Stilltu Apache með sjálfundirrituðu TLS/SSL vottorði á Ubuntu 16.04

SSL, og arftaki þess TLS (Secure Sockets Layer / Transport Layer Security) bæta við dulkóðunarlagi á milli viðskiptavinarins og netþjónsins. Án þessarar tækni eru gögn send til netþjónsins í einföldum texta, sem gerir þriðju aðilum kleift að lesa allar upplýsingar sem sendar eru og mótteknar af netþjóninum þínum.

Þessi kennsla mun kenna þér hvernig á að búa til SSL/TLS vottorð og virkja það á Apache 2.4 á Ubuntu 16.04. Ég geri ráð fyrir að Apache sé þegar sett upp og keyrt. Ef þú vilt læra hvernig á að setja upp LAMP stafla, skoðaðu þetta Vultr skjal .

Athygli

SSL/TLS certificates are normally generated by a trusted CA (certificate authority). By generating it yourself, you will be the signer, meaning the browser won't be able to verify whether the identity of the certificate should be trusted, and it will warn the user. Although it is possible to bypass this alert, public-facing sites should be using a certificate signed by a trusted CA. Let's encrypt is a CA that offers certificates for free. You can learn how to install their certificate in Apache and Ubuntu 16.04 here.

For internal applications, using a self-signed certificate might be valid, especially if you don't have a domain name.

Skref 1: Búa til vottorðið

1. Fyrst skulum við búa til stað til að geyma skrána.

   mkdir ~/certificates
   cd ~/certificates
   

2. Búðu til CSR og einkalykil.

   openssl req -x509 -newkey rsa:4096 -keyout apache.key -out apache.crt -days 365 -nodes
   

   Það mun biðja um upplýsingar fyrir vottorðsbeiðnina. Fylltu út með viðeigandi upplýsingum.

   Country Name (2 letter code) [AU]: US
   State or Province Name (full name) [Some-State]: FL
   Locality Name (eg, city) []: Miami
   Organization Name (eg, company) [My Company]: My Company
   Organizational Unit Name (eg, section) []:
   

   Algengt nafn ætti að vera lénið þitt eða IP tölu netþjónsins. Fylltu líka út tölvupóstinn þinn.

   Common Name (e.g. server FQDN or YOUR name) []: 203.0.113.122
   Email Address []:webmaster@example.com
   

3. Færðu nú vottorðið í Apache stillingarmöppuna.

   mkdir /etc/apache2/ssl
   mv ~/certificates/* /etc/apache2/ssl/.
   

4. Skírteinið er tilbúið! Næst munum við undirbúa Apache til að vinna með vottorðið.

Skref 2: Uppsetning eldveggs

1. Við verðum að ganga úr skugga um að TCP tengi 443 sé opið. Þetta tengi er notað í SSL tengingum í stað tengi 80. Í þessari kennslu munum við nota UFW.

2. Gakktu úr skugga um að UFW sé virkt.

   sudo ufw enable
   

3. Leyfðu nú fyrirfram skilgreindar Apache stillingar fyrir eldvegginn.

   sudo ufw allow 'Apache Full'
   

4. Með því að slá inn " sudo ufw status" geturðu séð lista yfir gildandi reglur. Stillingin þín ætti að líkjast þessari:

   To                         Action      From
   --                         ------      ----
   Apache Full                ALLOW       Anywhere
   OpenSSH                    ALLOW       Anywhere
   Apache Full (v6)           ALLOW       Anywhere (v6)
   OpenSSH (v6)               ALLOW       Anywhere (v6)
   

5. Þú ættir líka að leyfa OpenSSH hér fyrir framtíðartengingar.

   sudo ufw allow 'OpenSSH'
   

Skref 3: Apache sýndarhýsingarstillingar

1. Farðu í sjálfgefna Apache síðu stillingaskrá.

   sudo nano /etc/apache2/sites-available/default-ssl.conf
   

2. Þessi skrá segir þjóninum hvar á að leita að SSL vottorðinu. Þegar athugasemdirnar eru fjarlægðar ætti það að líta út eins og eftirfarandi stillingar.

   <IfModule mod_ssl.c>
     <VirtualHost _default_:443>
      ServerAdmin webmaster@localhost
   
      DocumentRoot /var/www/html
   
      ErrorLog ${APACHE_LOG_DIR}/error.log
      CustomLog ${APACHE_LOG_DIR}/access.log combined
   
      SSLEngine on
   
      SSLCertificateFile    /etc/ssl/certs/ssl-cert-snakeoil.pem
      SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
   
      <FilesMatch "\.(cgi|shtml|phtml|php)$">
       SSLOptions +StdEnvVars
      </FilesMatch>
      <Directory /usr/lib/cgi-bin>
       SSLOptions +StdEnvVars
      </Directory>
   
    </VirtualHost>
   </IfModule>
   

3. Breyttu þessari línu:

   ServerAdmin email@example.net
   

4. Bættu þessu við rétt fyrir neðan ServerAdminlínuna:

   ServerName ADD_YOUR_IP_OR_DOMAIN_NAME_HERE
   

5. Nú skaltu breyta þessum línum með staðsetningu vottorðsins okkar:

   SSLCertificateFile    /etc/apache2/ssl/apache.crt
   SSLCertificateKeyFile /etc/apache2/ssl/apache.key
   

6. Lokaskráin okkar ætti að líkjast þessu:

   <IfModule mod_ssl.c>
    <VirtualHost _default_:443>
     ServerAdmin email@example.net
     ServerName 203.0.113.122
   
     DocumentRoot /var/www/html
   
     ErrorLog ${APACHE_LOG_DIR}/error.log
     CustomLog ${APACHE_LOG_DIR}/access.log combined
   
     SSLEngine on
   
     SSLCertificateFile    /etc/apache2/ssl/apache.crt
     SSLCertificateKeyFile /etc/apache2/ssl/apache.key
   
     <FilesMatch "\.(cgi|shtml|phtml|php)$">
      SSLOptions +StdEnvVars
     </FilesMatch>
     <Directory /usr/lib/cgi-bin>
      SSLOptions +StdEnvVars
     </Directory>
   
    </VirtualHost>
   </IfModule>
   

7. Vistaðu og lokaðu skránni.

Skref 4: Virkja Apache SSL einingu

1. Virkjaðu SSL eininguna með því að slá inn:

   sudo a2enmod ssl
   

2. Virkjaðu nú síðuna sem við höfum breytt:

   sudo a2ensite default-ssl.conf
   

3. Endurræstu Apache:

   sudo service apache2 restart
   

4. Við skulum fá aðgang að nýju öruggu vefsíðunni! Opnaðu það í vafranum þínum (vertu viss um að slá inn https:// ).

   https://YOUR_SERVER_IP
   

Vafrinn þinn mun vara þig við því að vottorðið sé ógilt, eins og við bjuggumst við. Þetta gerist vegna þess að vottorðið er ekki undirritað. Fylgdu skrefunum sem vafrinn þinn býður upp á til að halda áfram á síðuna þína.

Skref 5: Beindu allri HTTP umferð yfir á HTTPS (valfrjálst)

1. Opnaðu Apache sjálfgefna sýndarhýsingarskrá:

   nano /etc/apache2/sites-available/000-default.conf
   

2. Bættu þessari línu inn í <VirtualHost *:80>merkið:

   Redirect / https://YOUR_SERVER_IP_OR_DOMAIN/
   

3. Endurhlaða Apache stillingar:

   sudo service apache2 reload
   

Öll umferð um vefsvæði mun nú sjálfkrafa vísa til HTTPS.