Jak používat HTTPS na webovém serveru Arch Linux

Předpoklady

• Server Vultr s aktuální verzí Arch Linuxu (viz tento článek .)
• Běžící webový server, buď Apache nebo Nginx
• Sudo přístup
  • Příkazy, které je třeba spouštět jako root, mají předponu #a příkazy , které lze spouštět jako běžný uživatel, mají předponu $. Doporučený způsob, jak spouštět příkazy jako root, je jako běžný uživatel zadat každému z nich předponu sudo.
• Mějte nainstalovaný textový editor a seznamte se s ním, jako je vi, vim, nano, emacs nebo jiný podobný editor.

Zabezpečené poskytování přes HTTPS

Poskytování obsahu prostřednictvím HTTPS může používat extrémně silné šifrování, takže jej nemůže přečíst nikdo, kdo zachycuje provoz mezi uživatelem a webovým serverem. Nešifruje pouze samotný provoz, ale také adresu URL, ke které se přistupuje, což může jinak odhalit informace. Google již nějakou dobu částečně určuje hodnocení ve vyhledávání podle toho, zda stránka používá HTTPS, v rámci iniciativy HTTPS Everywhere.

Poznámka : Vyhledávání DNS odhalí název domény, ke které se připojujete, ale během tohoto procesu není odhalena celá adresa URL.

Získejte certifikát SSL/TLS

Technicky TLS nahradilo SSL certifikáty HTTPS, ale většina míst jednoduše pokračovala v označování certifikátů TLS populárnějším pojmem certifikáty SSL. Po běžném používání bude tento průvodce dělat totéž.

Chcete-li používat HTTPS, váš webový server potřebuje soukromý klíč ( .key), aby jej mohl soukromě používat, a certifikát ( .crt) pro veřejné sdílení, který obsahuje veřejný klíč. Certifikát musí být podepsán. Můžete to podepsat sami, ale moderní prohlížeče si budou stěžovat, že nepoznají podepisujícího. Chrome například zobrazí: Your connection is not private. Attackers might be trying to steal your information... NET::ERR_CERT_AUTHORITY_INVALID. Pokud bude web používat pouze soukromá skupina lidí, může to být přijatelné, protože prohlížeče umožní způsob, jak pokračovat. Například v prohlížeči Chrome klikněte na „Upřesnit“ a poté na „Pokračovat k... (nebezpečné)“; bude stále zobrazovat „Nezabezpečeno“ a přeškrtnout „https“.

Upozorňujeme, že tento proces se vás zeptá na vaši zemi, stát/poskytování, lokalitu, organizaci, organizační jednotku a obecná jména a vaši e-mailovou adresu; to vše je dostupné v prohlížeči každého, kdo se připojuje k vašemu webu přes HTTPS.

Všimněte si také, že pokud udělujete certifikáty virtuálním hostitelům, budete muset níže zadat odlišné názvy souborů a ukázat na ně v konfiguracích virtuálních hostitelů.

Přejděte do správného adresáře pro váš webový server.

Pokud jste nainstalovali Apache:

$ cd /etc/httpd/conf

Pokud jste nainstalovali Nginx:

$ cd /etc/nginx

Jakmile budete ve správném adresáři, vygenerujte soukromý klíč ( server.key) a certifikát s vlastním podpisem ( server.crt):

# openssl req -new -x509 -nodes -newkey rsa:4096 -keyout server.key -out server.crt -days 825

Nastavte oprávnění pouze pro čtení a povolte čtení soukromého klíče pouze rootovi:

# chmod 400 server.key
# chmod 444 server.crt

Případně můžete získat certifikát podepsaný důvěryhodnou certifikační autoritou. Můžete zaplatit různým společnostem (certifikačním autoritám), aby za vás podepsaly váš certifikát. Při zvažování certifikačních autorit může být důležité podívat se na to, které prohlížeče a které verze je rozpoznají. Některé novější certifikační autority nemusí být ve starých verzích prohlížečů uznávány jako oficiálnější než certifikáty s vlastním podpisem.

Obvykle potřebujete nejen veřejnou IP adresu, ale také název domény. Některé certifikační autority mohou vydat certifikát na veřejnou IP adresu, ale zřídka se to dělá.

