Kā lietot HTTPS Arch Linux tīmekļa serverī

Priekšnoteikumi

• Vultr serveris, kurā darbojas jaunākā versija Arch Linux (skatiet šo rakstu .)
• Darbojas tīmekļa serveris, Apache vai Nginx
• Sudo piekļuve
  • Komandām, kas jāizpilda kā root, ir prefikss #, un komandām , kuras var izpildīt kā parasts lietotājs, ievada $. Ieteicamais veids, kā palaist komandas kā root, ir parastam lietotājam pievienot katrai no tām prefiksu ar sudo.
• Instalējiet teksta redaktoru un pārziniet to, piemēram, vi, vim, nano, emacs vai citu līdzīgu redaktoru.

Droša apkalpošana, izmantojot HTTPS

Satura apkalpošanā, izmantojot HTTPS, var izmantot ārkārtīgi spēcīgu šifrēšanu, tāpēc neviens, kas pārtver trafiku starp lietotāju un tīmekļa serveri, nevar to izlasīt. Tas ne tikai šifrē pašu trafiku, bet arī URL, kuram tiek piekļūts, kas citādi var atklāt informāciju. Kā daļu no iniciatīvas HTTPS Everywhere Google jau kādu laiku ir daļēji noteikusi meklēšanas klasifikāciju, pamatojoties uz to, vai lapā tiek izmantots HTTPS.

Piezīme : DNS uzmeklēšana atklāj domēna nosaukumu, ar kuru tiek izveidots savienojums, taču šī procesa laikā netiek atklāts viss URL.

Iegūstiet SSL/TLS sertifikātu

Tehniski TLS aizstāja SSL HTTPS sertifikātiem, taču lielākajā daļā vietu vienkārši turpināja saukt TLS sertifikātus ar populārāko terminu SSL sertifikāti. Pēc parastās lietošanas šī rokasgrāmata darīs to pašu.

Lai izmantotu HTTPS, jūsu tīmekļa serverim ir nepieciešama privātā atslēga ( .key), lai to varētu izmantot privāti, un sertifikāts ( .crt), lai to varētu publiski kopīgot, kurā ir iekļauta publiskā atslēga. Jāparaksta sertifikāts. Parakstīt var pats, taču mūsdienu pārlūkprogrammas sūdzēsies, ka neatpazīst parakstītāju. Piemēram, pārlūkā Chrome tiks parādīts: Your connection is not private. Attackers might be trying to steal your information... NET::ERR_CERT_AUTHORITY_INVALID. Ja vietni izmantos tikai privāta cilvēku grupa, tas var būt pieņemami, jo pārlūkprogrammas ļaus turpināt darbību. Piemēram, pārlūkprogrammā Chrome noklikšķiniet uz "Papildu", pēc tam uz "Turpināt uz... (nedroši)"; tas joprojām rādīs "Nav droši" un izsvītros "https".

Ņemiet vērā, ka šajā procesā jums būs jānorāda jūsu valsts, štats/nodrošinājums, apvidus, organizācija, organizācijas vienība un vispārpieņemtie nosaukumi un jūsu e-pasta adrese; tas viss ir pieejams jebkura lietotāja pārlūkprogrammā, kas izveido savienojumu ar jūsu vietni, izmantojot HTTPS.

Ņemiet vērā arī to, ka, piešķirot virtuālo saimniekdatoru sertifikātus, tālāk būs jānorāda atšķirīgi failu nosaukumi un jānorāda uz tiem virtuālā saimniekdatora konfigurācijās.

Mainiet savam tīmekļa serverim atbilstošo direktoriju.

Ja instalējāt Apache:

$ cd /etc/httpd/conf

Ja instalējāt Nginx:

$ cd /etc/nginx

Kad esat nokļuvis pareizajā direktorijā, ģenerējiet privāto atslēgu ( server.key) un pašparakstītu sertifikātu ( server.crt):

# openssl req -new -x509 -nodes -newkey rsa:4096 -keyout server.key -out server.crt -days 825

Iestatiet tikai lasīšanas atļaujas un ļaujiet privāto atslēgu lasīt tikai saknei:

# chmod 400 server.key
# chmod 444 server.crt

Varat arī iegūt sertifikātu, ko parakstījusi uzticama sertifikācijas iestāde. Jūs varat maksāt dažādiem uzņēmumiem (sertifikācijas iestādēm), lai tie parakstītu jūsu sertifikātu. Apsverot sertifikācijas iestādes, var būt svarīgi izpētīt, kuras pārlūkprogrammas un kuras versijas tās atpazīs. Dažas jaunākas sertifikācijas iestādes var netikt atzītas par oficiālākām par pašparakstītu sertifikātu vecās pārlūkprogrammas versijās.

Parasti jums ir nepieciešama ne tikai publiska IP adrese, bet arī domēna nosaukums. Dažas sertifikācijas iestādes var izsniegt sertifikātu uz publisku IP adresi, taču tas tiek darīts reti.

