Hvernig á að búa til staðbundið sjálfundirritað SSL vottorð á CentOS 8

SSL (Secure Socket Layer) og endurbætt útgáfa þess, TLS (Transport Socket Layer), eru öryggisreglur sem eru notaðar til að tryggja netumferð sem send er frá vafra viðskiptavinar á netþjón.

SSL vottorð er stafrænt vottorð sem skapar örugga rás milli vafra viðskiptavinar og vefþjóns. Með því eru viðkvæm og trúnaðargögn eins og kreditkortagögn, innskráningarskilríki og aðrar mjög persónulegar upplýsingar dulkóðaðar, sem kemur í veg fyrir að tölvuþrjótar hlera og stela upplýsingum þínum.

Sjálfundirritað SSL vottorð, ólíkt öðrum SSL vottorðum sem eru undirrituð og treyst af vottunaryfirvöldum (CA), er vottorð undirritað af einstaklingi sem á það.

Það er algjörlega ókeypis að búa til einn og er ódýr leið til að dulkóða vefþjóninn þinn sem hýst er á staðnum. Hins vegar er mjög mælt með því að nota sjálfundirritað SSL vottorð í framleiðsluumhverfi af eftirfarandi ástæðum:

  1. Þar sem það er ekki undirritað af vottunaraðila, býr sjálfundirritað SSL vottorð til viðvaranir í vöfrum sem vara notendur við hugsanlegri áhættu framundan ef þeir ákveða að halda áfram. Þessar viðvaranir eru óæskilegar og munu fæla notendur frá því að heimsækja vefsíðuna þína, sem gæti leitt til samdráttar í vefumferð. Sem lausn á þessum viðvörunum hvetja stofnanir venjulega starfsmenn sína til að hunsa viðvaranirnar einfaldlega og halda áfram. Þetta gæti skapað hættulega ávana meðal notenda sem gætu ákveðið að halda áfram að hunsa þessar viðvaranir á öðrum vefsvæðum og verða hugsanlega fórnarlamb vefveiðasíður.
  2. Sjálfundirrituð vottorð eru með lágt öryggisstig þar sem þau innleiða dulmálstækni og kjötkássa á lágu stigi. Þannig gæti öryggisstigið ekki verið í samræmi við staðlaðar öryggisstefnur.
  3. Að auki er enginn stuðningur við Public Key Infrastructure (PKI) aðgerðir.

Sem sagt, notkun sjálfundirritaðs SSL vottorðs er ekki slæm hugmynd til að prófa þjónustu og forrit á staðbundinni vél sem krefst TLS/SSL dulkóðunar.

Í þessari handbók muntu læra hvernig á að setja upp staðbundið sjálfundirritað SSL vottorð á Apache localhost vefþjóninum á CentOS 8 miðlarakerfi.

Áður en þú byrjar skaltu ganga úr skugga um að þú hafir eftirfarandi grunnkröfur:

  1. Tilvik af CentOS 8 þjóninum.
  2. Apache vefþjónn settur upp á þjóninum
  3. Hýsingarheiti þegar stillt og skilgreint í /etc/hosts skránni. Fyrir þessa handbók ætlum við að nota tecmint.local hýsingarheiti fyrir netþjóninn okkar.

Skref 1: Setja upp Mod_SSL á CentOS

1. Til að byrja þarftu að ganga úr skugga um að Apache vefþjónninn sé uppsettur og í gangi.

$ sudo systemctl status httpd

Hér er væntanleg framleiðsla.

Ef vefþjónninn er ekki í gangi geturðu ræst og virkjað hann við ræsingu með skipuninni.

$ sudo systemctl start httpd
$ sudo systemctl enable httpd

Þú getur síðan staðfest hvort Apache sé í gangi.

2. Til að virkja uppsetningu og uppsetningu staðbundins sjálfsundirritaðs SSL vottorðs þarf mod_ssl pakkann.

$ sudo dnf install mod_ssl

Þegar það hefur verið sett upp geturðu staðfest uppsetningu þess með því að keyra.

$ sudo rpm -q mod_ssl

Gakktu úr skugga um að OpenSSL pakkinn sé settur upp (OpenSSL kemur sjálfgefið uppsett í CentOS 8).

$ sudo rpm -q openssl

Skref 2: Búðu til staðbundið sjálfundirritað SSL vottorð fyrir Apache

3. Með Apache vefþjóninn og allar forsendur í skefjum þarftu að búa til möppu þar sem dulmálslyklar verða geymdir.

Í þessu dæmi höfum við búið til möppu á /etc/ssl/private.