Mnoho poskytovatelů nabízí bezplatnou 30denní zkušební verzi, kterou se doporučuje začít, abyste se mohli ujistit, že proces funguje pro vás, než za něj zaplatíte. Ceny se mohou lišit od několika dolarů za rok až po stovky, v závislosti na typu a možnostech, jako je více domén nebo subdomén. Standardní certifikát bude pouze indikovat, že podepisující autorita ověřila, že osoba, která certifikát získává, může provádět změny v doméně. Certifikát Extended Validation bude také indikovat, že podepisující autorita provedla určitou náležitou péči a prověřila žadatele, a v moderních prohlížečích zobrazí v adrese URL nebo v její blízkosti zelený pruh. Při ověřování, že můžete provádět změny v doméně, budou některé podepisovací autority vyžadovat, abyste obdrželi e-mail na důležitou znějící adresu v názvu domény, jako je např.[email protected]. Mnoho z nich nabízí alternativní ověření, jako je například poskytnutí souboru k umístění na váš server, například umístění jejich souboru /srv/http/.well-known/pki-validation/pro Apache nebo /usr/share/nginx/html/.well-known/pki-validation/pro Nginx, pro konfigurace jednoho hostitelského adresáře; nebo dočasné vytvoření položky CNAME, kterou vám poskytují v záznamech DNS vaší domény.

Podpisová autorita, kterou zvolíte, může mít mírně odlišné kroky, ale většina bude akceptovat následující postup:

Ve správném adresáři vygenerujte soukromý klíč ( server.key):

# openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out server.key

Nastavte soukromý klíč na pouze pro čtení, pouze pro uživatele root:

# chmod 400 server.key

Vygenerujte žádost o podpis certifikátu ( server.csr). Když vás požádá o Common Name, musíte zadat název své domény a heslo výzvy můžete nechat prázdné:

# openssl req -new -sha256 -key server.key -out server.csr

Nastavte požadavek na podpis certifikátu pouze pro čtení, pouze pro uživatele root:

# chmod 400 server.csr

Prohlédněte si obsah žádosti o podpis certifikátu. Tyto informace jsou zakódovány v base64, takže budou vypadat jako náhodné znaky:

# cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
.....
-----END CERTIFICATE REQUEST-----

Projděte si proces vaší podpisové autority a až budete požádáni o vložení vašeho CSR, zkopírujte a vložte celý tento soubor včetně -----řádků. V závislosti na zvolené autoritě pro podepisování a typu certifikátu vám mohou podepsaný certifikát poskytnout okamžitě, nebo to může být několik dní. Jakmile vám dají podepsaný certifikát, zkopírujte jej (včetně řádků -----BEGIN CERTIFICATE-----a -----END CERTIFICATE-----) do souboru s názvem server.crt, ve správném adresáři uvedeném výše pro váš webový server a nastavte jej pouze pro čtení:

# chmod 444 server.crt

Nakonfigurujte svůj webový server tak, aby používal soukromý klíč a certifikát

Pokud používáte firewall, budete muset povolit příchozí TCP provoz na port 443.

Pro Apache

Upravte /etc/httpd/conf/httpd.confa odkomentujte tyto řádky:

LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
Include conf/extra/httpd-ssl.conf

Všimněte si, že pokud používáte virtuální hostitele, provedení výše uvedené změny na /etc/httpd/conf/httpd.confbude používat stejný certifikát na všech hostitelích. Chcete-li dát každému hostiteli vlastní certifikát, aby si prohlížeče nestěžovaly na certifikát, který neodpovídá názvu domény, musíte upravit každý jejich konfigurační soubor tak, /etc/httpd/conf/vhosts/aby odkazoval na jeho vlastní certifikát a soukromý klíč:

• Změnit <VirtualHost *:80>na <VirtualHost *:80 *:443>.

• Do VirtualHostsekce přidejte následující:

  SSLEngine on
  SSLCertificateFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.crt"
  SSLCertificateKeyFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.key"
  

Restartujte Apache:

# systemctl restart httpd

Pro Nginx

Upravte /etc/nginx/nginx.confa v dolní části odkomentujte HTTPS serversekci a změňte řádky na následující:

ssl_certificate      server.crt;
ssl_certificate_key  server.key;
root                /usr/share/nginx/html;

Všimněte si, že pokud používáte virtuální hostitele, provedení výše uvedené změny na /etc/nginx/nginx.confodešle všechny hostitele do tohoto umístění. Chcete-li dát každému hostiteli vlastní certifikát, musíte upravit každý jeho konfigurační soubor tak, /etc/nginx/sites-enabled/aby měl další blok serveru, který bude odkazovat na jeho vlastní certifikát a soukromý klíč:

server {
    listen 443 ssl;
    server_name YOUR-DOMAIN-NAME.com;

    ssl_certificate      YOUR-DOMAIN-NAME.com.crt;
    ssl_certificate_key  YOUR-DOMAIN-NAME.com.key;

    ssl_session_cache   shared:SSL:1m;
    ssl_session_timeout 5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        root /usr/share/nginx/YOUR-DOMAIN-NAME.com;
        index  index.html index.htm;
    }
}

Restartujte Nginx:

# systemctl restart nginx