A mai útmutatónkban megvitatjuk, hogyan lehet generálni egy önaláírt SSL-tanúsítványt Linuxon, valamint hogyan kell azokat megvalósítani az Apache-ban. Az SSL egyre fontosabbá válik, mivel az internet egyre népszerűbb. Mivel az Ingyenes Let Encrypt tanúsítványok olyan árucikké válnak, amelyet bárki használhat, nincs ok arra, hogy bárki ne használja az SSL-t – nem beszélve a keresési rangsor előnyeiről, valamint arról, hogy a böngészők és a keresőmotorok megbíznak az Ön webhelyében.
Ugyanakkor saját, saját aláírással ellátott SSL-tanúsítványt is létrehozhat magáncélra a szerveren. Ennek egyik nagy oka a titkosítás. Noha a személyes tanúsítvány nem jelent semmit a böngészők számára, és a látogatók továbbra is figyelmeztető üzenetet kapnak, ha közvetlenül az Ön webhelyére látogatnak, akkor legalább biztos lehet benne, hogy védve van a “ember a közepén” támadások ellen. Az önaláírt tanúsítvány jó első lépés, amikor csak teszteled a dolgokat a szervereden, és valószínűleg még nincs domainneved.
Kezdjük a lépésenkénti eljárással: hogyan lehet önaláírt SSL-tanúsítványt létrehozni Linuxon.
Tartalom-jegyzék
1. lépés: Hozzon létre egy RSA-kulcspárt
A saját, aláírt SSL tanúsítvány létrehozásának első lépése az, hogy az “openssl” csomagot használja Linux / CentOS rendszeren egy RSA kulcspár létrehozásához. Ehhez ellenőrizze, hogy telepítve van-e a csomag. Ha nem, telepítse a következő paranccsal:
sudo yum install openssl
Valószínű, hogy már elérhető a rendszerén – mostantól függetlenül telepítenie kell. Miután megerősítette, hogy a csomag telepítve van a rendszerén, a következő paranccsal állítsa elő a kulcspárot:
openssl genrsa -des3 -passout pass:x -out keypair.key 2048
Ez a parancs 2048 bites titkosítást használ, és egy keypair.key, az itt látható módon:
Amint láthatja, a kulcs létrehozásra került és az aktuális könyvtárba került.
2. lépés: Bontsa ki a privát kulcsot a “httpd” mappa
A /etc/httpd mappa az operációs rendszer minden fontos, az SSL-hez kapcsolódó elemét tárolja. Először hozzunk létre egy új mappát az összes fájl tárolására a privát kulcsunkkal kapcsolatos:
sudo mkdir /etc/httpd/httpscertificate
A httpscertificate mappát hívtuk, és ezzel a névvel fogjuk hivatkozni az összes többi parancssori példa. Bármire elnevezheti a mappát.
A privát kulcs kibontásához az imént létrehozott keypair fájlból írja be a fo llowing:
openssl rsa -passin pass:x -in keypair.key -out /etc/httpd/httpscertificate/012.345.678.90.key
Cserélje ki a félkövér betűs részt a saját szerverének IP-címére. Vagy ha domain névvel fér hozzá webhelyéhez, akkor ezt is használhatja.
Ez létrehoz egy .key fájlt a mappában, amely most hoztunk létre. Ha ez a folyamat elkészült, törölhetjük az eredeti kulcspár fájlt:
rm keypair.key
3. lépés: “Tanúsítvány aláírási kérelem” (CSR) fájl létrehozása
A kulccsal létrehozhatunk egy speciális .csr fájlt, amelyet vagy aláírhatunk, vagy beküldhetünk egy “Tanúsító hatóságnak”. Ez szabványosított formátumban van, és könnyen előállítható az előző lépés kulcsaival. Létrehozásához írja be a következő parancsot:
openssl req -new -key /etc/httpd/httpscertificate/012.345.678.90.key -out /etc/httpd/httpscertificate/012.345.678.90.csr
Ismét cserélje ki a félkövéren szereplő elemeket az IP-címre vagy a tartománynévre, amelyre a 2. lépésben beállt. A parancs futtatásakor az eszköz néhány személyes adatot kér, például a helyét és a szervezet nevét:
A CA (a tanúsító hatóság rövidítése) felhasználhatja ezeket az adatokat annak ellenőrzésére, hogy valóban Ön az, akinek mondja magát. Próbálja meg minél több információval feltölteni a mezőket.
Miután beírta ezeket a részleteket, az eszköz befejezi a munkáját, és elhelyez egy .csr fájl a könyvtárban, amelyet éppen erre a célra hoztunk létre.
4. lépés: Tanúsítvány “.crt” fájl létrehozása
A CSR segítségével létrehozhatjuk a végleges tanúsítványfájlt Mostantól a .csr és a .key fájlokat fogjuk használni a .crt fájlunk létrehozásához:
Ez egy .crt fájlt hoz létre a helyszínen az összes többi fájlunkkal. Most már tudjuk, hogyan állíthatjuk elő saját aláírású SSL tanúsítványunkat. Itt egy képernyőkép a a biztonsági mappánk utolsó fájljai:
Most el kell mondanunk az Apache-nak, hol vannak ezek a fájlok.
5. lépés: Az Apache beállítása a fájlok használatára
Most csak annyit kell tennünk, hogy megmutatjuk az Apache-ot, ahol a generált, önaláírt tanúsítványok találhatók. Először telepítenünk kell a mod_ssl csomagot a következő paranccsal:
sudo yum install mod_ssl
Ha elkészült, ez egy ssl.conf fájl a /etc/httpd/conf.d/ mappában. Módosítanunk kell ezt az alapértelmezett fájlt. Használja a kívánt szövegszerkesztőt:
sudo vi /etc/httpd/conf.d/ssl.conf
Most görgessen lefelé, amíg meg nem találja a következővel kezdődő sorokat:
SSLCertificateFileSSL CertificateKeyFile
Módosítsa az alapértelmezett elérési utakat a tanúsítványfájl és a kulcsfájl elérési útjaival, az alábbiak szerint:
Mentse el a módosításokat. Most csak indítsa újra az Apache-ot a következővel:
sudo apachectl restart
És kész! Amikor az Apache újraindul, a rendszer konfigurálja az SSL-kapcsolatok engedélyezését a generált saját aláírású SSL-tanúsítványok használatával.
Amikor legközelebb HTTPS-en keresztül csatlakozik IP-címéhez, figyelmeztetni fogja, hogy nem megbízható tanúsítvány:
Rendben van. Ezt tudjuk, mivel mi magunk írtuk alá! Csak folytassa, és a tényleges webhelyre viszi:
Itt láthatja, hogy az általunk létrehozott tanúsítványt használja. Nem sok hasznát veszi bárki más, aki meglátogatja az Ön webhelyét, mivel nem tudja igazolni az Ön személyazonosságát. De tudod, hogy biztonságos, és ráadásul titkosított. Nincs olyan ember, aki középen támadna!
Most már tudja, hogyan állíthatja elő saját maga aláírt SSL-tanúsítványait, és telepítheti azokat az Apache webszerverére.
Ha Ön a Managed egyik tagja VPS hosting kliensek, mindezt megtehetjük ön helyett, külön költség nélkül. Egyszerűen vegye fel a kapcsolatot rendszergazdáinkkal, és ők a lehető leghamarabb válaszolnak a kérésére.