Kaip naudoti HTTPS „Arch Linux“ žiniatinklio serveryje

Būtinos sąlygos

• „Vultr“ serveris, kuriame veikia naujausia „Arch Linux“ versija (žr. šį straipsnį ).
• Veikiantis žiniatinklio serveris, „ Apache“ arba „ Nginx“.
• Sudo prieiga
  • Komandos, kurias reikia vykdyti kaip root, yra priešdėliuose #, o tos, kurias gali vykdyti kaip įprastas vartotojas, priešdėlis yra $. Rekomenduojamas būdas paleisti komandas kaip root yra, kaip įprastas vartotojas, prieš kiekvieną iš jų įrašyti sudo.
• Turėkite įdiegtą teksto rengyklę ir susipažinkite su ja, pvz., vi, vim, nano, emacs ar kita panaši redagavimo priemonė.

Saugus aptarnavimas per HTTPS

Teikiant turinį per HTTPS gali būti naudojamas itin stiprus šifravimas, todėl niekas, perimantis srautą tarp vartotojo ir žiniatinklio serverio, negali jo perskaityti. Tai ne tik užšifruoja patį srautą, bet ir pasiekiamą URL, kuris kitu atveju gali atskleisti informaciją. Jau kurį laiką „Google“ iš dalies nustato paieškos reitingus pagal tai, ar puslapis naudoja HTTPS, kaip HTTPS visur iniciatyvos dalį.

Pastaba : DNS paieška atskleidžia domeno pavadinimą, prie kurio jungiamasi, bet visas URL neatskleidžiamas šio proceso metu.

Gaukite SSL/TLS sertifikatą

Techniškai TLS pakeitė SSL HTTPS sertifikatams, tačiau dauguma vietų tiesiog toliau vadino TLS sertifikatus populiaresniu terminu SSL sertifikatai. Taikant įprastą naudojimą, šis vadovas darys tą patį.

Norint naudoti HTTPS, žiniatinklio serveriui reikalingas privatus raktas ( .key), kad jis būtų naudojamas privačiai, ir sertifikatas ( .crt), kad būtų galima viešai bendrinti, kuriame yra viešasis raktas. Turi būti pasirašytas sertifikatas. Galite pasirašyti patys, tačiau šiuolaikinės naršyklės skųsis, kad neatpažįsta pasirašančiojo. Pavyzdžiui, „Chrome“ parodys: Your connection is not private. Attackers might be trying to steal your information... NET::ERR_CERT_AUTHORITY_INVALID. Jei svetaine naudosis tik privati ​​žmonių grupė, tai gali būti priimtina, nes naršyklės leis tęsti. Pavyzdžiui, naršyklėje „Chrome“ spustelėkite „Išplėstinė“, tada „Pereiti prie... (nesaugu)“; vis tiek bus rodoma „Nesaugu“ ir išbraukta „https“.

Atminkite, kad atliekant šį procesą jūsų bus paprašyta įvesti jūsų šalį, valstiją / teikimą, vietovę, organizaciją, organizacinį vienetą ir įprastus pavadinimus bei el. pašto adresą; visa tai pasiekiama bet kurio naršyklėje, prisijungiančio prie jūsų svetainės per HTTPS.

Taip pat atminkite, kad jei suteikiate virtualių kompiuterių sertifikatus, toliau turėsite nurodyti skirtingus failų pavadinimus ir nurodyti juos savo virtualiojo pagrindinio kompiuterio konfigūracijoje.

Pakeiskite į tinkamą savo žiniatinklio serverio katalogą.

Jei įdiegėte „Apache“:

$ cd /etc/httpd/conf

Jei įdiegėte Nginx:

$ cd /etc/nginx

Patekę į tinkamą katalogą, sugeneruokite privatų raktą ( server.key) ir savarankiškai pasirašytą sertifikatą ( server.crt):

# openssl req -new -x509 -nodes -newkey rsa:4096 -keyout server.key -out server.crt -days 825

Nustatykite tik skaitymo teises ir leiskite privatųjį raktą skaityti tik root:

# chmod 400 server.key
# chmod 444 server.crt

Arba galite gauti sertifikatą, pasirašytą patikimos sertifikavimo institucijos. Galite mokėti įvairioms įmonėms (sertifikavimo institucijoms), kad už jus pasirašytų sertifikatą. Svarstant sertifikavimo institucijas, gali būti svarbu išsiaiškinti, kurios naršyklės ir kurios versijos jas atpažins. Kai kurios naujesnės sertifikavimo institucijos gali būti nepripažįstamos kaip oficialios nei savarankiškai pasirašytas sertifikatas senose naršyklės versijose.

Paprastai jums reikia ne tik viešojo IP adreso, bet ir domeno vardo. Kai kurios sertifikatų institucijos gali išduoti sertifikatą viešuoju IP adresu, tačiau tai daroma retai.

