Kako koristiti HTTPS na Arch Linux web poslužitelju

Preduvjeti

• Vultr poslužitelj koji radi s najnovijim Arch Linuxom (pogledajte ovaj članak .)
• Pokrenuti web poslužitelj, Apache ili Nginx
• Sudo pristup
  • Naredbe koje je potrebno pokrenuti kao root imaju prefiks #, a one koje se mogu izvoditi kao obični korisnik $. Preporučeni način za pokretanje naredbi kao root je da, kao obični korisnik, svakoj od njih dodate prefiks sudo.
• Imajte instaliran uređivač teksta i budite upoznati s njim, kao što su vi, vim, nano, emacs ili neki drugi sličan uređivač.

Sigurno posluživanje putem HTTPS-a

Posluživanje sadržaja putem HTTPS-a može koristiti iznimno jaku enkripciju, tako da nitko tko presreće promet između korisnika i web poslužitelja ne može ga pročitati. Ne samo da šifrira sam promet, već i URL kojem se pristupa, što inače može otkriti informacije. Google je već neko vrijeme djelomično određivao rangiranje pretraživanja na temelju toga koristi li stranica HTTPS, kao dio inicijative HTTPS Everywhere.

Napomena : DNS traženje otkriva naziv domene s kojom se povezuje, ali cijeli URL nije izložen tijekom tog procesa.

Nabavite SSL/TLS certifikat

Tehnički, TLS je zamijenio SSL za HTTPS certifikate, ali većina je mjesta jednostavno nastavila nazivati ​​TLS certifikate popularnijim izrazom SSL certifikati. Nakon uobičajene upotrebe, ovaj vodič će učiniti isto.

Za korištenje HTTPS-a vaš web poslužitelj treba privatni ključ ( .key) za privatnu upotrebu i certifikat ( .crt) za javno dijeljenje koji uključuje javni ključ. Certifikat mora biti potpisan. Možete ga sami potpisati, ali moderni preglednici će se žaliti da ne prepoznaju potpisnika. Na primjer, Chrome će prikazati: Your connection is not private. Attackers might be trying to steal your information... NET::ERR_CERT_AUTHORITY_INVALID. Ako samo privatna skupina ljudi koristi web-mjesto, to može biti prihvatljivo, jer će preglednici omogućiti način da se nastavi. Na primjer, u Chromeu kliknite "Napredno", zatim "Nastavi na... (nije sigurno)"; i dalje će se prikazati "Nije sigurno" i precrtati "https".

Imajte na umu da će vam ovaj proces tražiti vašu državu, državu/provid, mjesto, organizaciju, organizacijsku jedinicu, uobičajena imena i adresu e-pošte; sve je dostupno u bilo čijem pregledniku koji se povezuje na vašu web-lokaciju putem HTTPS-a.

Također imajte na umu da ako dajete certifikate virtualnih hostova, u nastavku ćete morati dati različite nazive datoteka i pokazati na njih u konfiguracijama virtualnog hosta.

Promijenite u odgovarajući direktorij za vaš web poslužitelj.

Ako ste instalirali Apache:

$ cd /etc/httpd/conf

Ako ste instalirali Nginx:

$ cd /etc/nginx

Jednom u odgovarajućem imeniku, generirajte privatni ključ ( server.key) i samopotpisani certifikat ( server.crt):

# openssl req -new -x509 -nodes -newkey rsa:4096 -keyout server.key -out server.crt -days 825

Postavite dopuštenja samo za čitanje i dopustite da privatni ključ čita samo root:

# chmod 400 server.key
# chmod 444 server.crt

Alternativno, možete dobiti certifikat potpisan od strane pouzdanog tijela za izdavanje certifikata. Možete platiti raznim tvrtkama (certifikacijskim tijelima) da potpišu vaš certifikat umjesto vas. Kada razmatrate ovlaštenja za izdavanje certifikata, može biti važno provjeriti koji preglednici i koje će ih verzije prepoznati. Neki noviji certifikati možda neće biti prepoznati kao službeniji od samopotpisanih certifikata na starim verzijama preglednika.

Obično vam nije potrebna samo javna IP adresa, već i naziv domene. Neka tijela za izdavanje certifikata mogu izdati certifikat na javnu IP adresu, ali to se rijetko radi.