$ sudo mkdir -p /etc/ssl/private

Búðu til staðbundinn SSL vottorðslykil og skrá með því að nota skipunina:

$ sudo openssl req -x509 -nodes -newkey rsa:2048 -keyout tecmint.local.key -out tecmint.local.crt

Við skulum skoða hvað sumir af valkostunum í skipuninni standa í raun fyrir:

  • req -x509 – Þetta gefur til kynna að við séum að nota x509 Certificate Signing Request (CSR).
  • -hnútar – Þessi valkostur gefur OpenSSL fyrirmæli um að sleppa því að dulkóða SSL vottorðið með því að nota aðgangsorð. Hugmyndin hér er að leyfa Apache að geta lesið skrána án nokkurs konar íhlutunar notenda sem væri ekki mögulegt ef aðgangsorð er gefið upp.
  • -newkey rsa:2048 – Þetta gefur til kynna að við viljum búa til nýjan lykil og nýtt vottorð samtímis. rsa:2048 hluti gefur til kynna að við viljum búa til 2048 bita RSA lykil.
  • -keyout – Þessi valkostur tilgreinir hvar á að geyma einkalyklaskrána sem myndast við stofnun.
  • -út – Valkosturinn tilgreinir hvar á að setja búið til SSL vottorð.

Skref 3: Settu upp staðbundið sjálft undirritað SSL vottorð á Apache

4. Eftir að hafa búið til SSL vottorðaskrána er kominn tími til að setja upp vottorðið með stillingum Apache vefþjónsins. Opnaðu og breyttu /etc/httpd/conf.d/ssl.conf stillingarskránni.

$ sudo vi /etc/httpd/conf.d/ssl.conf

Gakktu úr skugga um að þú hafir eftirfarandi línur á milli sýndarhýsingarmerkjanna.

<VirtualHost *:443>
    ServerAdmin [email 
    ServerName www.tecmint.local
    ServerAlias tecmint.local
 
    DocumentRoot /var/www/html
 
    SSLEngine on
    SSLCertificateFile /etc/ssl/private/tecmint.local.crt
    SSLCertificateKeyFile /etc/ssl/private/tecmint.local.key
</VirtualHost>

Vistaðu og lokaðu skránni. Til að breytingarnar komi fram skaltu endurræsa Apache með því að nota skipunina:

$ sudo systemctl restart httpd

5. Til að utanaðkomandi notendur fái aðgang að þjóninum þínum þarftu að opna port 443 í gegnum eldvegginn eins og sýnt er.

$ sudo firewall-cmd --add-port=443 --zone=public --permanent
$ sudo firewall-cmd --reload

Skref 3: Prófaðu staðbundið sjálfundirritað SSL vottorð á Apache

Með allar stillingar til staðar, kveiktu á vafranum þínum og skoðaðu netfang netþjóns þíns með því að nota IP tölu eða lén netþjónsins með því að nota https samskiptareglur.

Til að hagræða prófunum gætirðu íhugað að beina HTTP samskiptareglunum yfir á HTTPS á Apache vefþjóninum. Þetta er þannig að alltaf þegar þú vafrar um lénið í látlausri HTTP verður því sjálfkrafa vísað á HTTPS samskiptareglur.

Svo skoðaðu lén eða IP-tölu netþjónsins þíns

https://domain_name/

Þú munt fá viðvörun um að tengingin sé ekki örugg eins og sýnt er. Þetta mun vera mismunandi frá einum vafra til annars. Eins og þú gætir giska á, er viðvörunin vegna þess að SSL vottorðið er ekki undirritað af vottunaryfirvöldum og vafrinn skráir það og tilkynnir að ekki sé hægt að treysta vottorðinu.

Til að halda áfram á vefsíðuna þína, smelltu á „Ítarlegt“ flipann eins og sýnt er hér að ofan:

Næst skaltu bæta undantekningu við vafrann.

Að lokum skaltu endurhlaða vafrann þinn og athugaðu að þú hefur nú aðgang að þjóninum, að vísu mun það vera viðvörun á vefslóðastikunni um að síðan sé ekki fullkomlega örugg af sömu ástæðu og SSL vottorðið er sjálfundirritað og ekki undirritað af Vottunaraðili.

Það er von okkar að þú getir nú haldið áfram og búið til og sett upp sjálfundirritað SSL vottorð á Apache localhost vefþjóninum á CentOS 8.