HTTPS-i kasutamine Arch Linuxi veebiserveris

Eeltingimused

• Vultr-server, kus töötab ajakohane Arch Linux (vt seda artiklit .)
• Töötav veebiserver, kas Apache või Nginx
• Sudo juurdepääs
  • Käskude eesliide, mida tuleb käivitada administraatorina, on eesliide #ja need, mida saab käivitada tavakasutajana, lisab $. Soovitatav viis käskude käivitamiseks administraatorina on tavakasutajana lisada igaühe eesliide sudo.
• Laske installida tekstiredaktor ja olge sellega tuttav, näiteks vi, vim, nano, emacs või mõni muu sarnane redaktor.

Turvaline teenindamine HTTPS-i kaudu

Sisu serveerimine HTTPS-i kaudu võib kasutada ülitugevat krüptimist, nii et keegi kasutaja ja veebiserveri vahelist liiklust pealt ei saa seda lugeda. See mitte ainult ei krüpti liiklust ennast, vaid ka juurdepääsetavat URL-i, mis võib muidu teavet paljastada. Google on mõnda aega HTTPS Everywhere algatuse osana osaliselt määranud otsingu paremusjärjestuse selle põhjal, kas leht kasutab HTTPS-i.

Märkus : DNS-i otsing paljastab domeeninime, millega ühendatakse, kuid kogu URL-i ei avaldata selle protsessi käigus.

Hankige SSL/TLS sertifikaat

Tehniliselt asendas TLS HTTPS-i sertifikaatide jaoks SSL-i, kuid enamik kohti jätkas lihtsalt TLS-sertifikaatide kutsumist populaarsema terminiga SSL-sertifikaadid. Tavapärase kasutamise korral teeb see juhend sama.

HTTPS-i kasutamiseks vajab teie veebiserver privaatseks kasutamiseks privaatvõtit ( .key) ja .crtavalikuks jagamiseks sertifikaati ( ), mis sisaldab avalikku võtit. Sertifikaat tuleb allkirjastada. Saate selle ise allkirjastada, kuid kaasaegsed brauserid kurdavad, et nad ei tunne allkirjastajat ära. Näiteks Chrome näitab: Your connection is not private. Attackers might be trying to steal your information... NET::ERR_CERT_AUTHORITY_INVALID. Kui veebisaiti kasutab ainult privaatne rühm inimesi, võib see olla vastuvõetav, sest brauserid võimaldavad teil edasi liikuda. Näiteks Chrome'is klõpsake "Advanced", seejärel "Proceed to... (ebaturvaline)"; see kuvab endiselt "Pole turvaline" ja kriipsutab läbi "https".

Pange tähele, et see protsess küsib teilt teie riiki, osariiki/asutust, asukohta, organisatsiooni, organisatsiooniüksust ja üldnimesid ning teie e-posti aadressi; Kõik see on juurdepääsetav igaühe brauseris, kes loob ühenduse teie saidiga HTTPS-i kaudu.

Pange tähele ka seda, et kui annate virtuaalse hosti sertifikaate, peate allpool andma erinevad failinimed ja osutama neile oma virtuaalse hosti konfiguratsioonides.

Muutke oma veebiserveri jaoks õigesse kataloogi.

Kui installisite Apache'i:

$ cd /etc/httpd/conf

Kui installisite Nginxi:

$ cd /etc/nginx

Kui olete õiges kataloogis, genereerige privaatvõti ( server.key) ja iseallkirjastatud sertifikaat ( server.crt):

# openssl req -new -x509 -nodes -newkey rsa:4096 -keyout server.key -out server.crt -days 825

Määrake kirjutuskaitstud õigused ja lubage privaatvõtit lugeda ainult juurjuurdepääsul:

# chmod 400 server.key
# chmod 444 server.crt

Teise võimalusena võite hankida sertifikaadi, mille on allkirjastanud usaldusväärne sertifitseerimisasutus. Sertifikaadi allkirjastamise eest saate maksta erinevatele ettevõtetele (sertifitseerimisasutustele). Sertifitseerimisasutuste kaalumisel võib olla oluline uurida, millised brauserid ja versioonid need ära tunnevad. Mõnda uuemat sertifikaadi väljastajat ei pruugita tunnustada ametlikumana kui vanade brauseriversioonide iseallkirjastatud sertifikaat.

Tavaliselt ei vaja te mitte ainult avalikku IP-aadressi, vaid ka domeeninime. Mõned sertifitseerimisasutused võivad väljastada sertifikaadi avalikule IP-aadressile, kuid seda tehakse harva.