Mnogi pružatelji usluga nude besplatnu probnu verziju od 30 dana, s kojom se preporučuje da počnete kako biste se uvjerili da proces radi za vas prije nego što ga platite. Cijene mogu varirati od nekoliko dolara godišnje do stotina, ovisno o vrsti i opcijama kao što su više domena ili poddomena. Standardni certifikat samo će naznačiti da je autoritet za potpisivanje potvrdio da osoba koja je dobila certifikat može izvršiti promjene na domeni. Certifikat proširene provjere valjanosti će također naznačiti da je autoritet za potpisivanje proveo određenu provjeru podnositelja zahtjeva i da će, u modernim preglednicima, prikazati zelenu traku unutar ili blizu URL-a. Prilikom provjere da možete unijeti promjene na domeni, neka tijela za potpisivanje zahtijevat će od vas da primate e-poštu na važnu zvučnu adresu u nazivu domene, kao što je[email protected]. Mnogi nude alternativnu provjeru, kao što je davanje datoteke koju stavite na svoj poslužitelj, kao što je postavljanje njihove datoteke u /srv/http/.well-known/pki-validation/Apache ili /usr/share/nginx/html/.well-known/pki-validation/za Nginx, za konfiguracije jednog direktorija hostinga; ili privremeno kreiranje CNAME unosa koji vam daju u DNS zapisima vaše domene.

Tijelo za potpisivanje koje odaberete može imati malo drugačije korake, ali većina će prihvatiti sljedeći postupak:

U odgovarajućem imeniku generirajte privatni ključ ( server.key):

# openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out server.key

Postavite privatni ključ na samo za čitanje, samo za root:

# chmod 400 server.key

Generirajte zahtjev za potpisivanje certifikata ( server.csr). Morate unijeti naziv svoje domene kada od vas traži Common Name, a lozinku za izazov možete ostaviti praznom:

# openssl req -new -sha256 -key server.key -out server.csr

Postavite zahtjev za potpisivanje certifikata na samo za čitanje, samo za root:

# chmod 400 server.csr

Pogledajte sadržaj zahtjeva za potpisivanje certifikata. Ova informacija je kodirana base64, pa će izgledati kao nasumični znakovi:

# cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
.....
-----END CERTIFICATE REQUEST-----

Prođite kroz postupak vašeg ovlaštenja za potpisivanje i kada se od vas zatraži da zalijepite svoj CSR, kopirajte i zalijepite cijelu ovu datoteku uključujući -----retke. Ovisno o autoritetu za potpisivanje koje ste odabrali i vrsti certifikata, oni bi vam mogli odmah dati potpisani certifikat ili bi to moglo trajati nekoliko dana. Nakon što su vam potpisani certifikat, kopirajte ga (uključujući -----BEGIN CERTIFICATE-----i -----END CERTIFICATE-----linije) u datoteku pod nazivom server.crt, u odgovarajućem imeniku, s obzirom na gore za svoj web poslužitelj, i postaviti ga na čitanje:

# chmod 444 server.crt

Konfigurirajte svoj web poslužitelj za korištenje privatnog ključa i certifikata

Ako koristite vatrozid, morat ćete omogućiti dolazni TCP promet na port 443.

Za Apache

Uredite /etc/httpd/conf/httpd.confi dekomentirajte ove retke:

LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
Include conf/extra/httpd-ssl.conf

Imajte na umu ako koristite virtualne hostove, unošenjem gornje promjene u /etc/httpd/conf/httpd.confkoristit će se isti certifikat na svim hostovima. Kako biste svakom hostu dali vlastiti certifikat kako se preglednici ne žale da certifikat ne odgovara nazivu domene, trebate urediti svaku od njihovih konfiguracijskih datoteka /etc/httpd/conf/vhosts/kako bi ukazivale na vlastiti certifikat i privatni ključ:

• Promijenite <VirtualHost *:80>u <VirtualHost *:80 *:443>.

• Unutar VirtualHostodjeljka dodajte sljedeće:

  SSLEngine on
  SSLCertificateFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.crt"
  SSLCertificateKeyFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.key"
  

Ponovno pokrenite Apache:

# systemctl restart httpd

Za Nginx

Uredite /etc/nginx/nginx.confi pri dnu dekomentirajte HTTPS serverodjeljak i promijenite retke na sljedeće:

ssl_certificate      server.crt;
ssl_certificate_key  server.key;
root                /usr/share/nginx/html;

Imajte na umu ako koristite virtualne hostove, ako napravite gornju promjenu u /etc/nginx/nginx.conf, svi će se hostovi poslati na tu lokaciju. Da biste svakom hostu dali vlastiti certifikat, trebate urediti svaku od njihovih konfiguracijskih datoteka /etc/nginx/sites-enabled/kako biste imali dodatni blok poslužitelja koji ukazuje na vlastiti certifikat i privatni ključ:

server {
    listen 443 ssl;
    server_name YOUR-DOMAIN-NAME.com;

    ssl_certificate      YOUR-DOMAIN-NAME.com.crt;
    ssl_certificate_key  YOUR-DOMAIN-NAME.com.key;

    ssl_session_cache   shared:SSL:1m;
    ssl_session_timeout 5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        root /usr/share/nginx/YOUR-DOMAIN-NAME.com;
        index  index.html index.htm;
    }
}

Ponovno pokrenite Nginx:

# systemctl restart nginx