Kif Oħloq Ċertifikati u Ċwievet SSL ffirmati waħedhom għal Apache fuq RHEL/CentOS 7.0
SSL (Secure Sockets Layer) huwa protokoll kriptografiku li jippermetti fluss ta' dejta sigur bejn server u l-klijenti tiegħu billi juża ċwievet simmetriċi/assimetriċi billi juża ċertifikat diġitali ffirmat minn Awtorità taċ-Ċertifikati (CA).
- Installazzjoni Bażika tal-LAMPA fuq RHEL/CentOS 7.0
Dan it-tutorja jipprovdi approċċ dwar kif twaqqaf il-protokoll kriptografiku ta' komunikazzjoni ta' Secure Sockets Layer (SSL) fuq Apache Web Server installat fir-Red Hat Enterprise Linux/CentOS 7.0, u tiġġenera Ċertifikati u Ċwievet iffirmati waħedhom bil- għajnuna ta 'skript bash li jissimplifika bil-kbir il-proċess kollu.
Pass 1: Installa u Ikkonfigura Apache SSL
1. Biex tippermetti SSL fuq Apache HTTP Server uża l-kmand li ġej biex tinstalla SSL Module u OpenSSL tool-kit li hija meħtieġa għall-appoġġ SSL/TLS.
# yum install mod_ssl openssl
2. Wara li l-modulu SSL ikun ġie installat, erġa ibda d-daemon HTTPD u żid regola ġdida tal-Firewall biex tiżgura li l-port SSL – 443 – ikun miftuħ għal konnessjonijiet ta’ barra fuq il-magna tiegħek biex tisma’ Stat.
# systemctl restart httpd # firewall-cmd --add-service=https ## On-fly rule # firewall-cmd --permanent --add-service=https ## Permanent rule – needs firewalld restart
3. Biex tittestja l-konnessjoni SSL, iftaħ browser remot u naviga għall-indirizz IP tas-server tiegħek billi tuża protokoll HTPS fuq https://server_IP.
Pass 2: Oħloq Ċertifikati u Ċwievet SSL
4. Il-komunikazzjoni SSL preċedenti bejn is-server u l-klijent saret bl-użu ta 'Ċertifikat u Ċavetta default iġġenerati awtomatikament mal-installazzjoni. Sabiex jiġu ġġenerati ċwievet privati ġodda u pari ta' ċertifikati ffirmati waħedhom joħolqu l-iskript bash li ġej fuq mogħdija tas-sistema eżekutibbli (PATH).
Għal din it-triq tutorja /usr/local/bin/ intgħażlet, kun żgur li l-iskript għandu sett ta’ bit eżekutibbli u, imbagħad, użaha bħala kmand biex toħloq pari SSL ġodda fuq /etc/ httpd/ssl/bħala post default Ċertifikati u Ċwievet.
# nano /usr/local/bin/apache_ssl
Uża l-kontenut tal-fajl li ġej.
#!/bin/bash mkdir /etc/httpd/ssl cd /etc/httpd/ssl echo -e "Enter your virtual host FQDN: \nThis will generate the default name for Apache SSL Certificate and Key!" read cert openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out $cert.key chmod 600 $cert.key openssl req -new -key $cert.key -out $cert.csr openssl x509 -req -days 365 -in $cert.csr -signkey $cert.key -out $cert.crt echo -e " The Certificate and Key for $cert has been generated!\nPlease link it to Apache SSL available website!" ls -all /etc/httpd/ssl exit 0
5. Issa agħmel din l-iskrittura eżekutibbli u tniedi biex tiġġenera par ġdid ta 'Ċertifikat u Ċavetta għall-Ospitanti Virtwali SSL Apache tiegħek.
Imla bl-informazzjoni tiegħek u agħti attenzjoni għall-valur ta' Isem Komuni biex jaqbel mal-FQDN tas-server tiegħek jew fil-każ ta' Hosting Virtwali biex jaqbel mal-indirizz tal-Web li tkun qed taċċessa meta tikkonnettja ma' websajt sigura.
# chmod +x /usr/local/bin/apache_ssl # apache_ssl
6. Wara li ċ-Ċertifikat u ċ-Ċavetta jiġu ġġenerati, l-iskrittura se tippreżenta lista twila tal-pari kollha tal-Apache SSL tiegħek maħżuna fil-post /etc/httpd/ssl/.
7. Approċċ ieħor dwar il-ġenerazzjoni ta' Ċertifikati u Ċwievet SSL huwa billi tinstalla pakkett crypto-utils fis-sistema tiegħek u tiġġenera pari bl-użu ta' kmand ta' genkey, li jista' jimponi xi problemi speċjalment meta jintuża fuq Skrin tat-terminal Putty.
Għalhekk, nissuġġerixxi li tuża dan il-metodu biss meta tkun imqabbad direttament ma 'monitor tal-iskrin.
# yum install crypto-utils # genkey your_FQDN
8. Biex iżżid iċ-Ċertifikat u ċ-Ċavetta l-ġodda mal-websajt SSL tiegħek, iftaħ il-fajl tal-konfigurazzjoni tal-websajt tiegħek u ibdel id-dikjarazzjonijiet SSLCertificateFile u SSLCertificateKeyFile bil-lok tal-pari l-ġodda u l-ismijiet kif xieraq.
9. Jekk iċ-Ċertifikat ma jinħareġ minn CA fdata – Awtorità taċ-Ċertifikazzjoni jew l-isem tal-host miċ-ċertifikat ma jaqbilx mal-isem tal-host li jistabbilixxi l-konnessjoni, għandu jidher żball fuq il-browser tiegħek u trid taċċetta ċ-ċertifikat manwalment.
Dak hu! Issa tista' tuża apache_sslbħala linja ta' kmand fuq RHEL/CentOS 7.0 biex tiġġenera kemm għandek bżonn pari ta' Ċertifikati u Ċwievet iffirmati minnha stess, u kollha jinżammu fuq /etc/httpd/ ssl/ mogħdija bil-fajl Ewlenin protett b'700 permess.