Paljud pakkujad pakuvad tasuta 30-päevast prooviperioodi, millega on soovitatav alustada, et saaksite enne selle eest tasumist veenduda, et protsess töötab teie jaoks. Hinnad võivad varieeruda mõnest dollarist aastas sadadeni, olenevalt selle tüübist ja valikutest, nagu mitu domeeni või alamdomeeni. Tavaline sertifikaat näitab ainult seda, et allkirjastav asutus on kontrollinud, et sertifikaadi saav isik võib domeenis muudatusi teha. Laiendatud valideerimise sertifikaat näitab ka seda, et allakirjutanud asutus on taotleja kontrollimisel läbi viinud hoolsuskontrolli ja näitab tänapäevastes brauserites URL-is või selle läheduses rohelist riba. Kui kontrollite, kas saate domeenis muudatusi teha, nõuavad mõned allkirjastavad asutused, et saadaksite meili domeeninime olulisele kõlavale aadressile, näiteks[email protected]. Paljud pakuvad alternatiivset kinnitamist, näiteks annavad teile faili serverisse paigutamiseks, näiteks paigutavad oma faili /srv/http/.well-known/pki-validation/Apache või /usr/share/nginx/html/.well-known/pki-validation/Nginxi jaoks ühe hostimiskataloogi konfigureerimiseks; või luua ajutiselt CNAME-kirje, mille nad teile teie domeeni DNS-kirjetesse pakuvad.

Teie valitud allkirjastamisasutuse toimingud võivad olla veidi erinevad, kuid enamik nõustub järgmise protseduuriga.

Looge õiges kataloogis privaatvõti ( server.key):

# openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out server.key

Seadke privaatvõti kirjutuskaitstuks, ainult juure kaudu:

# chmod 400 server.key

Genereeri sertifikaadi allkirjastamise taotlus ( server.csr). Peate sisestama oma domeeninime, kui see küsib teilt Common Name, ja võite väljakutse parooli tühjaks jätta:

# openssl req -new -sha256 -key server.key -out server.csr

Määrake sertifikaadi allkirjastamise taotlus kirjutuskaitstuks, ainult juure kaudu:

# chmod 400 server.csr

Vaadake sertifikaadi allkirjastamise taotluse sisu. See teave on base64 kodeeritud, nii et see näeb välja nagu juhuslikud tähemärgid:

# cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
.....
-----END CERTIFICATE REQUEST-----

Minge läbi oma allkirjastaja asutuse protsess ja kui teil palutakse kleepida oma CSR-i, kopeerige ja kleepige kogu see fail, sealhulgas -----read. Sõltuvalt teie valitud allkirjastavast asutusest ja sertifikaadi tüübist võivad nad teile allkirjastatud sertifikaadi kohe väljastada või see võib kesta mitu päeva. Kui nad on teile allkirjastatud sertifikaadi andnud, kopeerige see (kaasa arvatud read -----BEGIN CERTIFICATE-----ja -----END CERTIFICATE-----) faili nimega server.crt, õigesse kataloogi, mis on ülalpool teie veebiserveri jaoks antud, ja määrake see kirjutuskaitstuks:

# chmod 444 server.crt

Konfigureerige oma veebiserver privaatvõtit ja sertifikaati kasutama

Kui kasutate tulemüüri, peate lubama sissetuleva TCP-liikluse porti 443.

Apache jaoks

Muutke /etc/httpd/conf/httpd.confneid ridu ja tühjendage nende kommentaarid:

LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
Include conf/extra/httpd-ssl.conf

Pange tähele, et kui kasutate virtuaalseid hoste, kasutatakse ülaltoodud muudatuse tegemisel /etc/httpd/conf/httpd.confkõigis hostides sama sertifikaati. Et anda igale hostile oma sertifikaat, et vältida brauserite kurtmist selle üle, et sertifikaat ei vasta domeeninimele, peate redigeerima iga nende konfiguratsioonifaili, /etc/httpd/conf/vhosts/et osutada oma sertifikaadile ja privaatvõtmele:

• Muuda <VirtualHost *:80>kuni <VirtualHost *:80 *:443>.

• Jooksul VirtualHostlõik, lisage järgmine:

  SSLEngine on
  SSLCertificateFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.crt"
  SSLCertificateKeyFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.key"
  

Taaskäivitage Apache:

# systemctl restart httpd

Nginxi jaoks

Redigeerige /etc/nginx/nginx.confja allosas, tühjendage HTTPS serverjaotise kommentaarid ja muutke read järgmisteks:

ssl_certificate      server.crt;
ssl_certificate_key  server.key;
root                /usr/share/nginx/html;

Pange tähele, et kui kasutate virtuaalseid hoste, /etc/nginx/nginx.confsaadab ülaltoodud muudatuse tegemisel kõik hostid sellesse asukohta. Igale hostile oma sertifikaadi andmiseks peate muutma iga nende konfiguratsioonifaili, /etc/nginx/sites-enabled/et teil oleks täiendav serveriplokk, mis osutaks tema enda sertifikaadile ja privaatvõtmele:

server {
    listen 443 ssl;
    server_name YOUR-DOMAIN-NAME.com;

    ssl_certificate      YOUR-DOMAIN-NAME.com.crt;
    ssl_certificate_key  YOUR-DOMAIN-NAME.com.key;

    ssl_session_cache   shared:SSL:1m;
    ssl_session_timeout 5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        root /usr/share/nginx/YOUR-DOMAIN-NAME.com;
        index  index.html index.htm;
    }
}

Taaskäivitage Nginx:

# systemctl restart nginx