Hvernig á að búa til sjálf undirritað SSL vottorð og lykla fyrir Apache á RHEL/CentOS 7.0

SSL (Secure Sockets Layer) er dulmálssamskiptareglur sem leyfa öruggt gagnaflæði milli netþjóns og viðskiptavina hans með því að nota samhverfa/ósamhverfa lykla með því að nota stafrænt vottorð sem er undirritað af vottunaryfirvöldum (CA).

  1. Grunnuppsetning LAMPA á RHEL/CentOS 7.0

Þessi kennsla veitir aðferð til að setja upp Secure Sockets Layer (SSL) dulritunarsamskiptareglur fyrir samskipti á Apache vefþjóni sem er uppsettur í Red Hat Enterprise Linux/CentOS 7.0, og búa til sjálfundirrituð vottorð og lykla með hjálp bash handrits sem einfaldar allt ferlið til muna.

Skref 1: Settu upp og stilltu Apache SSL

1. Til að virkja SSL á Apache HTTP Server notaðu eftirfarandi skipun til að setja upp SSL Module og OpenSSL tólasett sem er nauðsynlegt fyrir SSL/TLS stuðning.

# yum install mod_ssl openssl

2. Eftir að SSL eining hefur verið sett upp skaltu endurræsa HTTPD púkinn og bæta við nýrri eldveggsreglu til að tryggja að SSL tengið – 443 – það sé opnað fyrir utanaðkomandi tengingar á vélinni þinni í hlustun ríki.

# systemctl restart httpd
# firewall-cmd --add-service=https   ## On-fly rule

# firewall-cmd --permanent  --add-service=https   ## Permanent rule – needs firewalld restart

3. Til að prófa SSL-tengingu, opnaðu ytri vafra og farðu að IP-tölu netþjónsins með HTPS samskiptareglum á https://server_IP.

Skref 2: Búðu til SSL vottorð og lykla

4. Fyrri SSL samskipti milli þjónsins og biðlarans voru gerð með því að nota sjálfgefið vottorð og lykil sem myndaðist sjálfkrafa við uppsetningu. Til að búa til nýja einkalykla og sjálfundirrituð skilríki búa pör til eftirfarandi bash skriftu á keyranlega kerfisleið (PATH).

Fyrir þessa kennslu /usr/local/bin/ slóð var valin, vertu viss um að handritið hafi keyranlega bita sett og notaðu það síðan sem skipun til að búa til ný SSL pör á /etc/ httpd/ssl/ sem sjálfgefin staðsetning vottorða og lykla.

# nano /usr/local/bin/apache_ssl

Notaðu eftirfarandi skráarefni.

#!/bin/bash
mkdir /etc/httpd/ssl
cd /etc/httpd/ssl

echo -e "Enter your virtual host FQDN: \nThis will generate the default name for Apache SSL Certificate and Key!"
read cert

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out $cert.key
chmod 600 $cert.key
openssl req -new -key $cert.key -out $cert.csr
openssl x509 -req -days 365 -in $cert.csr -signkey $cert.key -out $cert.crt

echo -e " The Certificate and Key for $cert has been generated!\nPlease link it to Apache SSL available website!"
ls -all /etc/httpd/ssl
exit 0

5. Gerðu þetta handrit keyrt og ræstu það til að búa til nýtt par af vottorðum og lyklum fyrir Apache SSL sýndargestgjafann þinn.

Fylltu þær með upplýsingum þínum og gaum að Common Name gildi til að passa við FQDN netþjóninn þinn eða ef sýndarhýsing er til að passa við veffangið sem þú munt fá aðgang að þegar þú tengist öruggri vefsíðu.

# chmod +x /usr/local/bin/apache_ssl
# apache_ssl

6. Eftir að skírteinið og lykillinn eru búnir til mun handritið sýna langan lista yfir öll Apache SSL pörin þín sem eru geymd á /etc/httpd/ssl/ staðsetningu.

7. Önnur aðferð við að búa til SSL vottorð og lykla er með því að setja upp crypto-utils pakka á kerfinu þínu og búa til pör með því að nota genkey skipunina, sem getur valdið nokkrum vandamálum, sérstaklega þegar það er notað á a Kítti tengiskjár.

Svo ég mæli með að nota þessa aðferð aðeins þegar þú ert beintengdur við skjáskjá.

# yum install crypto-utils
# genkey your_FQDN

8. Til að bæta nýju vottorðinu og lyklinum við SSL vefsíðuna þína skaltu opna stillingarskrá vefsíðunnar þinnar og skipta út SSLCertificateFile og SSLCertificateKeyFile yfirlýsingum með nýju pörunum staðsetning og nöfn í samræmi við það.

9. Ef vottorðið er ekki gefið út af traustu CA – vottunaryfirvaldi eða hýsingarheitið frá vottorðinu passar ekki við hýsilnafnið sem kom á tengingunni ætti villa að birtast í vafranum þínum og þú verður að samþykkja vottorðið handvirkt.

Það er það! Nú geturðu notað apache_sslsem skipanalínu á RHEL/CentOS 7.0 til að búa til eins mörg pör af sjálfsundirrituðum vottorðum og lyklum sem þú þarft, og allt verður haldið á /etc/httpd/ ssl/ slóð með lykilskránni varin með 700 heimildum.