Weboldal keresés

Önaláírt SSL-tanúsítványok és kulcsok létrehozása az Apache számára az RHEL/CentOS 7.0 rendszeren


Az SSL (Secure Sockets Layer) egy kriptográfiai protokoll, amely biztonságos adatáramlást tesz lehetővé a szerver és a kliensek között szimmetrikus/aszimmetrikus kulcsok használatával, egy tanúsító hatóság által aláírt digitális tanúsítvánnyal. (CA).

Követelmények

  1. Alapvető LAMP telepítés RHEL/CentOS 7.0 rendszeren

Ez az oktatóanyag megközelítést kínál a Secure Sockets Layer (SSL) kommunikációs kriptográfiai protokoll beállításához a Red Hat Enterprise Linux/CentOS 7.0< rendszerben telepített Apache webszerveren., és generál önaláírt tanúsítványokat és kulcsokat egy bash szkript segítségével, amely nagymértékben leegyszerűsíti az egész folyamatot.

1. lépés: Az Apache SSL telepítése és konfigurálása

1. Az SSL Apache HTTP Serveren engedélyezéséhez használja a következő parancsot az SSL-modul és az SSL/TLS-támogatáshoz szükséges OpenSSL-eszközkészlet telepítéséhez.

yum install mod_ssl openssl

2. Az SSL-modul telepítése után indítsa újra a HTTPD démont, és adjon hozzá egy új tűzfalszabályt annak biztosítására, hogy az SSL-port – 443 – nyitva legyen külső csatlakozások a gépen hallgatási állapotban.

systemctl restart httpd
firewall-cmd --add-service=https   ## On-fly rule

firewall-cmd --permanent  --add-service=https   ## Permanent rule – needs firewalld restart

3. Az SSL-kapcsolat teszteléséhez nyisson meg egy távoli böngészőt, és navigáljon a szerver IP-címére a HTPS protokoll használatával a https://server_IP címen.

2. lépés: Hozzon létre SSL-tanúsítványokat és kulcsokat

4. A szerver és az ügyfél közötti korábbi SSL-kommunikáció a telepítéskor automatikusan generált alapértelmezett tanúsítvány és kulcs használatával történt. Új privát kulcsok és önaláírt tanúsítványpárok létrehozásához hozza létre a következő bash szkriptet egy végrehajtható rendszerútvonalon (` PATH).

Ehhez az oktatóanyaghoz a /usr/local/bin/ elérési utat választottuk, győződjön meg arról, hogy a szkriptnek be van állítva a végrehajtható bitje, majd használja azt parancsként új SSL-párok létrehozásához a következőn: /etc/ httpd/ssl/ a tanúsítványok és kulcsok alapértelmezett helyeként.

nano /usr/local/bin/apache_ssl

Használja a következő fájltartalmat.

#!/bin/bash
mkdir /etc/httpd/ssl
cd /etc/httpd/ssl

echo -e "Enter your virtual host FQDN: \nThis will generate the default name for Apache SSL Certificate and Key!"
read cert

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out $cert.key
chmod 600 $cert.key
openssl req -new -key $cert.key -out $cert.csr
openssl x509 -req -days 365 -in $cert.csr -signkey $cert.key -out $cert.crt

echo -e " The Certificate and Key for $cert has been generated!\nPlease link it to Apache SSL available website!"
ls -all /etc/httpd/ssl
exit 0

5. Most tegye ezt a szkriptet végrehajthatóvá, és indítsa el, hogy létrehozzon egy új tanúsítvány- és kulcspárt az Apache SSL Virtual Host számára.

Töltse ki adataival, és ügyeljen a Common Name értékre, hogy megfeleljen a szerver FQDN-jének, vagy virtuális tárhely esetén arra a webcímre, amelyet egy biztonságos webhelyhez való csatlakozáskor fog elérni.

chmod +x /usr/local/bin/apache_ssl
apache_ssl

6. A tanúsítvány és a kulcs létrehozása után a szkript hosszú listát mutat be az /etc/httpd/ssl/ helyen tárolt Apache SSL-párjairól.

7. Az SSL-tanúsítványok és kulcsok létrehozásának másik módja a crypto-utils csomag telepítése a rendszerre, és párok létrehozása a genkey paranccsal, amely problémákat vet fel, különösen, ha Putty terminál képernyőjén használják.

Tehát azt javaslom, hogy ezt a módszert csak akkor használja, ha közvetlenül csatlakozik egy képernyőmonitorhoz.

yum install crypto-utils
genkey your_FQDN

8. Ha hozzá szeretné adni az új tanúsítványt és kulcsot SSL-webhelyéhez, nyissa meg a webhely konfigurációs fájlját, és cserélje ki az SSLCertificateFile és SSLCertificateKeyFile utasításokat az új párokra. helyét és neveit ennek megfelelően.

9. Ha a Tanúsítványt nem egy megbízható CA – tanúsító hatóság bocsátotta ki, vagy a tanúsítványból származó gazdagépnév nem egyezik a kapcsolatot létrehozó gazdagépnévvel, hibaüzenet jelenik meg a böngészőjében, és manuálisan kell elfogadnia a bizonyítvány.

Ez az! Mostantól használhatja az apache_sslt parancssorként az RHEL/CentOS 7.0 rendszeren, hogy annyi pár önaláírt tanúsítványt és kulcsot generáljon, amennyire szüksége van, és mindez a következő címen lesz: /etc/httpd/ ssl/ elérési út 700 jogosultsággal védett kulcsfájllal.