaalipalvelimen tapauksessa verkko-osoitetta, jota käytät, kun muodostat yhteyden suojattuun verkkosivustoon.

chmod +x /usr/local/bin/apache_ssl
apache_ssl

6. Kun varmenne ja avain on luotu, komentosarja näyttää pitkän luettelon kaikista Apache SSL -pareistasi, jotka on tallennettu sijaintiin /etc/httpd/ssl/.

7. Toinen tapa luoda SSL-varmenteita ja avaimia on asentaa crypto-utils-paketti järjestelmääsi ja luoda pareja genkey-komennolla, mikä voi aiheuttaa ongelmia varsinkin käytettäessä Putty-päätenäytössä.

Joten suosittelen tämän menetelmän käyttöä vain, kun olet suoraan yhteydessä näyttöön.

yum install crypto-utils
genkey your_FQDN

8. Lisää uusi varmenne ja avain SSL-verkkosivustollesi avaamalla verkkosivustosi määritystiedosto ja korvaamalla SSLCertificateFile- ja SSLCertificateKeyFile-lauseet uusilla pareilla sijainti ja nimet vastaavasti.

9. Jos varmennetta ei ole myöntänyt luotettava CA – varmenteen myöntäjä tai varmenteen isäntänimi ei vastaa yhteyden muodostanutta isäntänimeä, selaimeesi pitäisi ilmestyä virheilmoitus ja sinun on hyväksyttävä todistus.

Se siitä! Nyt voit käyttää apache_ssl:tä komentorivina RHEL/CentOS 7.0:ssa luodaksesi niin monta paria itseallekirjoitettuja varmenteita ja avaimia, joita tarvitset, ja kaikki säilytetään osoitteessa /etc/httpd/ ssl/ polku avaintiedostolla, joka on suojattu 700 käyttöoikeuksilla.