Magdagdag ng SSL sa CentOS web server

Subukan Ang Aming Instrumento Para Sa Pagtanggal Ng Mga Problema

Ang CentOS ay maaaring maging isa sa mga pinakamahusay na pamamahagi ng Linux para sa isang kapaligiran sa server. Karaniwang ito ay isang gayahin ng Red Hat Enterprise Linux nang walang proprietary software at ang presyo na nakalakip dito. Sa isip, ginagawang perpekto ang kahulugan upang maitakda ang CentOS bilang iyong go-to Web server. Ito ay maaasahan, matatag, matatag, at ligtas.

Ngunit ang pag-set up ng isang ligtas na web server ay hindi kumpleto nang walang pagsasama ng SSL at mga sertipiko. Kung nais mong maglingkod ng mga web page ng sercure tiyak na nais mong maipadala ng iyong madla sa https sa halip na http. Kaya ... kasama ang CentOS paano mo ito gagawin? Ipapakita ko sa iyo kung paano.

Pag-install ng lahat ng mga pakete

Ipapalagay ko na mayroon kang naka-install na CentOS pati na rin ang Apache Web Server. Tiyaking nakakapunta ka sa default na web page ng Apache (o anumang web page sa iyong web server CentOS), bago ka mag-set up ng SSL. Kapag mayroon kang lahat ng pagtatrabaho na kakailanganin mong mag-install ng ilang mga pakete. Ginagawa ito sa mga sumusunod na hakbang:

  1. Buksan ang isang window ng terminal.
  2. Su sa root user.
  3. I-isyu ang utos yum install mod_ssl opensl.
  4. Hayaan ang kumpletong pag-install.

Sa naka-install at handa na ang SSL, oras na upang lumikha ng iyong mga sertipiko para sa paggamit.

Paglikha ng iyong sertipiko

Magkakaroon ka na ng lahat sa iyong server upang lumikha ng mga CA. Kailangan mong makabuo ng isang pribadong key, isang csr, isang key na naka-sign sa sarili, at pagkatapos ay kailangan mong kopyahin ang mga file na ito sa tamang lokasyon. Ginagawa ito sa mga sumusunod na hakbang.

  1. Buksan ang isang window ng terminal.
  2. Su sa root user.
  3. Bumuo ng pribadong key gamit ang utos opensl genrsa -out ca.key 1024.
  4. Bumuo ng csr gamit ang utos opensl req -new -key ca.key -out ca.csr.
  5. Bumuo ng susi na nilagdaan sa sarili gamit ang utos opensl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt.
  6. Ilipat ang key na nilagdaan ng sarili gamit ang utos cp ca.crt / etc / pki / tls / certs.
  7. Ilipat ang pribadong key gamit ang utos cp ca.key /etc/pki/tls/private/ca.key.
  8. Ilipat ang csr sa utos cp ca.csr /etc/pki/tls/private/ca.csr.

I-edit ang pagsasaayos ng Apache SSL

Buksan ang file /etc/httpd/conf.d/ssl.conf at hanapin ang seksyon SSLCertignedFile. Tiyaking nagbabasa ang linya:

SSLCertignedFile /etc/pki/tls/certs/ca.crt

Ngayon hanapin ang SSLCertignedKeyFile at siguraduhin na ang seksyon ay nagbabasa:

SSLCertignedKeyFile /etc/pki/tls/private/ca.key

I-save ang file na iyon at handa ka nang i-restart ang Apache.

I-restart at pagsubok

Bago mo subukan na subukan ang bagong tampok na SSL ni Apache, dapat mong simulan ang daemon. Upang gawin ang isyu na ito ang utos /etc/rc.d/init.d/httpd i-restart . Sana hindi ka makakita ng mga babala o mga pagkakamali. Kung hindi, ituro ang iyong browser sa https: // ADDRESS_TO_SERVER Kung saan ang ADDRESS_TO_SERVER ay alinman sa IP Address o ang domain. Dapat mong makita ang isang babala mula sa iyong browser tungkol sa sertipiko para sa site. Kung nakita mo ang babalang pagbati na ito, handa na ang iyong Apache server para sa mga ligtas na koneksyon.

Gayunpaman, tandaan, lumikha ka ng isang sertipiko na naka-sign sa sarili. Upang masulit ang SSL baka gusto mong bumili ng CA mula sa isang mapagkakatiwalaang pangalan tulad Verisign (Mayroong, siyempre, maraming iba pang mga lugar kung saan maaari kang bumili ng mga sertipikadong iyon).