Hvernig á að nota HTTPS á Arch Linux vefþjóni

Forkröfur

• Vultr netþjónn sem keyrir uppfært Arch Linux (sjá þessa grein .)
• Vefþjónn sem er í gangi, annað hvort Apache eða Nginx
• Sudo aðgangur
  • Skipanir sem þarf að keyra sem rót eru með forskeytinu #, og þær sem hægt er að keyra sem venjulegur notandi með $. Ráðlögð leið til að keyra skipanir sem rót er að, sem venjulegur notandi, setja hverja þeirra forskeyti með sudo.
• Láttu setja upp textaritil og kynntu þér hann, eins og vi, vim, nano, emacs eða annan svipaðan ritstjóra.

Örugg þjónusta í gegnum HTTPS

Að þjóna efni í gegnum HTTPS getur notað afar sterka dulkóðun, þannig að enginn sem stöðvar umferð milli notanda og vefþjóns getur lesið það. Það dulkóðar ekki aðeins umferðina sjálfa, heldur einnig slóðina sem verið er að nálgast, sem getur annars afhjúpað upplýsingar. Í nokkurn tíma hefur Google verið að ákvarða leitarröðun að hluta út frá því hvort síða notar HTTPS, sem hluti af HTTPS Everywhere frumkvæðinu.

Athugið : DNS leit afhjúpar lénið sem verið er að tengja við, en öll vefslóðin er ekki afhjúpuð meðan á því ferli stendur.

Fáðu SSL/TLS vottorð

Tæknilega séð kom TLS í stað SSL fyrir HTTPS vottorð, en flestir staðir héldu einfaldlega áfram að hringja í TLS vottorð með vinsælli hugtakinu SSL vottorð. Eftir almenna notkun mun þessi handbók gera það sama.

Til að nota HTTPS þarf vefþjónninn þinn einkalykil ( .key) til að hann geti notað hann sem einkanota og vottorð ( .crt) til að deila opinberlega sem inniheldur opinberan lykil. Skírteini þarf að vera undirritað. Þú getur skrifað undir það sjálfur, en nútíma vafrar munu kvarta yfir því að þeir þekki ekki undirritaðan. Til dæmis mun Chrome sýna: Your connection is not private. Attackers might be trying to steal your information... NET::ERR_CERT_AUTHORITY_INVALID. Ef aðeins einkahópur fólks mun nota vefsíðuna getur það verið ásættanlegt, vegna þess að vafrar leyfa leið til að halda áfram. Til dæmis, í Chrome, smelltu á „Ítarlegt“, svo „Halda áfram að... (óöruggt)“; það mun samt sýna „Ekki öruggt“ og strika yfir „https“.

Athugaðu að þetta ferli mun biðja þig um land þitt, ríki/forsjón, byggðarlag, stofnun, skipulagsheild og almenn nöfn, og netfangið þitt; sem allt er aðgengilegt í vafra hvers sem er sem tengist síðuna þína í gegnum HTTPS.

Athugaðu einnig að ef þú gefur sýndarhýsingarvottorð þarftu að gefa upp sérstök skráarnöfn hér að neðan og benda á þau í sýndarhýsingarstillingunum þínum.

Breyttu í rétta möppu fyrir vefþjóninn þinn.

Ef þú settir upp Apache:

$ cd /etc/httpd/conf

Ef þú settir upp Nginx:

$ cd /etc/nginx

Þegar þú ert kominn í rétta möppu skaltu búa til einkalykil ( server.key) og sjálfundirritað vottorð ( server.crt):

# openssl req -new -x509 -nodes -newkey rsa:4096 -keyout server.key -out server.crt -days 825

Stilltu skrifvarið leyfi og leyfðu aðeins að lesa einkalykilinn með rót:

# chmod 400 server.key
# chmod 444 server.crt

Að öðrum kosti geturðu fengið vottorð undirritað af traustum vottorðayfirvöldum. Þú getur greitt ýmsum fyrirtækjum (vottorðsyfirvöldum) fyrir að skrifa undir skírteinið þitt fyrir þig. Þegar hugað er að vottunaryfirvöldum getur verið mikilvægt að skoða hvaða vafrar og hvaða útgáfur þekkja þá. Sum nýrri vottorðsyfirvöld mega ekki vera viðurkennd sem opinberari en sjálfundirritað vottorð í gömlum vafraútgáfum.

Þú þarft venjulega ekki aðeins opinbera IP tölu, heldur einnig lén. Sum vottorðsyfirvöld geta gefið út vottorð á opinbera IP-tölu, en það er sjaldan gert.

