I dagens guide kommer vi att diskutera hur man skapar ett självsignerat SSL-certifikat på Linux samt hur man implementerar dem i Apache. SSL blir allt viktigare när internet blir mer populärt. Med gratis Låt oss kryptera certifikat blir en vara som vem som helst kan använda finns det ingen anledning för någon att inte använda SSL – för att inte tala om fördelarna med sökrankning och det faktum att webbläsare och sökmotorer litar på din webbplats.
Du kan dock också skapa ditt eget självsignerade SSL-certifikat för privat bruk på din server. En stor anledning att göra detta är kryptering. Medan ditt personliga certifikat inte betyder något för webbläsare, och besökare fortfarande får ett varningsmeddelande om de besöker din webbplats direkt, kan du åtminstone vara säker på att du är skyddad mot ”man-i-mitten” -attacker. Ett självsignerat certifikat är ett bra första steg när du bara testar saker på din server och kanske inte ens har ett domännamn än.
Låt oss börja med vår steg för steg-procedur på hur man skapar ett självsignerat SSL-certifikat på Linux.
Innehållsförteckning
Steg 1: Skapa ett RSA-tangentbord
Det första steget i att skapa ditt eget självsignerade SSL-certifikat är att använda paketet ”openssl” på Linux / CentOS för att skapa ett RSA-nyckelpar. För att göra detta, se till att du har paketet installerat. Om inte, installera det med det här kommandot:
sudo yum install openssl
Chansen är stor att du redan har det tillgängligt på ditt system – det ska nu installeras oavsett. När paketet är bekräftat att det ska installeras på ditt system, generera knappsatsen med följande kommando:
openssl genrsa -des3 -passout pass:x -out keypair.key 2048
Detta kommando använder 2048 bitars kryptering och matar ut en fil som heter keypair.key, som visas här:
Som du kan se har nyckeln genererats och placerats i den aktuella katalogen.
Steg 2: Extrahera den privata nyckeln till ”httpd” -mapp
/etc/httpd -mappen är där operativsystemet behåller alla viktiga SSL-relaterade objekt. Låt oss först skapa en ny mapp för att hålla alla våra filer relaterad till vår privata nyckel:
sudo mkdir /etc/httpd/httpscertificate
Vi ringde till mappen httpscertificate och kommer att hänvisa till den med det namnet för alla andra exempel på kommandoraden. Du kan namnge mappen vad du vill.
Om du vill extrahera den privata nyckeln från knappsatsfilen som vi just skapade skriver du in fo llowing:
openssl rsa -passin pass:x -in keypair.key -out /etc/httpd/httpscertificate/012.345.678.90.key
Ersätt avsnittet med fet stil med din egen servers IP-adress. Eller om du kan komma åt din webbplats med ett domännamn kan du också använda det.
Detta skapar en .key -fil i mappen som vi skapade just. När denna process är klar kan vi ta bort den ursprungliga knappsatsfilen:
rm keypair.key
Steg 3: Skapa en ”Certificate Signing Request” (CSR) -fil
Med nyckeln kan vi skapa en speciell .csr -fil som vi antingen kan underteckna själva eller skicka till en ”Certificate Authority”. Det är i ett standardiserat format och kan enkelt genereras med vår nyckel från föregående steg. För att skapa det, skriv följande kommando:
openssl req -new -key /etc/httpd/httpscertificate/012.345.678.90.key -out /etc/httpd/httpscertificate/012.345.678.90.csr
Byt ut igen de i fetstil med IP-adressen eller domännamnet som du bestämde dig för i steg 2. När du kör det här kommandot kommer verktyget att be dig om en del av din personliga information, till exempel din plats och organisationsnamn:
En CA (förkortning för Certificate Authority) kan använda dessa uppgifter för att verifiera att du verkligen är den du säger att du är. Försök att fylla ut fälten med så mycket information som möjligt.
När du är klar med att ange dessa detaljer kommer verktyget att avslutas med sitt arbete och placera en .csr -fil i katalogen som vi skapade för just detta ändamål.
Steg 4: Skapa certifikatet ”.crt” -fil
Med CSR kan vi skapa den slutliga certifikatfilen som följer. Vi använder nu våra .csr och .key filer för att skapa vår .crt fil:
Detta skapar en .crt -fil på platsen med alla våra andra filer. Vi vet nu hur vi skapar vårt självsignerade SSL-certifikat. Här är en skärmdump av de slutliga filerna i vår säkerhetsmapp:
Nu måste vi berätta för Apache var dessa filer är.
Steg 5: Konfigurera Apache för att använda filerna
Allt vi behöver göra nu är att visa Apache var våra genererade självsignerade certifikat är. Först måste vi installera paketet mod_ssl med kommandot:
sudo yum install mod_ssl
När det är klart kommer detta att placera en ssl.conf -fil i /etc/httpd/conf.d/ -mappen. Vi måste ändra den här standardfilen. Använd din textredigerare som du föredrar:
sudo vi /etc/httpd/conf.d/ssl.conf
Bläddra nu ner tills du hittar raderna som börjar med:
SSLCertificateFileSSL CertificateKeyFile
Ändra standardvägarna med sökvägarna till certifikatfilen respektive nyckelfilen, som visas här:
Spara dina ändringar. Starta bara om Apache med:
sudo apachectl restart
Och du är klar! När Apache startas om kommer den att konfigureras för att tillåta SSL-anslutningar med de genererade självsignerade SSL-certifikaten.
När du ansluter till din IP-adress via HTTPS nästa gång kommer du att bli varnad om att det inte ett pålitligt certifikat:
Det är ok. Vi vet detta eftersom vi själv undertecknade det! Fortsätt så tar det dig till den faktiska webbplatsen:
Här kan du se att det använder certifikatet som vi skapade. Det är inte mycket för någon annan som besöker din webbplats eftersom de inte kan verifiera din identitet. Men du vet att det är säkert och dessutom att det är krypterat. Ingen man i mitten attackerar!
Du vet nu hur du skapar dina egna självsignerade SSL-certifikat och implementerar dem på din Apache-webbserver.
Om du är en av våra Managed VPS-värdklienter, vi kan göra allt detta åt dig utan extra kostnad. Kontakta helt enkelt våra systemadministratörer så svarar de på din begäran så snart som möjligt.