Määritä Apache itseallekirjoitetulla TLS/SSL-sertifikaatilla Ubuntu 16.04:ssä

SSL ja sen seuraaja TLS (Secure Sockets Layer / Transport Layer Security) lisäävät salauskerroksen asiakkaan ja palvelimen välille. Ilman tätä tekniikkaa tiedot lähetetään palvelimelle pelkkänä tekstinä, jolloin kolmannet osapuolet voivat lukea kaikki palvelimesi lähettämät ja vastaanottamat tiedot.

Tämä opetusohjelma opettaa sinulle, kuinka voit luoda SSL/TLS-varmenteen ja aktivoida sen Apache 2.4:ssä Ubuntu 16.04:ssä. Oletan, että Apache on jo asennettu ja käynnissä. Jos haluat oppia asentamaan LAMP-pinon, katso tämä Vultr-dokumentti .

Huomio

SSL/TLS certificates are normally generated by a trusted CA (certificate authority). By generating it yourself, you will be the signer, meaning the browser won't be able to verify whether the identity of the certificate should be trusted, and it will warn the user. Although it is possible to bypass this alert, public-facing sites should be using a certificate signed by a trusted CA. Let's encrypt is a CA that offers certificates for free. You can learn how to install their certificate in Apache and Ubuntu 16.04 here.

For internal applications, using a self-signed certificate might be valid, especially if you don't have a domain name.

Vaihe 1: Luo varmenne

1. Luodaan ensin paikka tiedoston tallennusta varten.

   mkdir ~/certificates
   cd ~/certificates
   

2. Luo CSR ja yksityinen avain.

   openssl req -x509 -newkey rsa:4096 -keyout apache.key -out apache.crt -days 365 -nodes
   

   Se pyytää tietoja varmennepyyntöä varten. Täytä asianmukaiset tiedot.

   Country Name (2 letter code) [AU]: US
   State or Province Name (full name) [Some-State]: FL
   Locality Name (eg, city) []: Miami
   Organization Name (eg, company) [My Company]: My Company
   Organizational Unit Name (eg, section) []:
   

   Yleisnimen tulee olla verkkotunnuksesi nimi tai palvelimen IP-osoite. Täytä myös sähköpostisi.

   Common Name (e.g. server FQDN or YOUR name) []: 203.0.113.122
   Email Address []:[email protected]
   

3. Siirrä nyt varmenne Apache-määrityskansioon.

   mkdir /etc/apache2/ssl
   mv ~/certificates/* /etc/apache2/ssl/.
   

4. Todistus on valmis! Seuraavaksi valmistelemme Apachen toimimaan sertifikaatin kanssa.

Vaihe 2: Palomuurin määritys

1. Meidän on varmistettava, että TCP-portti 443 on auki. Tätä porttia käytetään SSL-yhteyksissä portin 80 sijaan. Tässä opetusohjelmassa käytämme UFW:tä.

2. Varmista, että UFW on käytössä.

   sudo ufw enable
   

3. Salli nyt ennalta määritetyt Apache-asetukset palomuurille.

   sudo ufw allow 'Apache Full'
   

4. sudo ufw statusNäet luettelon nykyisistä säännöistä kirjoittamalla " ". Kokoonpanosi pitäisi muistuttaa tätä:

   To                         Action      From
   --                         ------      ----
   Apache Full                ALLOW       Anywhere
   OpenSSH                    ALLOW       Anywhere
   Apache Full (v6)           ALLOW       Anywhere (v6)
   OpenSSH (v6)               ALLOW       Anywhere (v6)
   

5. Sinun tulisi myös sallia OpenSSH täällä tulevia yhteyksiä varten.

   sudo ufw allow 'OpenSSH'
   

Vaihe 3: Apache-virtuaaliisäntämääritykset

1. Siirry Apache-sivuston oletusasetushakemistoon.

   sudo nano /etc/apache2/sites-available/default-ssl.conf
   

2. Tämä tiedosto kertoo palvelimelle, mistä SSL-varmennetta etsitään. Kun kommentit on poistettu, sen pitäisi näyttää seuraavalta konfiguraatiolta.

   <IfModule mod_ssl.c>
     <VirtualHost _default_:443>
      ServerAdmin webmaster@localhost
   
      DocumentRoot /var/www/html
   
      ErrorLog ${APACHE_LOG_DIR}/error.log
      CustomLog ${APACHE_LOG_DIR}/access.log combined
   
      SSLEngine on
   
      SSLCertificateFile    /etc/ssl/certs/ssl-cert-snakeoil.pem
      SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
   
      <FilesMatch "\.(cgi|shtml|phtml|php)$">
       SSLOptions +StdEnvVars
      </FilesMatch>
      <Directory /usr/lib/cgi-bin>
       SSLOptions +StdEnvVars
      </Directory>
   
    </VirtualHost>
   </IfModule>
   

3. Muokkaa tätä riviä:

   ServerAdmin [email protected]
   

4. Lisää tämä ServerAdminrivin alle :

   ServerName ADD_YOUR_IP_OR_DOMAIN_NAME_HERE
   

5. Muokkaa nyt näitä rivejä varmenteen sijainnillamme:

   SSLCertificateFile    /etc/apache2/ssl/apache.crt
   SSLCertificateKeyFile /etc/apache2/ssl/apache.key
   

6. Lopullisen tiedostomme pitäisi muistuttaa tätä:

   <IfModule mod_ssl.c>
    <VirtualHost _default_:443>
     ServerAdmin [email protected]
     ServerName 203.0.113.122
   
     DocumentRoot /var/www/html
   
     ErrorLog ${APACHE_LOG_DIR}/error.log
     CustomLog ${APACHE_LOG_DIR}/access.log combined
   
     SSLEngine on
   
     SSLCertificateFile    /etc/apache2/ssl/apache.crt
     SSLCertificateKeyFile /etc/apache2/ssl/apache.key
   
     <FilesMatch "\.(cgi|shtml|phtml|php)$">
      SSLOptions +StdEnvVars
     </FilesMatch>
     <Directory /usr/lib/cgi-bin>
      SSLOptions +StdEnvVars
     </Directory>
   
    </VirtualHost>
   </IfModule>
   

7. Tallenna ja sulje tiedosto.

Vaihe 4: Ota Apache SSL -moduuli käyttöön

1. Ota SSL-moduuli käyttöön kirjoittamalla:

   sudo a2enmod ssl
   

2. Ota nyt juuri muokkaamamme sivusto käyttöön:

   sudo a2ensite default-ssl.conf
   

3. Käynnistä Apache uudelleen:

   sudo service apache2 restart
   

4. Avataan uusi suojattu verkkosivusto! Avaa se selaimessasi (varmista, että kirjoitat https:// ).

   https://YOUR_SERVER_IP
   

Selaimesi varoittaa, että varmenne on virheellinen, kuten odotimme. Tämä tapahtuu, koska varmennetta ei ole allekirjoitettu. Siirry sivustollesi noudattamalla selaimesi tarjoamia ohjeita.

Vaihe 5: Ohjaa kaikki HTTP-liikenne HTTPS:ään (valinnainen)

1. Avaa Apachen oletusarvoinen virtuaalinen isäntätiedosto:

   nano /etc/apache2/sites-available/000-default.conf
   

2. Lisää tämä rivi <VirtualHost *:80>tagin sisään:

   Redirect / https://YOUR_SERVER_IP_OR_DOMAIN/
   

3. Lataa Apache-kokoonpano uudelleen:

   sudo service apache2 reload
   

Kaikki verkkosivuston liikenne ohjataan nyt automaattisesti HTTPS:ään.