Nakonfigurujte Apache s certifikátem TLS/SSL s vlastním podpisem na Ubuntu 16.04

SSL a jeho nástupce TLS (Secure Sockets Layer / Transport Layer Security) přidávají vrstvu šifrování mezi klientem a serverem. Bez této technologie jsou data odesílána na server v prostém textu, což umožňuje třetím stranám číst všechny informace odeslané a přijaté vaším serverem.

Tento tutoriál vás naučí, jak vytvořit certifikát SSL/TLS a aktivovat jej na Apache 2.4 na Ubuntu 16.04. Předpokládám, že Apache je již nastaven a spuštěn. Pokud se chcete dozvědět, jak nainstalovat zásobník LAMP, podívejte se na tento dokument Vultr .

Pozornost

SSL/TLS certificates are normally generated by a trusted CA (certificate authority). By generating it yourself, you will be the signer, meaning the browser won't be able to verify whether the identity of the certificate should be trusted, and it will warn the user. Although it is possible to bypass this alert, public-facing sites should be using a certificate signed by a trusted CA. Let's encrypt is a CA that offers certificates for free. You can learn how to install their certificate in Apache and Ubuntu 16.04 here.

For internal applications, using a self-signed certificate might be valid, especially if you don't have a domain name.

Krok 1: Vygenerování certifikátu

1. Nejprve si vytvořte místo pro uložení souboru.

   mkdir ~/certificates
   cd ~/certificates
   

2. Vygenerujte CSR a soukromý klíč.

   openssl req -x509 -newkey rsa:4096 -keyout apache.key -out apache.crt -days 365 -nodes
   

   Požádá o informace pro žádost o certifikát. Doplňte příslušné informace.

   Country Name (2 letter code) [AU]: US
   State or Province Name (full name) [Some-State]: FL
   Locality Name (eg, city) []: Miami
   Organization Name (eg, company) [My Company]: My Company
   Organizational Unit Name (eg, section) []:
   

   Běžný název by měl být název vaší domény nebo IP adresa serveru. Vyplňte také svůj email.

   Common Name (e.g. server FQDN or YOUR name) []: 203.0.113.122
   Email Address []:webmaster@example.com
   

3. Nyní přesuňte certifikát do konfigurační složky Apache.

   mkdir /etc/apache2/ssl
   mv ~/certificates/* /etc/apache2/ssl/.
   

4. Certifikát je připraven! Dále připravíme Apache na práci s certifikátem.

Krok 2: Konfigurace brány firewall

1. Musíme se ujistit, že port TCP 443 je otevřený. Tento port se používá v připojeních SSL místo portu 80. V tomto tutoriálu budeme používat UFW.

2. Ujistěte se, že je povoleno UFW.

   sudo ufw enable
   

3. Nyní povolte předdefinovaná nastavení Apache pro firewall.

   sudo ufw allow 'Apache Full'
   

4. Zadáním " sudo ufw status" zobrazíte seznam aktuálních pravidel. Vaše konfigurace by měla vypadat takto:

   To                         Action      From
   --                         ------      ----
   Apache Full                ALLOW       Anywhere
   OpenSSH                    ALLOW       Anywhere
   Apache Full (v6)           ALLOW       Anywhere (v6)
   OpenSSH (v6)               ALLOW       Anywhere (v6)
   

5. Zde byste také měli povolit OpenSSH pro budoucí připojení.

   sudo ufw allow 'OpenSSH'
   

Krok 3: Konfigurace virtuálního hostitele Apache

1. Přejděte do výchozího konfiguračního adresáře webu Apache.

   sudo nano /etc/apache2/sites-available/default-ssl.conf
   

2. Tento soubor říká serveru, kde má hledat certifikát SSL. S odstraněnými komentáři by to mělo vypadat jako následující konfigurace.

   <IfModule mod_ssl.c>
     <VirtualHost _default_:443>
      ServerAdmin webmaster@localhost
   
      DocumentRoot /var/www/html
   
      ErrorLog ${APACHE_LOG_DIR}/error.log
      CustomLog ${APACHE_LOG_DIR}/access.log combined
   
      SSLEngine on
   
      SSLCertificateFile    /etc/ssl/certs/ssl-cert-snakeoil.pem
      SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
   
      <FilesMatch "\.(cgi|shtml|phtml|php)$">
       SSLOptions +StdEnvVars
      </FilesMatch>
      <Directory /usr/lib/cgi-bin>
       SSLOptions +StdEnvVars
      </Directory>
   
    </VirtualHost>
   </IfModule>
   

3. Upravit tento řádek:

   ServerAdmin email@example.net
   

4. Přidejte toto přímo pod ServerAdminřádek:

   ServerName ADD_YOUR_IP_OR_DOMAIN_NAME_HERE
   

5. Nyní upravte tyto řádky s umístěním našeho certifikátu:

   SSLCertificateFile    /etc/apache2/ssl/apache.crt
   SSLCertificateKeyFile /etc/apache2/ssl/apache.key
   

6. Náš konečný soubor by měl vypadat takto:

   <IfModule mod_ssl.c>
    <VirtualHost _default_:443>
     ServerAdmin email@example.net
     ServerName 203.0.113.122
   
     DocumentRoot /var/www/html
   
     ErrorLog ${APACHE_LOG_DIR}/error.log
     CustomLog ${APACHE_LOG_DIR}/access.log combined
   
     SSLEngine on
   
     SSLCertificateFile    /etc/apache2/ssl/apache.crt
     SSLCertificateKeyFile /etc/apache2/ssl/apache.key
   
     <FilesMatch "\.(cgi|shtml|phtml|php)$">
      SSLOptions +StdEnvVars
     </FilesMatch>
     <Directory /usr/lib/cgi-bin>
      SSLOptions +StdEnvVars
     </Directory>
   
    </VirtualHost>
   </IfModule>
   

7. Uložte a zavřete soubor.

Krok 4: Povolení modulu Apache SSL

1. Povolte modul SSL zadáním:

   sudo a2enmod ssl
   

2. Nyní povolte web, který jsme právě upravili:

   sudo a2ensite default-ssl.conf
   

3. Restartujte Apache:

   sudo service apache2 restart
   

4. Pojďme na nový zabezpečený web! Otevřete jej v prohlížeči (nezapomeňte zadat https:// ).

   https://YOUR_SERVER_IP
   

Váš prohlížeč vás upozorní, že certifikát je neplatný, jak jsme očekávali. K tomu dochází, protože certifikát není podepsán. Postupujte podle kroků nabízených vaším prohlížečem a přejděte na svůj web.

Krok 5: Přesměrujte veškerý provoz HTTP na HTTPS (volitelné)

1. Otevřete výchozí soubor virtuálního hostitele Apache:

   nano /etc/apache2/sites-available/000-default.conf
   

2. Přidejte tento řádek do <VirtualHost *:80>značky:

   Redirect / https://YOUR_SERVER_IP_OR_DOMAIN/
   

3. Znovu načíst konfiguraci Apache:

   sudo service apache2 reload
   

Veškerý provoz webu bude nyní automaticky přesměrován na HTTPS.