Im heutigen Handbuch wird erläutert, wie Sie ein selbstsigniertes SSL-Zertifikat unter Linux generieren und in Apache implementieren. SSL wird immer wichtiger, da das Internet immer beliebter wird. Da kostenlose Let’s Encrypt-Zertifikate zu einer Ware werden, die jeder verwenden kann, gibt es für niemanden einen Grund, SSL nicht zu verwenden – ganz zu schweigen von den Vorteilen des Suchrankings und der Tatsache, dass Browser und Suchmaschinen Ihrer Website vertrauen.
Sie können jedoch auch ein eigenes selbstsigniertes SSL-Zertifikat für den privaten Gebrauch auf Ihrem Server erstellen. Ein wichtiger Grund dafür ist die Verschlüsselung. Während Ihr persönliches Zertifikat für Browser nichts bedeutet und Besucher dennoch eine Warnmeldung erhalten, wenn sie Ihre Website direkt besuchen, können Sie zumindest sicher sein, dass Sie vor „Man-in-the-Middle“ -Angriffen geschützt sind. Ein selbstsigniertes Zertifikat ist ein guter erster Schritt, wenn Sie nur Dinge auf Ihrem Server testen und möglicherweise noch nicht einmal einen Domainnamen haben.
Beginnen wir mit unserer schrittweisen Vorgehensweise So erstellen Sie ein selbstsigniertes SSL-Zertifikat unter Linux.
Inhaltsverzeichnis
Schritt 1: Erstellen Sie ein RSA-Schlüsselpaar
Der erste Schritt beim Generieren Ihres eigenen selbstsignierten SSL-Zertifikats besteht darin, das Paket „openssl“ unter Linux / CentOS zu verwenden, um ein RSA-Schlüsselpaar zu erstellen. Stellen Sie dazu sicher, dass Sie das Paket installiert haben. Wenn nicht, installieren Sie es mit dem folgenden Befehl:
sudo yum install openssl
Möglicherweise ist es bereits auf Ihrem System verfügbar – es sollte jetzt unabhängig davon installiert werden. Sobald bestätigt wurde, dass das Paket auf Ihrem System installiert ist, generieren Sie das Schlüsselpaar mit dem folgenden Befehl:
openssl genrsa -des3 -passout pass:x -out keypair.key 2048
Dieser Befehl verwendet eine 2048-Bit-Verschlüsselung und gibt eine aufgerufene Datei aus keypair.key, wie hier gezeigt:
Wie Sie sehen, wurde der Schlüssel generiert und im aktuellen Verzeichnis abgelegt.
Schritt 2: Extrahieren Sie den privaten Schlüssel in den Ordner „httpd“
Im Ordner /etc/httpd speichert das Betriebssystem alle wichtigen SSL-bezogenen Elemente. Zunächst erstellen wir einen neuen Ordner, in dem alle unsere Dateien gespeichert sind Bezogen auf unseren privaten Schlüssel:
sudo mkdir /etc/httpd/httpscertificate
Wir haben den Ordner httpscertificate aufgerufen und verweisen mit diesem Namen auf Alle anderen Befehlszeilenbeispiele. Sie können dem Ordner einen beliebigen Namen geben.
Um den privaten Schlüssel aus der soeben erstellten Schlüsselpaardatei zu extrahieren, geben Sie fo ein Folgendes:
openssl rsa -passin pass:x -in keypair.key -out /etc/httpd/httpscertificate/012.345.678.90.key
Ersetzen Sie den fett gedruckten Abschnitt durch die IP-Adresse Ihres eigenen Servers. Wenn Sie mit einem Domainnamen auf Ihre Site zugreifen können, können Sie diesen auch verwenden.