Daudzi pakalpojumu sniedzēji piedāvā bezmaksas 30 dienu izmēģinājuma versiju, ar kuru ieteicams sākt, lai jūs varētu pārliecināties, ka process darbojas jūsu labā, pirms maksājat par to. Cenas var atšķirties no dažiem dolāriem gadā līdz simtiem atkarībā no tā veida un iespējām, piemēram, vairākiem domēniem vai apakšdomēniem. Standarta sertifikātā tiks norādīts tikai tas, ka parakstītāja iestāde ir pārliecinājusies, ka persona, kas saņem sertifikātu, var veikt izmaiņas domēnā. Paplašinātās validācijas sertifikāts arī norāda, ka parakstītāja iestāde ir veikusi zināmu uzticamības pārbaudi, pārbaudot pieprasītāju, un mūsdienu pārlūkprogrammās vietrādī URL vai tā tuvumā tiks parādīta zaļa josla. Pārbaudot, vai varat veikt izmaiņas domēnā, dažas parakstīšanas iestādes pieprasīs, lai jūs saņemtu e-pastu uz svarīgu domēna nosaukuma adresi, piemēram,[email protected]. Daudzi piedāvā alternatīvu verifikāciju, piemēram, faila izsniegšanu, ko ievietot savā serverī, piemēram, ievietojot savu failu /srv/http/.well-known/pki-validation/Apache vai /usr/share/nginx/html/.well-known/pki-validation/Nginx, lai konfigurētu vienu mitināšanas direktoriju; vai īslaicīgi izveidojot CNAME ierakstu, ko viņi nodrošina jūsu domēna DNS ierakstos.

Jūsu izvēlētajai parakstīšanas iestādei var būt nedaudz atšķirīgas darbības, taču lielākā daļa pieņems šādu procedūru:

Pareizajā direktorijā ģenerējiet privāto atslēgu ( server.key):

# openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out server.key

Iestatiet privāto atslēgu uz tikai lasāmu, tikai pēc saknes:

# chmod 400 server.key

Ģenerējiet sertifikāta parakstīšanas pieprasījumu ( server.csr). Jums ir jāievada savs domēna vārds, kad tas prasa ievadīt Common Name, un varat atstāt izaicinājuma paroli tukšu:

# openssl req -new -sha256 -key server.key -out server.csr

Iestatiet sertifikāta parakstīšanas pieprasījumu tikai lasāmam, tikai ar sakni:

# chmod 400 server.csr

Skatiet sertifikāta parakstīšanas pieprasījuma saturu. Šī informācija ir kodēta base64, tāpēc tā izskatīsies kā nejaušas rakstzīmes:

# cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
.....
-----END CERTIFICATE REQUEST-----

Izpildiet savas parakstīšanas iestādes procesu un, kad tiek prasīts ielīmēt CSR, kopējiet un ielīmējiet visu šo failu, ieskaitot -----rindas. Atkarībā no izvēlētās parakstīšanas iestādes un sertifikāta veida tā var jums nekavējoties izsniegt parakstīto sertifikātu vai arī tas var ilgt vairākas dienas. Kad viņi jums ir iesnieguši parakstīto sertifikātu, kopējiet to (tostarp -----BEGIN CERTIFICATE-----un -----END CERTIFICATE-----rindas) failā ar nosaukumu server.crt, atbilstošajā direktorijā, kas norādīts iepriekš jūsu tīmekļa serverim, un iestatiet to kā tikai lasāmu:

# chmod 444 server.crt

Konfigurējiet savu tīmekļa serveri, lai izmantotu privāto atslēgu un sertifikātu

Ja izmantojat ugunsmūri, jums būs jāiespējo ienākošā TCP trafika uz portu 443.

Par Apache

Rediģējiet /etc/httpd/conf/httpd.confšīs rindas un noņemiet komentārus:

LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
Include conf/extra/httpd-ssl.conf

Ņemiet vērā, ja izmantojat virtuālos saimniekdatorus, veicot iepriekš minētās izmaiņas, /etc/httpd/conf/httpd.confvisos saimniekdatoros tiks izmantots viens un tas pats sertifikāts. Lai katram saimniekdatoram piešķirtu savu sertifikātu, lai pārlūkprogrammas nesūdzētos par sertifikāta neatbilstību domēna nosaukumam, jums ir jārediģē katrs tā konfigurācijas fails, /etc/httpd/conf/vhosts/lai norādītu uz tā sertifikātu un privāto atslēgu:

• Mainīt <VirtualHost *:80>uz <VirtualHost *:80 *:443>.

• Sadaļā VirtualHostpievienojiet šādu informāciju:

  SSLEngine on
  SSLCertificateFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.crt"
  SSLCertificateKeyFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.key"
  

Restartējiet Apache:

# systemctl restart httpd

Par Nginx

Rediģējiet /etc/nginx/nginx.confun apakšā, noņemiet komentārus no HTTPS serversadaļas un mainiet rindas uz šādām:

ssl_certificate      server.crt;
ssl_certificate_key  server.key;
root                /usr/share/nginx/html;

Ņemiet vērā, ja izmantojat virtuālos saimniekdatorus, veicot iepriekš minētās izmaiņas uz /etc/nginx/nginx.conf, visi saimniekdatori tiks nosūtīti uz šo atrašanās vietu. Lai katram saimniekdatoram piešķirtu savu sertifikātu, jums ir jārediģē katrs tā konfigurācijas fails, /etc/nginx/sites-enabled/lai būtu papildu servera bloks, kas norādītu uz tā sertifikātu un privāto atslēgu:

server {
    listen 443 ssl;
    server_name YOUR-DOMAIN-NAME.com;

    ssl_certificate      YOUR-DOMAIN-NAME.com.crt;
    ssl_certificate_key  YOUR-DOMAIN-NAME.com.key;

    ssl_session_cache   shared:SSL:1m;
    ssl_session_timeout 5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        root /usr/share/nginx/YOUR-DOMAIN-NAME.com;
        index  index.html index.htm;
    }
}

Restartējiet Nginx:

# systemctl restart nginx