Magdagdag ng SSL sa CentOS web server
- Kategorya: Network
Ang CentOS ay maaaring maging isa sa mga pinakamahusay na pamamahagi ng Linux para sa isang kapaligiran sa server. Karaniwang ito ay isang gayahin ng Red Hat Enterprise Linux nang walang proprietary software at ang presyo na nakalakip dito. Sa isip, ginagawang perpekto ang kahulugan upang maitakda ang CentOS bilang iyong go-to Web server. Ito ay maaasahan, matatag, matatag, at ligtas.
Ngunit ang pag-set up ng isang ligtas na web server ay hindi kumpleto nang walang pagsasama ng SSL at mga sertipiko. Kung nais mong maglingkod ng mga web page ng sercure tiyak na nais mong maipadala ng iyong madla sa https sa halip na http. Kaya ... kasama ang CentOS paano mo ito gagawin? Ipapakita ko sa iyo kung paano.
Pag-install ng lahat ng mga pakete
Ipapalagay ko na mayroon kang naka-install na CentOS pati na rin ang Apache Web Server. Tiyaking nakakapunta ka sa default na web page ng Apache (o anumang web page sa iyong web server CentOS), bago ka mag-set up ng SSL. Kapag mayroon kang lahat ng pagtatrabaho na kakailanganin mong mag-install ng ilang mga pakete. Ginagawa ito sa mga sumusunod na hakbang:
- Buksan ang isang window ng terminal.
- Su sa root user.
- I-isyu ang utos
yum install mod_ssl opensl
. - Hayaan ang kumpletong pag-install.
Sa naka-install at handa na ang SSL, oras na upang lumikha ng iyong mga sertipiko para sa paggamit.
Paglikha ng iyong sertipiko
Magkakaroon ka na ng lahat sa iyong server upang lumikha ng mga CA. Kailangan mong makabuo ng isang pribadong key, isang csr, isang key na naka-sign sa sarili, at pagkatapos ay kailangan mong kopyahin ang mga file na ito sa tamang lokasyon. Ginagawa ito sa mga sumusunod na hakbang.
- Buksan ang isang window ng terminal.
- Su sa root user.
- Bumuo ng pribadong key gamit ang utos
opensl genrsa -out ca.key 1024
. - Bumuo ng csr gamit ang utos
opensl req -new -key ca.key -out ca.csr
. - Bumuo ng susi na nilagdaan sa sarili gamit ang utos
opensl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt
. - Ilipat ang key na nilagdaan ng sarili gamit ang utos
cp ca.crt / etc / pki / tls / certs
. - Ilipat ang pribadong key gamit ang utos
cp ca.key /etc/pki/tls/private/ca.key
. - Ilipat ang csr sa utos
cp ca.csr /etc/pki/tls/private/ca.csr
.
I-edit ang pagsasaayos ng Apache SSL
Buksan ang file /etc/httpd/conf.d/ssl.conf at hanapin ang seksyon SSLCertignedFile. Tiyaking nagbabasa ang linya:
SSLCertignedFile /etc/pki/tls/certs/ca.crt
Ngayon hanapin ang SSLCertignedKeyFile at siguraduhin na ang seksyon ay nagbabasa:
SSLCertignedKeyFile /etc/pki/tls/private/ca.key
I-save ang file na iyon at handa ka nang i-restart ang Apache.
I-restart at pagsubok
Bago mo subukan na subukan ang bagong tampok na SSL ni Apache, dapat mong simulan ang daemon. Upang gawin ang isyu na ito ang utos /etc/rc.d/init.d/httpd i-restart . Sana hindi ka makakita ng mga babala o mga pagkakamali. Kung hindi, ituro ang iyong browser sa https: // ADDRESS_TO_SERVER Kung saan ang ADDRESS_TO_SERVER ay alinman sa IP Address o ang domain. Dapat mong makita ang isang babala mula sa iyong browser tungkol sa sertipiko para sa site. Kung nakita mo ang babalang pagbati na ito, handa na ang iyong Apache server para sa mga ligtas na koneksyon.
Gayunpaman, tandaan, lumikha ka ng isang sertipiko na naka-sign sa sarili. Upang masulit ang SSL baka gusto mong bumili ng CA mula sa isang mapagkakatiwalaang pangalan tulad Verisign (Mayroong, siyempre, maraming iba pang mga lugar kung saan maaari kang bumili ng mga sertipikadong iyon).