Dadurch wird eine .key -Datei in dem Ordner erstellt, der wir haben gerade erstellt. Wenn dieser Vorgang abgeschlossen ist, können wir die ursprüngliche Schlüsselpaardatei löschen:
rm keypair.key
Schritt 3: Erstellen einer CSR-Datei (Certificate Signing Request)
Mit dem Schlüssel können wir eine spezielle .csr -Datei erstellen, die wir entweder selbst signieren oder an eine „Zertifizierungsstelle“ senden können. Es hat ein standardisiertes Format und kann einfach mit unserem Schlüssel aus dem vorherigen Schritt generiert werden. Geben Sie zum Erstellen den folgenden Befehl ein:
openssl req -new -key /etc/httpd/httpscertificate/012.345.678.90.key -out /etc/httpd/httpscertificate/012.345.678.90.csr
Ersetzen Sie die fett gedruckten Elemente erneut durch die IP-Adresse oder den Domänennamen, den Sie in Schritt 2 festgelegt haben. Wenn Sie diesen Befehl ausführen, werden Sie vom Tool nach einigen Ihrer persönlichen Informationen gefragt, z. B. nach Ihrem Standort und dem Namen der Organisation:
Eine Zertifizierungsstelle (kurz für Certificate Authority) kann anhand dieser Details überprüfen, ob Sie tatsächlich der sind, für den Sie sich ausgeben. Versuchen Sie, die Felder mit so vielen Informationen wie möglich zu füllen.
Sobald Sie diese Details eingegeben haben, beendet das Tool seine Arbeit und platziert eine .csr Datei in dem Verzeichnis, das wir nur für diesen Zweck erstellt haben.
Schritt 4: Erstellen der Zertifikatdatei „.crt“
Mit der CSR können wir die endgültige Zertifikatdatei als erstellen Wir werden nun unsere Dateien .csr und .key verwenden, um unsere Datei .crt zu erstellen:
Dadurch wird eine .crt -Datei am Speicherort mit all unseren anderen Dateien erstellt. Wir wissen jetzt, wie wir unser selbstsigniertes SSL-Zertifikat generieren. Hier ist ein Screenshot von Die endgültigen Dateien in unserem Sicherheitsordner:
Jetzt müssen wir Apache mitteilen, wo sich diese Dateien befinden.
Schritt 5: Konfigurieren von Apache für die Verwendung der Dateien
Jetzt müssen wir Apache nur noch zeigen, wo sich unsere generierten selbstsignierten Zertifikate befinden. Zuerst müssen wir das Paket mod_ssl mit dem folgenden Befehl installieren:
sudo yum install mod_ssl
Sobald dies erledigt ist, wird a platziert ssl.conf -Datei im Ordner /etc/httpd/conf.d/. Wir müssen diese Standarddatei ändern. Verwenden Sie Ihren bevorzugten Texteditor:
sudo vi /etc/httpd/conf.d/ssl.conf
Scrollen Sie nun nach unten, bis Sie die folgenden Zeilen finden:
SSLCertificateFileSSL CertificateKeyFile
Ändern Sie die Standardpfade mit den Pfaden zur Zertifikatdatei bzw. Schlüsseldatei wie hier gezeigt:
Speichern Sie Ihre Änderungen. Starten Sie Apache jetzt einfach neu mit:
sudo apachectl restart
Und fertig! Beim Neustart von Apache wird konfiguriert, dass SSL-Verbindungen mithilfe der generierten selbstsignierten SSL-Zertifikate zugelassen werden.
Wenn Sie das nächste Mal über HTTPS eine Verbindung zu Ihrer IP-Adresse herstellen, werden Sie gewarnt, dass dies nicht der Fall ist ein vertrauenswürdiges Zertifikat:
Das ist in Ordnung. Wir wissen das, seit wir es selbst unterschrieben haben! Fahren Sie einfach fort und Sie gelangen zur eigentlichen Website:
Hier können Sie sehen, dass das von uns erstellte Zertifikat verwendet wird. Es ist für andere Personen, die Ihre Website besuchen, nicht sehr nützlich, da sie Ihre Identität nicht überprüfen können. Aber Sie wissen, dass es sicher ist und dass es verschlüsselt ist. Kein Mann in der Mitte greift an!
Sie wissen jetzt, wie Sie Ihre eigenen selbstsignierten SSL-Zertifikate generieren und auf Ihrem Apache-Webserver implementieren.
Wenn Sie einer unserer Verwalteten sind VPS-Hosting-Kunden, all dies können wir ohne zusätzliche Kosten für Sie erledigen. Wenden Sie sich einfach an unsere Systemadministratoren, die Ihre Anfrage so schnell wie möglich beantworten.