Margir veitendur bjóða upp á ókeypis 30 daga prufuáskrift, sem mælt er með til að byrja með svo þú getir gengið úr skugga um að ferlið virki fyrir þig áður en þú borgar fyrir það. Verð geta verið breytileg frá nokkrum dollurum á ári til hundruða, eftir því hvaða tegund það er og valkostum eins og mörg lén eða undirlén. Staðlað vottorð mun aðeins gefa til kynna að undirritunarvaldið hafi staðfest að sá sem fær vottorðið gæti gert breytingar á léninu. Framlengt löggildingarvottorð mun einnig gefa til kynna að undirritunarvaldið hafi framkvæmt áreiðanleikakönnun við að athuga umsækjanda og mun, í nútíma vöfrum, sýna græna stiku í eða nálægt vefslóðinni. Þegar þú staðfestir að þú getir gert breytingar á léninu munu sum undirritunaryfirvöld krefjast þess að þú fáir tölvupóst á mikilvægu heimilisfangi á léninu, ss.[email protected]. Margir bjóða upp á aðra sannprófun, eins og að gefa þér skrá til að setja á netþjóninn þinn, eins og að setja skrána sína inn /srv/http/.well-known/pki-validation/fyrir Apache eða /usr/share/nginx/html/.well-known/pki-validation/fyrir Nginx, fyrir stakar hýsingarskrárstillingar; eða búa tímabundið til CNAME færslu sem þeir veita þér í DNS færslum lénsins þíns.

Undirritunarheimildin sem þú velur kann að hafa aðeins önnur skref, en flestir munu samþykkja eftirfarandi aðferð:

Í réttri möppu, búðu til einkalykil ( server.key):

# openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out server.key

Stilltu einkalykilinn á skrifvarinn, aðeins með rót:

# chmod 400 server.key

Búðu til beiðni um undirritun vottorðs ( server.csr). Þú verður að setja lénið þitt inn þegar það biður þig um Common Name, og þú getur skilið lykilorð áskorunarinnar eftir autt:

# openssl req -new -sha256 -key server.key -out server.csr

Stilltu undirskriftarbeiðnina á skrifvarið, aðeins með rót:

# chmod 400 server.csr

Skoðaðu innihald beiðni um undirritun vottorðs. Þessar upplýsingar eru base64 kóðaðar, þannig að þær munu líta út eins og handahófskenndir stafir:

# cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
.....
-----END CERTIFICATE REQUEST-----

Farðu í gegnum ferlið undirritunaryfirvalds þíns og þegar þú ert beðinn um að líma inn CSR þinn skaltu afrita og líma alla þessa skrá, þar með talið -----línurnar. Það fer eftir undirritunarvaldinu sem þú velur og tegund vottorðsins, þeir gætu strax gefið þér undirritaða vottorðið, eða það gæti tekið nokkra daga. Þegar þeir gefa þér undirritað vottorð, afrita það (þar á meðal -----BEGIN CERTIFICATE-----og -----END CERTIFICATE-----línur) inn í skrá sem heitir server.crt, í réttu skránni, hér að ofan til vefþjóninum þínum, og setja það til að lesa-eini:

# chmod 444 server.crt

Stilltu vefþjóninn þinn til að nota einkalykilinn og vottorðið

Ef þú ert að nota eldvegg þarftu að virkja komandi TCP umferð á port 443.

Fyrir Apache

Breyttu /etc/httpd/conf/httpd.confog afskrifaðu þessar línur:

LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
Include conf/extra/httpd-ssl.conf

Athugaðu að ef þú ert að nota sýndarhýsingar, þá /etc/httpd/conf/httpd.confmun breytingin hér að ofan nota sama vottorð á öllum vélum. Til að gefa hverjum gestgjafa sitt eigið vottorð til að forðast að vafrar kvarti yfir því að skírteinið passi ekki við lénið þarftu að breyta hverri stillingarskrá þeirra /etc/httpd/conf/vhosts/til að benda á eigin vottorð og einkalykil:

• Breyttu <VirtualHost *:80>í <VirtualHost *:80 *:443>.

• Innan VirtualHosthlutans skaltu bæta eftirfarandi við:

  SSLEngine on
  SSLCertificateFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.crt"
  SSLCertificateKeyFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.key"
  

Endurræstu Apache:

# systemctl restart httpd

Fyrir Nginx

Breyttu /etc/nginx/nginx.confog nálægt botninum skaltu afskrifa HTTPS serverhlutann og breyta línunum í eftirfarandi:

ssl_certificate      server.crt;
ssl_certificate_key  server.key;
root                /usr/share/nginx/html;

Athugaðu að ef þú ert að nota sýndarhýsingar, þá /etc/nginx/nginx.confmun breytingin hér að ofan senda alla gestgjafa á þann stað. Til að gefa hverjum gestgjafa sitt eigið vottorð þarftu að breyta hverri stillingarskrá þeirra /etc/nginx/sites-enabled/til að hafa viðbótar netþjónsblokk til að benda á eigin vottorð og einkalykil:

server {
    listen 443 ssl;
    server_name YOUR-DOMAIN-NAME.com;

    ssl_certificate      YOUR-DOMAIN-NAME.com.crt;
    ssl_certificate_key  YOUR-DOMAIN-NAME.com.key;

    ssl_session_cache   shared:SSL:1m;
    ssl_session_timeout 5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        root /usr/share/nginx/YOUR-DOMAIN-NAME.com;
        index  index.html index.htm;
    }
}

Endurræstu Nginx:

# systemctl restart nginx