Kif Toħloq Ċertifikat SSL ffirmat Awto Lokali fuq CentOS 8

SSL (Secure Socket Layer), u l-verżjoni mtejba tiegħu, TLS (Transport Socket Layer), huma protokolli ta’ sigurtà li jintużaw biex jiżguraw it-traffiku tal-web mibgħut minn web browser ta’ klijent għal web server.

Ċertifikat SSL huwa ċertifikat diġitali li joħloq kanal sigur bejn il-browser tal-klijent u server tal-web. Meta tagħmel dan, dejta sensittiva u kunfidenzjali bħal dejta tal-karta ta’ kreditu, kredenzjali tal-login, u informazzjoni oħra privata ħafna hija kkodifikata, u dan jipprevjeni lill-hackers milli jisimgħu u jisirqu l-informazzjoni tiegħek.

Ċertifikat SSL iffirmat minnu nnifsu, b'differenza minn ċertifikati SSL oħra li huma ffirmati u fdati minn Awtorità taċ-Ċertifikati (CA), huwa ċertifikat iffirmat minn individwu li huwa s-sid.

Huwa totalment liberu li toħloq wieħed u huwa mod irħis ta 'kodifikazzjoni tas-server tal-web ospitat lokalment tiegħek. Madankollu, l-użu ta' ċertifikat SSL iffirmat minnu nnifsu huwa skoraġġut ħafna f'ambjenti ta' produzzjoni għar-raġunijiet li ġejjin:

  1. Peress li mhuwiex iffirmat minn Awtorità taċ-Ċertifikati, ċertifikat SSL iffirmat minnu nnifsu jiġġenera twissijiet fuq web browsers li jwissu lill-utenti dwar riskju potenzjali fil-quddiem jekk jiddeċiedu li jipproċedu. Dawn it-twissijiet mhumiex mixtieqa u jiddiswadu lill-utenti milli jżuru l-websajt tiegħek, u potenzjalment iwasslu għal tnaqqis fit-traffiku tal-web. Bħala soluzzjoni għal dawn it-twissijiet, l-organizzazzjonijiet normalment iħeġġu lill-impjegati tagħhom biex sempliċement jinjoraw it-twissijiet u jipproċedu 'l quddiem. Dan jista' jwassal għal drawwa perikoluża fost l-utenti li jistgħu jiddeċiedu li jkomplu jinjoraw dawn it-twissijiet fuq siti oħra online, u potenzjalment jisfaw vittma ta' siti ta' phishing.
  2. Iċ-ċertifikati ffirmati lilhom infushom għandhom livell ta' sigurtà baxx peress li jimplimentaw teknoloġiji u hashes ta' ċifrar ta' livell baxx. Għalhekk il-livell ta' sigurtà jista' ma jkunx f'parità mal-politiki ta' sigurtà standard.
  3. Barra minn hekk, m'hemm l-ebda appoġġ għall-funzjonijiet tal-Infrastruttura taċ-Ċavetta Pubblika (PKI).

Cela dit, l-użu ta 'ċertifikat SSL iffirmat minnu nnifsu mhuwiex idea ħażina għall-ittestjar ta' servizzi u applikazzjonijiet fuq magna lokali li teħtieġ encryption TLS/SSL.

F'din il-gwida, titgħallem kif tinstalla ċertifikat SSL lokali ffirmat minnu nnifsu fuq is-server tal-web Apache localhost fuq sistema server CentOS 8.

Qabel ma tibda, kun żgur li għandek ir-rekwiżiti bażiċi li ġejjin:

  1. Istanza tas-server CentOS 8.
  2. Webserver Apache installat fuq is-server
  3. Ostname diġà kkonfigurat u definit fil-fajl /etc/hosts. Għal din il-gwida, se nużaw tecmint.local hostname għas-server tagħna.

Pass 1: Installazzjoni ta 'Mod_SSL fuq CentOS

1. Biex tibda, trid tivverifika li s-server tal-web Apache huwa installat u qed jaħdem.

$ sudo systemctl status httpd

Hawn hu l-output mistenni.

Jekk il-webserver ma jkunx qed jaħdem, tista 'tibda u tappermettih malli tibda tuża l-kmand.

$ sudo systemctl start httpd
$ sudo systemctl enable httpd

Tista' wara tikkonferma jekk Apache huwiex qed jaħdem.

2. Biex tippermetti l-installazzjoni u s-setup taċ-ċertifikat SSL lokali ffirmat waħdu, il-pakkett mod_ssl huwa meħtieġ.

$ sudo dnf install mod_ssl

Ladarba tkun installata, tista 'tivverifika l-installazzjoni tagħha billi taħdem.

$ sudo rpm -q mod_ssl

Ukoll, kun żgur li l-pakkett OpenSSL huwa installat (OpenSSL jiġi installat awtomatikament f'CentOS 8).

$ sudo rpm -q openssl

Pass 2: Oħloq Ċertifikat SSL Lokali Iffirmat Awto għal Apache

3. Bis-server tal-web Apache u l-prerekwiżiti kollha taħt kontroll, għandek bżonn toħloq direttorju li fih se jinħażnu ċ-ċwievet kriptografiċi.

