Как да използвате HTTPS на Arch Linux уеб сървър

Предпоставки

• Vultr сървър, работещ с актуална версия на Arch Linux (вижте тази статия .)
• Работещ уеб сървър, Apache или Nginx
• Sudo достъп
  • Командите, които се изискват да се изпълняват като root, са с префикс #, а тези, които могат да се изпълняват като обикновен потребител от $. Препоръчителният начин да изпълнявате команди като root е като обикновен потребител да поставите префикс на всяка от тях с sudo.
• Имайте инсталиран текстов редактор и бъдете запознати с него, като vi, vim, nano, emacs или друг подобен редактор.

Сигурно обслужване чрез HTTPS

Сервирането на съдържание чрез HTTPS може да използва изключително силно криптиране, така че никой, който прихваща трафик между потребителя и уеб сървъра, не може да го прочете. Той не само криптира самия трафик, но и URL адреса, до който се осъществява достъп, което иначе може да разкрие информация. От известно време Google частично определя класирането при търсене въз основа на това дали дадена страница използва HTTPS, като част от инициативата HTTPS Everywhere.

Забележка : търсенето в DNS разкрива името на домейна, към което се свързва, но целият URL не се излага по време на този процес.

Вземете SSL/TLS сертификат

Технически, TLS замени SSL за HTTPS сертификати, но повечето места просто продължиха да наричат ​​TLS сертификати с по-популярния термин SSL сертификати. След обичайната употреба това ръководство ще направи същото.

За да използва HTTPS, вашият уеб сървър се нуждае от частен ключ ( .key), за да го използва частно, и сертификат ( .crt) за публично споделяне, който включва публичен ключ. Сертификатът трябва да бъде подписан. Можете да го подпишете сами, но съвременните браузъри ще се оплакват, че не разпознават подписващия. Например Chrome ще покаже: Your connection is not private. Attackers might be trying to steal your information... NET::ERR_CERT_AUTHORITY_INVALID. Ако само частна група хора ще използва уебсайта, това може да е приемливо, тъй като браузърите ще позволят начин да се продължи. Например в Chrome щракнете върху „Разширени“, след това върху „Напред към... (небезопасно)“; пак ще показва „Не е защитено“ и ще зачеркне „https“.

Имайте предвид, че този процес ще ви поиска вашата страна, щат/провидция, населено място, организация, организационна единица и общи имена, както и вашия имейл адрес; всичко това е достъпно във всеки браузър, който се свързва с вашия сайт чрез HTTPS.

Също така имайте предвид, че ако давате сертификати за виртуални хостове, ще трябва да дадете различни имена на файлове по-долу и да ги посочите във вашите виртуални хост конфигурации.

Променете в правилната директория за вашия уеб сървър.

Ако сте инсталирали Apache:

$ cd /etc/httpd/conf

Ако сте инсталирали Nginx:

$ cd /etc/nginx

Веднъж в правилната директория, генерирайте частен ключ ( server.key) и самоподписан сертификат ( server.crt):

# openssl req -new -x509 -nodes -newkey rsa:4096 -keyout server.key -out server.crt -days 825

Задайте разрешения само за четене и позволете четенето на частния ключ само от root:

# chmod 400 server.key
# chmod 444 server.crt

Като алтернатива можете да получите сертификат, подписан от доверен сертифициращ орган. Можете да платите на различни компании (сертифициращи органи) да подпишат вашия сертификат вместо вас. Когато обмисляте сертифициращи органи, може да е важно да разгледате кои браузъри и кои версии ще ги разпознаят. Някои по-нови сертифициращи органи може да не се разпознават като по-официални от самоподписан сертификат в стари версии на браузъра.

Обикновено имате нужда не само от публичен IP адрес, но и от име на домейн. Някои сертифициращи органи могат да издадат сертификат на публичен IP адрес, но рядко се прави.

