HTTPS:n käyttäminen Arch Linux -verkkopalvelimessa

Edellytykset

• Vultr-palvelin, joka käyttää ajan tasalla olevaa Arch Linuxia (katso tämä artikkeli .)
• Käynnissä oleva verkkopalvelin, joko Apache tai Nginx
• Sudo pääsy
  • Pääkäyttäjänä suoritettavien komentojen etuliitteenä on #, ja komentojen , jotka voidaan suorittaa tavallisena käyttäjänä, etuliitteenä on $. Suositeltu tapa suorittaa komentoja pääkäyttäjänä on tavallisena käyttäjänä liittää jokaisen komennon eteen sudo.
• Asenna tekstieditori ja tunne se, kuten vi, vim, nano, emacs tai muu vastaava editori.

Suojattu palvelu HTTPS:n kautta

Sisällön tarjoaminen HTTPS:n kautta voi käyttää erittäin vahvaa salausta, joten kukaan käyttäjän ja verkkopalvelimen välistä liikennettä ei voi lukea. Se ei vain salaa itse liikennettä, vaan myös käytettävää URL-osoitetta, joka voi muuten paljastaa tietoja. Google on jo jonkin aikaa määrittänyt hakusijoituksia osittain sen perusteella, käyttääkö sivu HTTPS:ää osana HTTPS Everywhere -aloitetta.

Huomautus : DNS-haku paljastaa verkkotunnuksen, johon yhdistetään, mutta koko URL-osoite ei tule näkyviin tämän prosessin aikana.

Hanki SSL/TLS-sertifikaatti

Teknisesti TLS korvasi SSL:n HTTPS-varmenteille, mutta useimmissa paikoissa yksinkertaisesti vain kutsuttiin TLS-varmenteita suositummalla termillä SSL-sertifikaatit. Yleisen käytön jälkeen tämä opas tekee samoin.

HTTPS:n käyttöä varten verkkopalvelimesi tarvitsee yksityisen avaimen ( .key), jota se voi käyttää yksityisesti, ja varmenteen ( .crt) julkista jakamista varten, joka sisältää julkisen avaimen. Todistus on allekirjoitettava. Voit allekirjoittaa sen itse, mutta nykyaikaiset selaimet valittavat, etteivät ne tunnista allekirjoittajaa. Esimerkiksi Chrome näyttää: Your connection is not private. Attackers might be trying to steal your information... NET::ERR_CERT_AUTHORITY_INVALID. Jos vain yksityinen ryhmä ihmisiä käyttää verkkosivustoa, tämä voi olla hyväksyttävää, koska selaimet sallivat tavan edetä. Napsauta esimerkiksi Chromessa "Lisäasetukset" ja sitten "Jatka kohteeseen... (ei turvallinen)"; siinä näkyy edelleen "Ei suojattu" ja yliviivataan "https".

Huomaa, että tämä prosessi kysyy sinulta maatasi, osavaltiotasi/aluettasi, paikkakuntaasi, organisaatiota, organisaatioyksikköäsi ja yleisiä nimiä sekä sähköpostiosoitettasi. jotka kaikki ovat käytettävissä kenen tahansa selaimella, joka muodostaa yhteyden sivustoosi HTTPS:n kautta.

Huomaa myös, että jos annat virtuaalisten isäntien varmenteita, sinun on annettava alla erilliset tiedostonimet ja osoitettava niitä virtuaaliisäntäkokoonpanoissasi.

Vaihda verkkopalvelimesi oikeaan hakemistoon.

Jos asensit Apachen:

$ cd /etc/httpd/conf

Jos asensit Nginxin:

$ cd /etc/nginx

Kun olet oikeassa hakemistossa, luo yksityinen avain ( server.key) ja itse allekirjoitettu varmenne ( server.crt):

# openssl req -new -x509 -nodes -newkey rsa:4096 -keyout server.key -out server.crt -days 825

Aseta vain luku -oikeudet ja salli vain pääkäyttäjän lukea yksityinen avain:

# chmod 400 server.key
# chmod 444 server.crt

Vaihtoehtoisesti voit hankkia luotettavan varmentajan allekirjoittaman varmenteen. Voit maksaa eri yrityksille (varmenneviranomaisille) allekirjoittamaan sertifikaatin puolestasi. Varmenneviranomaisia ​​harkittaessa voi olla tärkeää selvittää, mitkä selaimet ja versiot tunnistavat ne. Joitakin uudempia varmenneviranomaisia ​​ei ehkä tunnusteta virallisemmiksi kuin itse allekirjoitetut varmenteet vanhoissa selainversioissa.

Yleensä tarvitset julkisen IP-osoitteen lisäksi myös verkkotunnuksen. Jotkut varmenteen myöntäjät voivat myöntää varmenteen julkiseen IP-osoitteeseen, mutta se tehdään harvoin.