F'dan l-eżempju, ħloqna direttorju f'/etc/ssl/private.

$ sudo mkdir -p /etc/ssl/private

Issa oħloq iċ-ċavetta taċ-ċertifikat SSL lokali u l-fajl billi tuża l-kmand:

$ sudo openssl req -x509 -nodes -newkey rsa:2048 -keyout tecmint.local.key -out tecmint.local.crt

Ejja nagħtu ħarsa lejn xi wħud mill-għażliet fil-kmand attwalment jirrappreżentaw:

  • req -x509 – Dan jindika li qed nużaw it-Talba ta' Firmat ta' Ċertifikat (CSR) x509.
  • -nodes – Din l-għażla tagħti struzzjonijiet lil OpenSSL biex taqbeż il-kriptaġġ taċ-ċertifikat SSL billi tuża passphrase. L-idea hawnhekk hija li tippermetti lil Apache li jkun jista' jaqra l-fajl mingħajr ebda tip ta' intervent mill-utent li ma jkunx possibbli jekk tiġi pprovduta passphrase.
  • -newkey rsa:2048 – Dan jindika li rridu noħolqu simultanjament ċavetta ġdida u ċertifikat ġdid. Il-porzjon rsa:2048 jimplika li rridu noħolqu ċavetta RSA 2048-bit.
  • -keyout – Din l-għażla tispeċifika fejn taħżen il-fajl taċ-ċavetta privata ġġenerat mal-ħolqien.
  • -out – L-għażla tispeċifika fejn jitqiegħed iċ-ċertifikat SSL maħluq.

Pass 3: Installa Ċertifikat SSL Iffirmat Awto Lokali fuq Apache

4. Wara li ġġenera l-fajl taċ-ċertifikat SSL, Issa wasal iż-żmien li tinstalla ċ-ċertifikat billi tuża s-settings tas-server tal-web Apache. Iftaħ u editja l-fajl tal-konfigurazzjoni /etc/httpd/conf.d/ssl.conf.

$ sudo vi /etc/httpd/conf.d/ssl.conf

Kun żgur li għandek il-linji li ġejjin bejn it-tikketti tal-ospitanti virtwali.

<VirtualHost *:443>
    ServerAdmin [email 
    ServerName www.tecmint.local
    ServerAlias tecmint.local
 
    DocumentRoot /var/www/html
 
    SSLEngine on
    SSLCertificateFile /etc/ssl/private/tecmint.local.crt
    SSLCertificateKeyFile /etc/ssl/private/tecmint.local.key
</VirtualHost>

Issejvja u oħroġ mill-fajl. Biex isiru l-bidliet, ibda mill-ġdid Apache billi tuża l-kmand:

$ sudo systemctl restart httpd

5. Għal utenti esterni biex jaċċessaw is-server tiegħek, għandek bżonn tiftaħ il-port 443 permezz tal-firewall kif muri.

$ sudo firewall-cmd --add-port=443 --zone=public --permanent
$ sudo firewall-cmd --reload

Pass 3: Ittestjar taċ-Ċertifikat SSL ffirmat Awto Lokali fuq Apache

Bil-konfigurazzjonijiet kollha f'posthom, qabbad il-browser tiegħek u bbrawżja l-indirizz tas-server tiegħek billi tuża l-indirizz IP jew l-isem tad-dominju tas-server billi tuża l-protokoll https.

Biex tissimplifika l-ittestjar, tista 'tikkunsidra li terġa' tindirizza l-protokoll HTTP għal HTTPS fuq is-server tal-web Apache. Dan sabiex kull meta tibbrawżja d-dominju b'HTTP sempliċi, awtomatikament jiġi ridirett lejn protokoll HTTPS.

Allura bbrawżja d-dominju jew l-IP tas-server tiegħek

https://domain_name/

Se tirċievi twissija li tinfurmak li l-konnessjoni mhix sigura kif muri. Dan ivarja minn browser għal ieħor. Kif tista' taħsbu, it-twissija hija dovuta għall-fatt li ċ-ċertifikat SSL mhuwiex iffirmat mill-Awtorità taċ-Ċertifikati u l-browser jirreġistra dan u jirrapporta li ċ-ċertifikat ma jistax jiġi fdat.

Biex tipproċedi għall-websajt tiegħek, ikklikkja fuq it-tab 'Avvanzat' kif muri hawn fuq:

Sussegwentement, żid l-eċċezzjoni mal-browser.

Fl-aħħarnett, erġa' tagħbija l-browser tiegħek u osserva li issa tista' taċċessa s-server, għalkemm, se jkun hemm twissija fuq il-bar tal-URL li s-sit mhux sikur għal kollox għall-istess raġuni li ċ-ċertifikat SSL huwa ffirmat minnu nnifsu u mhux iffirmat mill- Awtorità taċ-Ċertifikat.

Hija t-tama tagħna li issa tista 'tipproċedi u toħloq u tinstalla ċertifikat SSL iffirmat minnha nnifisha fuq is-server tal-web Apache localhost fuq CentOS 8.