Много доставчици предлагат безплатен 30-дневен пробен период, с който се препоръчва да започнете, за да можете да се уверите, че процесът работи за вас, преди да платите за него. Цените могат да варират от няколко долара на година до стотици, в зависимост от това какъв тип е и опции като множество домейни или поддомейни. Стандартният сертификат ще показва само, че подписващият орган е потвърдил, че лицето, което получава сертификата, може да прави промени в домейна. Сертификатът за разширена валидация също ще посочи, че подписващият орган е извършил някаква надлежна проверка на заявителя и в съвременните браузъри ще показва зелена лента във или близо до URL адреса. Когато проверявате, че можете да правите промени в домейна, някои подписващи органи ще изискват от вас да получавате имейл на важен звучащ адрес в името на домейна, като напр.[email protected]. Много от тях предлагат алтернативна проверка, като например да ви дадат файл, който да поставите на вашия сървър, като например поставяне на техния файл /srv/http/.well-known/pki-validation/за Apache или /usr/share/nginx/html/.well-known/pki-validation/за Nginx, за конфигурации на единична хостинг директория; или временно създаване на CNAME запис, който ви предоставят в DNS записите на вашия домейн.

Избраният от вас орган за подписване може да има малко по-различни стъпки, но повечето ще приемат следната процедура:

В правилната директория генерирайте частен ключ ( server.key):

# openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out server.key

Задайте частния ключ само за четене, само от root:

# chmod 400 server.key

Генерирайте заявка за подписване на сертификат ( server.csr). Трябва да въведете името на вашия домейн, когато ви поиска Common Name, и можете да оставите паролата за предизвикателство празна:

# openssl req -new -sha256 -key server.key -out server.csr

Задайте заявката за подписване на сертификат само за четене, само от root:

# chmod 400 server.csr

Вижте съдържанието на заявката за подписване на сертификат. Тази информация е кодирана base64, така че ще изглежда като произволни знаци:

# cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
.....
-----END CERTIFICATE REQUEST-----

Преминете през процеса на вашия орган за подписване и когато бъдете помолени да поставите вашия CSR, копирайте и поставете целия този файл, включително -----редовете. В зависимост от избрания от вас орган за подписване и вида на сертификата, те може незабавно да ви дадат подписания сертификат или може да отнеме няколко дни. След като ви дадат подписания сертификат, копирайте го (включително -----BEGIN CERTIFICATE-----и -----END CERTIFICATE-----редовете) във файл с име server.crt, в правилната директория, дадена по-горе за вашия уеб сървър, и го настройте само за четене:

# chmod 444 server.crt

Конфигурирайте вашия уеб сървър да използва частния ключ и сертификат

Ако използвате защитна стена, ще трябва да активирате входящия TCP трафик към порт 443.

За Apache

Редактирайте /etc/httpd/conf/httpd.confи декоментирайте тези редове:

LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
Include conf/extra/httpd-ssl.conf

Имайте предвид, че ако използвате виртуални хостове, като направите горната промяна в, /etc/httpd/conf/httpd.confще използвате един и същ сертификат за всички хостове. За да дадете на всеки хост собствен сертификат, за да избегнете оплакванията на браузърите, че сертификатът не съответства на името на домейна, трябва да редактирате всеки от техните конфигурационни файлове, за /etc/httpd/conf/vhosts/да сочи към неговия собствен сертификат и частен ключ:

• Промяна <VirtualHost *:80>на <VirtualHost *:80 *:443>.

• В VirtualHostсекцията добавете следното:

  SSLEngine on
  SSLCertificateFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.crt"
  SSLCertificateKeyFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.key"
  

Рестартирайте Apache:

# systemctl restart httpd

За Nginx

Редактирайте /etc/nginx/nginx.confи близо до дъното, декоментирайте HTTPS serverсекцията и променете редовете на следното:

ssl_certificate      server.crt;
ssl_certificate_key  server.key;
root                /usr/share/nginx/html;

Обърнете внимание, ако използвате виртуални хостове, като направите горната промяна в, /etc/nginx/nginx.confще изпрати всички хостове на това място. За да дадете на всеки хост собствен сертификат, трябва да редактирате всеки от техните конфигурационни файлове, за /etc/nginx/sites-enabled/да имате допълнителен сървърен блок, който да сочи към неговия собствен сертификат и частен ключ:

server {
    listen 443 ssl;
    server_name YOUR-DOMAIN-NAME.com;

    ssl_certificate      YOUR-DOMAIN-NAME.com.crt;
    ssl_certificate_key  YOUR-DOMAIN-NAME.com.key;

    ssl_session_cache   shared:SSL:1m;
    ssl_session_timeout 5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        root /usr/share/nginx/YOUR-DOMAIN-NAME.com;
        index  index.html index.htm;
    }
}

Рестартирайте Nginx:

# systemctl restart nginx