Tämänpäiväisessä oppaassa keskustellaan siitä, miten itse allekirjoitettu SSL-varmenne luodaan Linuxissa ja miten ne otetaan käyttöön Apache-ohjelmassa. SSL on yhä tärkeämpi Internetin suosion kasvaessa. Kun ilmainen Encrypt-varmenteista tulee hyödyke, jota kuka tahansa voi käyttää, ei ole syytä kenenkään olla käyttämättä SSL: ää – puhumattakaan hakusijoituksen eduista ja siitä, että selaimet ja hakukoneet luottavat sivustoosi.
Voit kuitenkin myös luoda oman allekirjoittamasi SSL-varmenteen yksityiseen käyttöön palvelimellasi. Yksi suuri syy tähän on salaus. Vaikka henkilökohtainen varmenteesi ei tarkoita mitään selaimille, ja kävijät saavat silti varoitusviestin, jos he vierailevat sivustollasi suoraan, voit ainakin olla varma, että olet suojattu ”man-in-the-middle” -hyökkäyksiltä. Itse allekirjoittama varmenne on hyvä ensimmäinen askel, kun testaat asioita vain palvelimellasi, ja sinulla ei ehkä vielä ole vielä verkkotunnusta.
Aloitetaan vaihe vaiheelta kuinka itse allekirjoitettu SSL-varmenne luodaan Linuxiin.
Sisällysluettelo
Vaihe 1: Luo RSA-avainpari
Ensimmäinen askel omien allekirjoittamiesi SSL-varmenteiden luomisessa on käyttää ”openssl” -pakettia Linux / CentOS: lla RSA-avainparin luomiseen. Tätä varten varmista, että paketti on asennettu. Jos ei, asenna se tällä komennolla:
sudo yum install openssl
Mahdollisuudet ovat, että sinulla on jo käytettävissäsi järjestelmäsi – se on nyt asennettava riippumatta. Kun paketti on vahvistettu asennetuksi järjestelmääsi, luo avainpari seuraavalla komennolla:
openssl genrsa -des3 -passout pass:x -out keypair.key 2048
Tämä komento käyttää 2048-bittistä salausta ja antaa tiedoston nimeltä keypair.key
, kuten tässä näytetään:
Kuten näette, avain on luotu ja sijoitettu nykyiseen hakemistoon.
Vaihe 2: Pura yksityinen avain ”httpd” -kansio
/etc/httpd
-kansio on käyttöjärjestelmä, jossa kaikki tärkeät SSL-kohteet säilytetään. Luodaan ensin uusi kansio, johon mahtuu kaikki tiedostomme. liittyy yksityiseen avaimeemme:
sudo mkdir /etc/httpd/httpscertificate
Kutsuimme kansion httpscertificate
ja viittaamme siihen tällä nimellä kaikki muut komentoriviesimerkit. Voit nimetä kansion haluamallesi nimellä.
Voit purkaa yksityisen avaimen juuri luomastamme avainparitiedostosta kirjoittamalla fo llowing:
openssl rsa -passin pass:x -in keypair.key -out /etc/httpd/httpscertificate/012.345.678.90.key
Korvaa lihavoitu osa oman palvelimesi IP-osoitteella. Tai jos pystyt käyttämään sivustoasi verkkotunnuksella, voit käyttää sitä myös.
Tämä luo .key
-tiedoston kansioon, joka olemme juuri luoneet. Kun tämä prosessi on valmis, voimme poistaa alkuperäisen avainparitiedoston:
rm keypair.key
Vaihe 3: ”Sertifikaatin allekirjoituspyynnön” (CSR) -tiedoston luominen
Avaimella voimme luoda erityisen .csr
-tiedoston, jonka voimme joko allekirjoittaa itse tai lähettää varmenneviranomaiselle. Se on standardoidussa muodossa ja se voidaan helposti luoda edellisen vaiheen avaimellamme. Luo se kirjoittamalla seuraava komento:
openssl req -new -key /etc/httpd/httpscertificate/012.345.678.90.key -out /etc/httpd/httpscertificate/012.345.678.90.csr
Korvaa jälleen lihavoidut kohteet IP-osoitteella tai verkkotunnuksella, johon olet asettanut vaiheessa 2. Kun suoritat tämän komennon, työkalu kysyy sinulta joitain henkilökohtaisia tietojasi, kuten sijaintiasi ja organisaation nimeä:
Varmentaja voi käyttää näitä tietoja varmistaakseen, että olet todellakin se, jonka sanot olevasi. Yritä täyttää kentät niin paljon tietoa kuin mahdollista.
Kun olet syöttänyt nämä tiedot, työkalu viimeistelee työnsä ja sijoittaa .csr
tiedosto hakemistoon, jonka loimme juuri tätä tarkoitusta varten.
Vaihe 4: Varmenteen ”.crt” -tiedoston luominen
CSR: llä voimme luoda lopullisen varmentetiedoston nimellä Seuraavaksi käytämme tiedostoja .csr
ja .key
tiedostojemme luomiseen .crt
-tiedostomme:
Tämä luo sijaintiin .crt
-tiedoston kaikkien muiden tiedostojemme kanssa. Tiedämme nyt, miten luodaan itse allekirjoitettu SSL-varmenne. Tässä on kuvakaappaus viimeiset suojauskansion tiedostot:
Nyt meidän on kerrottava Apachelle, missä nämä tiedostot ovat.
Vaihe 5: Apachen määrittäminen käyttämään tiedostoja
Nyt meidän on vain näytettävä Apache, missä luodut itse allekirjoitetut varmenteet ovat. Ensin meidän on asennettava mod_ssl
-paketti komennolla:
sudo yum install mod_ssl
Kun se on valmis, tämä asettaa ssl.conf
tiedosto /etc/httpd/conf.d/
-kansiossa. Meidän on muokattava tätä oletustiedostoa. Käytä haluamaasi tekstieditoria:
sudo vi /etc/httpd/conf.d/ssl.conf
Vieritä nyt alaspäin, kunnes löydät rivit, jotka alkavat:
SSLCertificateFileSSL CertificateKeyFile
Muuta oletuspolkuja varmentetiedoston ja avaintiedoston poluilla, kuten tässä on esitetty:
Tallenna muutokset. Käynnistä Apache vain uudestaan:
sudo apachectl restart
Ja olet valmis! Kun Apache käynnistyy uudelleen, se määritetään sallimaan SSL-yhteydet käyttämällä luotuja itse allekirjoitettuja SSL-varmenteita.
Kun seuraavan kerran muodostat yhteyden IP-osoitteeseesi HTTPS: n kautta, sinua varoitetaan, että se ei ole luotettu varmenne:
Se on ok. Tiedämme tämän, koska allekirjoitimme sen itse! Jatka vain ja se vie sinut todelliselle verkkosivustolle:
Täältä näet, että se käyttää luomamme sertifikaattia. Siitä ei ole paljon hyötyä kenellekään muulle sivustollasi vierailevalle henkilölle, koska hän ei voi vahvistaa henkilöllisyyttäsi. Mutta tiedät, että se on turvallista, ja lisäksi, että se on salattu. Kukaan ei ole keskellä hyökkäyksiä!
Tiedät nyt, miten voit luoda omat itse allekirjoittamasi SSL-varmenteet ja ottaa ne käyttöön Apache-verkkopalvelimellasi.
Jos olet yksi hallinnoiduistamme VPS-isäntäasiakkaat, voimme tehdä kaiken tämän puolestasi ilman lisäkustannuksia. Ota vain yhteyttä järjestelmänvalvojiin ja he vastaavat pyyntösi mahdollisimman pian.