Önaláírt SSL-tanúsítványok és kulcsok létrehozása az Apache számára az RHEL/CentOS 7.0 rendszeren
Az SSL (Secure Sockets Layer) egy kriptográfiai protokoll, amely biztonságos adatáramlást tesz lehetővé a szerver és a kliensek között szimmetrikus/aszimmetrikus kulcsok használatával, egy tanúsító hatóság által aláírt digitális tanúsítvánnyal. (CA).
Követelmények
- Alapvető LAMP telepítés RHEL/CentOS 7.0 rendszeren
Ez az oktatóanyag megközelítést kínál a Secure Sockets Layer (SSL) kommunikációs kriptográfiai protokoll beállításához a Red Hat Enterprise Linux/CentOS 7.0< rendszerben telepített Apache webszerveren., és generál önaláírt tanúsítványokat és kulcsokat egy bash szkript segítségével, amely nagymértékben leegyszerűsíti az egész folyamatot.
1. lépés: Az Apache SSL telepítése és konfigurálása
1. Az SSL Apache HTTP Serveren engedélyezéséhez használja a következő parancsot az SSL-modul és az SSL/TLS-támogatáshoz szükséges OpenSSL-eszközkészlet telepítéséhez.
yum install mod_ssl openssl
2. Az SSL-modul telepítése után indítsa újra a HTTPD démont, és adjon hozzá egy új tűzfalszabályt annak biztosítására, hogy az SSL-port – 443 – nyitva legyen külső csatlakozások a gépen hallgatási állapotban.
systemctl restart httpd
firewall-cmd --add-service=https ## On-fly rule
firewall-cmd --permanent --add-service=https ## Permanent rule – needs firewalld restart
3. Az SSL-kapcsolat teszteléséhez nyisson meg egy távoli böngészőt, és navigáljon a szerver IP-címére a HTPS protokoll használatával a https://server_IP címen.
2. lépés: Hozzon létre SSL-tanúsítványokat és kulcsokat
4. A szerver és az ügyfél közötti korábbi SSL-kommunikáció a telepítéskor automatikusan generált alapértelmezett tanúsítvány és kulcs használatával történt. Új privát kulcsok és önaláírt tanúsítványpárok létrehozásához hozza létre a következő bash szkriptet egy végrehajtható rendszerútvonalon (` PATH).
Ehhez az oktatóanyaghoz a /usr/local/bin/ elérési utat választottuk, győződjön meg arról, hogy a szkriptnek be van állítva a végrehajtható bitje, majd használja azt parancsként új SSL-párok létrehozásához a következőn: /etc/ httpd/ssl/ a tanúsítványok és kulcsok alapértelmezett helyeként.
nano /usr/local/bin/apache_ssl
Használja a következő fájltartalmat.
#!/bin/bash
mkdir /etc/httpd/ssl
cd /etc/httpd/ssl
echo -e "Enter your virtual host FQDN: \nThis will generate the default name for Apache SSL Certificate and Key!"
read cert
openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out $cert.key
chmod 600 $cert.key
openssl req -new -key $cert.key -out $cert.csr
openssl x509 -req -days 365 -in $cert.csr -signkey $cert.key -out $cert.crt
echo -e " The Certificate and Key for $cert has been generated!\nPlease link it to Apache SSL available website!"
ls -all /etc/httpd/ssl
exit 0
5. Most tegye ezt a szkriptet végrehajthatóvá, és indítsa el, hogy létrehozzon egy új tanúsítvány- és kulcspárt az Apache SSL Virtual Host számára.
Töltse ki adataival, és ügyeljen a Common Name értékre, hogy megfeleljen a szerver FQDN-jének, vagy virtuális tárhely esetén arra a webcímre, amelyet egy biztonságos webhelyhez való csatlakozáskor fog elérni.
chmod +x /usr/local/bin/apache_ssl
apache_ssl
6. A tanúsítvány és a kulcs létrehozása után a szkript hosszú listát mutat be az /etc/httpd/ssl/ helyen tárolt Apache SSL-párjairól.
7. Az SSL-tanúsítványok és kulcsok létrehozásának másik módja a crypto-utils csomag telepítése a rendszerre, és párok létrehozása a genkey paranccsal, amely problémákat vet fel, különösen, ha Putty terminál képernyőjén használják.
Tehát azt javaslom, hogy ezt a módszert csak akkor használja, ha közvetlenül csatlakozik egy képernyőmonitorhoz.
yum install crypto-utils
genkey your_FQDN
8. Ha hozzá szeretné adni az új tanúsítványt és kulcsot SSL-webhelyéhez, nyissa meg a webhely konfigurációs fájlját, és cserélje ki az SSLCertificateFile és SSLCertificateKeyFile utasításokat az új párokra. helyét és neveit ennek megfelelően.
9. Ha a Tanúsítványt nem egy megbízható CA – tanúsító hatóság bocsátotta ki, vagy a tanúsítványból származó gazdagépnév nem egyezik a kapcsolatot létrehozó gazdagépnévvel, hibaüzenet jelenik meg a böngészőjében, és manuálisan kell elfogadnia a bizonyítvány.
Ez az! Mostantól használhatja az apache_sslt parancssorként az RHEL/CentOS 7.0 rendszeren, hogy annyi pár önaláírt tanúsítványt és kulcsot generáljon, amennyire szüksége van, és mindez a következő címen lesz: /etc/httpd/ ssl/ elérési út 700 jogosultsággal védett kulcsfájllal.