Monet palveluntarjoajat tarjoavat ilmaisen 30 päivän kokeilujakson, joka on suositeltavaa aloittaa, jotta voit varmistaa, että prosessi toimii sinulle ennen kuin maksat siitä. Hinnat voivat vaihdella muutamasta dollarista vuodessa satoihin sen tyypistä ja vaihtoehdoista, kuten useista verkkotunnuksista tai aliverkkotunnuksista, riippuen. Vakiovarmenne osoittaa vain, että allekirjoittajaviranomainen on varmistanut, että varmenteen saava henkilö voi tehdä muutoksia toimialueeseen. Extended Validation -sertifikaatti osoittaa myös, että allekirjoittajaviranomainen on suorittanut pyynnön esittäjän due diligence -tarkastuksen, ja nykyaikaisissa selaimissa näkyy vihreä palkki URL-osoitteessa tai sen lähellä. Kun varmistat, että voit tehdä muutoksia verkkotunnukseen, jotkin allekirjoittajaviranomaiset vaativat sinua vastaanottamaan sähköpostia verkkotunnuksen tärkeälle kuulostavaan osoitteeseen, kuten esim.[email protected]. Monet tarjoavat vaihtoehtoisen vahvistuksen, kuten tiedoston asettamisen palvelimellesi, kuten tiedostonsa sijoittamista /srv/http/.well-known/pki-validation/Apachelle tai /usr/share/nginx/html/.well-known/pki-validation/Nginxille yksittäisen isännöintihakemiston määrityksiä varten; tai luomalla väliaikaisesti CNAME-merkinnän, jonka he tarjoavat sinulle verkkotunnuksesi DNS-tietueisiin.

Valitsemallasi allekirjoitusviranomaisella voi olla hieman erilaisia ​​vaiheita, mutta useimmat hyväksyvät seuraavan menettelyn:

Luo oikeaan hakemistoon yksityinen avain ( server.key):

# openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out server.key

Aseta yksityinen avain vain luku -tilaan, vain pääkäyttäjänä:

# chmod 400 server.key

Luo varmenteen allekirjoituspyyntö ( server.csr). Sinun on syötettävä verkkotunnuksesi, kun se pyytää sinua Common Name, ja voit jättää haasteen salasanan tyhjäksi:

# openssl req -new -sha256 -key server.key -out server.csr

Aseta varmenteen allekirjoituspyyntö vain luku -tilaan, vain pääkäyttäjän toimesta:

# chmod 400 server.csr

Katso varmenteen allekirjoituspyynnön sisältö. Nämä tiedot ovat base64-koodattuja, joten ne näyttävät satunnaisilta merkeiltä:

# cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
.....
-----END CERTIFICATE REQUEST-----

Käy läpi allekirjoittajaviranomaisen prosessi ja kopioi ja liitä tämä koko tiedosto -----rivit mukaan lukien, kun sitä pyydetään liittämään CSR:ään . Riippuen valitsemastasi allekirjoittajaviranomaisesta ja varmenteen tyypistä, he voivat antaa sinulle allekirjoitetun varmenteen välittömästi tai se voi kestää useita päiviä. Kun he antavat sinulle allekirjoitetun varmenteen, kopioi se (mukaan lukien -----BEGIN CERTIFICATE-----ja -----END CERTIFICATE-----linjat) tulee tiedoston nimeltä server.crt, oikeassa hakemistossa, annettu edellä verkkopalvelinlokeihin, ja aseta se vain luku:

# chmod 444 server.crt

Määritä Web-palvelimesi käyttämään yksityistä avainta ja varmennetta

Jos käytät palomuuria, sinun on sallittava saapuva TCP-liikenne porttiin 443.

Apachelle

Muokkaa /etc/httpd/conf/httpd.confnäitä rivejä ja poista kommentit:

LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
Include conf/extra/httpd-ssl.conf

Huomaa, että jos käytät virtuaalisia isäntiä, yllä olevan muutoksen /etc/httpd/conf/httpd.conftekeminen käyttää samaa varmennetta kaikissa isännissä. Jos haluat antaa jokaiselle isännälle oman varmenteensa, jotta selaimet eivät valittaisi varmenteen vastaisesta toimialueen nimestä, sinun on muokattava jokaista niiden asetustiedostoa /etc/httpd/conf/vhosts/osoittamaan sen omaan varmenteeseen ja yksityiseen avaimeen:

• Vaihda <VirtualHost *:80>muotoon <VirtualHost *:80 *:443>.

• Sisällä VirtualHostosassa lisätään seuraava:

  SSLEngine on
  SSLCertificateFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.crt"
  SSLCertificateKeyFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.key"
  

Käynnistä Apache uudelleen:

# systemctl restart httpd

Nginxille

Muokkaa /etc/nginx/nginx.confja lähetä alareunaa, poista HTTPS serverosion kommentit ja muuta rivit seuraavasti:

ssl_certificate      server.crt;
ssl_certificate_key  server.key;
root                /usr/share/nginx/html;

Huomaa, että jos käytät virtuaalisia isäntiä, yllä olevan muutoksen /etc/nginx/nginx.conftekeminen kohtaan lähettää kaikki isännät kyseiseen sijaintiin. Jotta kullekin isännälle voidaan antaa oma varmenne, sinun on muokattava jokaista sen määritystiedostoa, /etc/nginx/sites-enabled/jotta sinulla on ylimääräinen palvelinlohko, joka osoittaa sen omaan varmenteeseen ja yksityiseen avaimeen:

server {
    listen 443 ssl;
    server_name YOUR-DOMAIN-NAME.com;

    ssl_certificate      YOUR-DOMAIN-NAME.com.crt;
    ssl_certificate_key  YOUR-DOMAIN-NAME.com.key;

    ssl_session_cache   shared:SSL:1m;
    ssl_session_timeout 5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        root /usr/share/nginx/YOUR-DOMAIN-NAME.com;
        index  index.html index.htm;
    }
}

Käynnistä Nginx uudelleen:

# systemctl restart nginx