Daugelis paslaugų teikėjų siūlo nemokamą 30 dienų bandomąją versiją, kurią rekomenduojama pradėti, kad prieš mokėdami įsitikintumėte, ar procesas tinka jums. Kainos gali svyruoti nuo kelių dolerių per metus iki šimtų, atsižvelgiant į tai, kokio tipo tai yra ir kokios parinktys, pvz., keli domenai ar subdomenai. Standartiniame sertifikate bus nurodyta tik tai, kad pasirašiusi institucija patikrino, ar sertifikatą gaunantis asmuo gali atlikti pakeitimus domene. Išplėstinio patvirtinimo sertifikatas taip pat nurodys, kad pasirašiusi institucija atliko tam tikrą išsamų patikrinimą, patikrindama užklausos teikėją, o šiuolaikinėse naršyklėse URL arba šalia jo bus rodoma žalia juosta. Kai tikrinate, ar galite atlikti pakeitimus domene, kai kurios pasirašančios institucijos pareikalaus, kad gautumėte el. laišką svarbiu domeno pavadinimo adresu, pvz.,[email protected]. Daugelis siūlo alternatyvų patvirtinimą, pvz., duoti jums failą, kurį galite įdėti į serverį, pvz., įkelti savo failą į /srv/http/.well-known/pki-validation/„Apache“ arba /usr/share/nginx/html/.well-known/pki-validation/„Nginx“, kad būtų galima konfigūruoti vieną prieglobos katalogą; arba laikinai sukurti CNAME įrašą, kurį jie jums pateikia jūsų domeno DNS įrašuose.

Jūsų pasirinkta pasirašiusioji institucija gali atlikti šiek tiek kitokius veiksmus, tačiau dauguma sutiks su tokia procedūra:

Tinkamame kataloge sugeneruokite privatų raktą ( server.key):

# openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out server.key

Privatųjį raktą nustatykite į tik skaitymo, tik pagal šaknį:

# chmod 400 server.key

Sugeneruokite sertifikato pasirašymo užklausą ( server.csr). Turite įvesti savo domeno vardą, kai jūsų prašoma Common Name, o iššūkio slaptažodį galite palikti tuščią:

# openssl req -new -sha256 -key server.key -out server.csr

Sertifikato pasirašymo užklausą nustatykite kaip tik skaitomą, tik root:

# chmod 400 server.csr

Peržiūrėkite sertifikato pasirašymo užklausos turinį. Ši informacija yra užkoduota base64, todėl atrodys kaip atsitiktiniai simboliai:

# cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
.....
-----END CERTIFICATE REQUEST-----

Atlikite pasirašančiosios institucijos procesą ir, kai paprašys įklijuoti savo CSR, nukopijuokite ir įklijuokite visą šį failą, įskaitant -----eilutes. Atsižvelgiant į pasirinktą pasirašymo instituciją ir sertifikato tipą, pasirašytą sertifikatą jie gali pateikti iš karto arba tai gali užtrukti kelias dienas. Kai jie jums pateiks pasirašytą sertifikatą, nukopijuokite jį (įskaitant -----BEGIN CERTIFICATE-----ir -----END CERTIFICATE-----eilutes) į failą pavadinimu server.crt, atitinkamame jūsų žiniatinklio serverio kataloge ir nustatykite jį kaip tik skaitomą:

# chmod 444 server.crt

Sukonfigūruokite savo žiniatinklio serverį naudoti privatų raktą ir sertifikatą

Jei naudojate ugniasienę, turėsite įjungti įeinantį TCP srautą į prievadą 443.

Dėl Apache

Redaguokite /etc/httpd/conf/httpd.confšias eilutes ir panaikinkite komentarus:

LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
Include conf/extra/httpd-ssl.conf

Atminkite, kad jei naudojate virtualius pagrindinius kompiuterius, atlikę aukščiau nurodytą pakeitimą /etc/httpd/conf/httpd.confvisuose pagrindiniuose kompiuteriuose naudosite tą patį sertifikatą. Norėdami kiekvienam prieglobai suteikti savo sertifikatą, kad naršyklės nesiskųstų, kad sertifikatas neatitinka domeno pavadinimo, turite redaguoti kiekvieną jų konfigūracijos failą, /etc/httpd/conf/vhosts/kad nurodytumėte savo sertifikatą ir privatųjį raktą:

• Keisti <VirtualHost *:80>į <VirtualHost *:80 *:443>.

• Per VirtualHostskyriuje, pridėti taip:

  SSLEngine on
  SSLCertificateFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.crt"
  SSLCertificateKeyFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.key"
  

Iš naujo paleiskite „Apache“:

# systemctl restart httpd

Dėl Nginx

Redaguokite /etc/nginx/nginx.confir šalia apačios panaikinkite HTTPS serverskyriaus komentarus ir pakeiskite eilutes į šias:

ssl_certificate      server.crt;
ssl_certificate_key  server.key;
root                /usr/share/nginx/html;

Atminkite, kad jei naudojate virtualius pagrindinius kompiuterius, atlikę pirmiau nurodytą pakeitimą į /etc/nginx/nginx.confvisus pagrindinius kompiuterius nusiųsite į tą vietą. Norėdami suteikti kiekvienam pagrindiniam kompiuteriui savo sertifikatą, turite redaguoti kiekvieną jų konfigūracijos failą, /etc/nginx/sites-enabled/kad būtų papildomas serverio blokas, nukreipiantis į savo sertifikatą ir privatųjį raktą:

server {
    listen 443 ssl;
    server_name YOUR-DOMAIN-NAME.com;

    ssl_certificate      YOUR-DOMAIN-NAME.com.crt;
    ssl_certificate_key  YOUR-DOMAIN-NAME.com.key;

    ssl_session_cache   shared:SSL:1m;
    ssl_session_timeout 5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        root /usr/share/nginx/YOUR-DOMAIN-NAME.com;
        index  index.html index.htm;
    }
}

Iš naujo paleiskite Nginx:

# systemctl restart nginx