Konfigureerige Apache iseallkirjastatud TLS/SSL-sertifikaadiga Ubuntu 16.04-s

SSL ja selle järglane TLS (Secure Sockets Layer / Transport Layer Security) lisavad kliendi ja serveri vahele krüpteerimiskihi. Ilma selle tehnoloogiata saadetakse andmed serverisse lihttekstina, mis võimaldab kolmandatel osapooltel lugeda kogu teie serveri saadetud ja vastuvõetud teavet.

See õpetus õpetab teile, kuidas luua SSL/TLS-sertifikaati ja aktiveerida see Apache 2.4-s Ubuntu 16.04-s. Eeldan, et Apache on juba seadistatud ja töötab. Kui soovite õppida LAMP-pinu installimist, vaadake seda Vultri dokumenti .

Tähelepanu

SSL/TLS certificates are normally generated by a trusted CA (certificate authority). By generating it yourself, you will be the signer, meaning the browser won't be able to verify whether the identity of the certificate should be trusted, and it will warn the user. Although it is possible to bypass this alert, public-facing sites should be using a certificate signed by a trusted CA. Let's encrypt is a CA that offers certificates for free. You can learn how to install their certificate in Apache and Ubuntu 16.04 here.

For internal applications, using a self-signed certificate might be valid, especially if you don't have a domain name.

1. samm: sertifikaadi loomine

1. Kõigepealt loome faili salvestamise koha.

   mkdir ~/certificates
   cd ~/certificates
   

2. Looge CSR ja privaatvõti.

   openssl req -x509 -newkey rsa:4096 -keyout apache.key -out apache.crt -days 365 -nodes
   

   See küsib teavet sertifikaadi taotlemiseks. Täiendage asjakohane teave.

   Country Name (2 letter code) [AU]: US
   State or Province Name (full name) [Some-State]: FL
   Locality Name (eg, city) []: Miami
   Organization Name (eg, company) [My Company]: My Company
   Organizational Unit Name (eg, section) []:
   

   Üldnimi peaks olema teie domeeninimi või serveri IP-aadress. Samuti täitke oma e-kiri.

   Common Name (e.g. server FQDN or YOUR name) []: 203.0.113.122
   Email Address []:webmaster@example.com
   

3. Nüüd teisaldage sertifikaat Apache konfiguratsioonikausta.

   mkdir /etc/apache2/ssl
   mv ~/certificates/* /etc/apache2/ssl/.
   

4. Sertifikaat on valmis! Järgmisena valmistame Apache'i sertifikaadiga töötamiseks ette.

2. samm: tulemüüri konfigureerimine

1. Peame veenduma, et TCP-port 443 on avatud. Seda porti kasutatakse SSL-ühendustes pordi 80 asemel. Selles õpetuses kasutame UFW-d.

2. Veenduge, et UFW oleks lubatud.

   sudo ufw enable
   

3. Nüüd lubage tulemüüri jaoks etteantud Apache sätted.

   sudo ufw allow 'Apache Full'
   

4. Sisestades " sudo ufw status", näete kehtivate reeglite loendit. Teie konfiguratsioon peaks sarnanema järgmisele:

   To                         Action      From
   --                         ------      ----
   Apache Full                ALLOW       Anywhere
   OpenSSH                    ALLOW       Anywhere
   Apache Full (v6)           ALLOW       Anywhere (v6)
   OpenSSH (v6)               ALLOW       Anywhere (v6)
   

5. Samuti peaksite tulevaste ühenduste jaoks lubama siin OpenSSH-i.

   sudo ufw allow 'OpenSSH'
   

3. samm: Apache virtuaalse hosti konfiguratsioon

1. Liikuge Apache saidi vaikekonfiguratsioonikataloogi.

   sudo nano /etc/apache2/sites-available/default-ssl.conf
   

2. See fail annab serverile teada, kust SSL-sertifikaati otsida. Kui kommentaarid on eemaldatud, peaks see välja nägema järgmine konfiguratsioon.

   <IfModule mod_ssl.c>
     <VirtualHost _default_:443>
      ServerAdmin webmaster@localhost
   
      DocumentRoot /var/www/html
   
      ErrorLog ${APACHE_LOG_DIR}/error.log
      CustomLog ${APACHE_LOG_DIR}/access.log combined
   
      SSLEngine on
   
      SSLCertificateFile    /etc/ssl/certs/ssl-cert-snakeoil.pem
      SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
   
      <FilesMatch "\.(cgi|shtml|phtml|php)$">
       SSLOptions +StdEnvVars
      </FilesMatch>
      <Directory /usr/lib/cgi-bin>
       SSLOptions +StdEnvVars
      </Directory>
   
    </VirtualHost>
   </IfModule>
   

3. Redigeeri seda rida:

   ServerAdmin email@example.net
   

4. Lisage see otse ServerAdminrea alla :

   ServerName ADD_YOUR_IP_OR_DOMAIN_NAME_HERE
   

5. Nüüd muutke neid ridu meie sertifikaadi asukohaga:

   SSLCertificateFile    /etc/apache2/ssl/apache.crt
   SSLCertificateKeyFile /etc/apache2/ssl/apache.key
   

6. Meie lõplik fail peaks sarnanema sellele:

   <IfModule mod_ssl.c>
    <VirtualHost _default_:443>
     ServerAdmin email@example.net
     ServerName 203.0.113.122
   
     DocumentRoot /var/www/html
   
     ErrorLog ${APACHE_LOG_DIR}/error.log
     CustomLog ${APACHE_LOG_DIR}/access.log combined
   
     SSLEngine on
   
     SSLCertificateFile    /etc/apache2/ssl/apache.crt
     SSLCertificateKeyFile /etc/apache2/ssl/apache.key
   
     <FilesMatch "\.(cgi|shtml|phtml|php)$">
      SSLOptions +StdEnvVars
     </FilesMatch>
     <Directory /usr/lib/cgi-bin>
      SSLOptions +StdEnvVars
     </Directory>
   
    </VirtualHost>
   </IfModule>
   

7. Salvestage ja sulgege fail.

4. samm: Apache SSL-mooduli lubamine

1. Lubage SSL-moodul, tippides:

   sudo a2enmod ssl
   

2. Nüüd lubage sait, mida just redigeerisime:

   sudo a2ensite default-ssl.conf
   

3. Taaskäivitage Apache:

   sudo service apache2 restart
   

4. Pääseme uuele turvalisele veebisaidile! Avage see oma brauseris (sisestage kindlasti https:// ).

   https://YOUR_SERVER_IP
   

Teie brauser hoiatab teid, et sertifikaat on kehtetu, nagu eeldasime. See juhtub seetõttu, et sertifikaat pole allkirjastatud. Saidile liikumiseks järgige brauseri pakutavaid samme.

5. samm: suunake kogu HTTP-liiklus ümber HTTPS-i (valikuline)

1. Avage Apache virtuaalse hosti vaikefail:

   nano /etc/apache2/sites-available/000-default.conf
   

2. Lisage see rida <VirtualHost *:80>sildi sisse:

   Redirect / https://YOUR_SERVER_IP_OR_DOMAIN/
   

3. Laadige Apache konfiguratsioon uuesti:

   sudo service apache2 reload
   

Kogu veebisaidi liiklus suunatakse nüüd automaatselt ümber HTTPS-i.