Ako používať HTTPS na webovom serveri Arch Linux

Predpoklady

• Server Vultr s aktualizovaným systémom Arch Linux (pozri tento článok .)
• Spustený webový server, buď Apache alebo Nginx
• Sudo prístup
  • Príkazy, ktoré je potrebné spustiť ako root, majú predponu #a príkazy , ktoré je možné spustiť ako bežný používateľ, majú predponu $. Odporúčaný spôsob, ako spúšťať príkazy ako root, je ako bežný používateľ priradiť každému z nich predponu sudo.
• Majte nainštalovaný textový editor a zoznámte sa s ním, ako napríklad vi, vim, nano, emacs alebo iný podobný editor.

Bezpečné poskytovanie cez HTTPS

Poskytovanie obsahu cez HTTPS môže využívať extrémne silné šifrovanie, takže nikto, kto zachytáva prevádzku medzi používateľom a webovým serverom, ho nemôže prečítať. Nešifruje len samotnú komunikáciu, ale aj adresu URL, ku ktorej sa pristupuje, čo môže inak odhaliť informácie. Google už nejaký čas čiastočne určuje poradie vo vyhľadávaní podľa toho, či stránka používa HTTPS, v rámci iniciatívy HTTPS Everywhere.

Poznámka : Vyhľadávanie DNS odhalí názov domény, ku ktorej sa pripájate, ale počas tohto procesu nie je odhalená celá adresa URL.

Získajte certifikát SSL/TLS

Technicky TLS nahradilo SSL za certifikáty HTTPS, ale väčšina miest jednoducho pokračovala v označovaní certifikátov TLS populárnejším pojmom certifikáty SSL. Po bežnom používaní bude táto príručka robiť to isté.

Ak chcete používať HTTPS, váš webový server potrebuje súkromný kľúč ( .key), aby ho mohol používať súkromne, a certifikát ( .crt) na verejné zdieľanie, ktorý obsahuje verejný kľúč. Certifikát musí byť podpísaný. Môžete to podpísať sami, ale moderné prehliadače sa budú sťažovať, že nepoznajú podpisovateľa. Chrome napríklad zobrazí: Your connection is not private. Attackers might be trying to steal your information... NET::ERR_CERT_AUTHORITY_INVALID. Ak webovú stránku bude používať iba súkromná skupina ľudí, môže to byť prijateľné, pretože prehliadače umožnia spôsob, ako pokračovať. Napríklad v prehliadači Chrome kliknite na „Rozšírené“ a potom na „Pokračovať na... (nebezpečné)“; stále sa zobrazí „Nezabezpečené“ a prečiarkne sa „https“.

Upozorňujeme, že tento proces sa vás opýta na vašu krajinu, štát/poskytovanie, lokalitu, organizáciu, organizačnú jednotku a bežné mená a vašu e-mailovú adresu; všetko je dostupné v prehliadači každého, kto sa pripája k vašej lokalite prostredníctvom protokolu HTTPS.

Upozorňujeme tiež, že ak poskytujete certifikáty virtuálnych hostiteľov, nižšie budete musieť uviesť odlišné názvy súborov a ukázať na ne v konfiguráciách virtuálnych hostiteľov.

Prejdite do správneho adresára pre váš webový server.

Ak ste nainštalovali Apache:

$ cd /etc/httpd/conf

Ak ste nainštalovali Nginx:

$ cd /etc/nginx

Keď ste v správnom adresári, vygenerujte súkromný kľúč ( server.key) a certifikát s vlastným podpisom ( server.crt):

# openssl req -new -x509 -nodes -newkey rsa:4096 -keyout server.key -out server.crt -days 825

Nastavte povolenia iba na čítanie a povoľte čítanie súkromného kľúča iba rootovi:

# chmod 400 server.key
# chmod 444 server.crt

Prípadne môžete získať certifikát podpísaný dôveryhodnou certifikačnou autoritou. Môžete zaplatiť rôznym spoločnostiam (certifikačným autoritám), aby za vás podpísali váš certifikát. Pri zvažovaní certifikačných autorít môže byť dôležité pozrieť sa na to, ktoré prehliadače a ktoré verzie ich rozpoznajú. Niektoré novšie certifikačné autority nemusia byť uznané ako oficiálnejšie ako certifikáty s vlastným podpisom v starých verziách prehliadačov.

Zvyčajne potrebujete nielen verejnú IP adresu, ale aj názov domény. Niektoré certifikačné autority môžu vydať certifikát na verejnú IP adresu, ale zriedka sa to robí.

Mnohí poskytovatelia ponúkajú bezplatnú 30-dňovú skúšobnú verziu, ktorá sa odporúča na začiatok, aby ste sa mohli uistiť, že proces funguje pre vás skôr, ako zaň zaplatíte. Ceny sa môžu líšiť od niekoľkých dolárov za rok až po stovky, v závislosti od typu a možností, ako sú viaceré domény alebo subdomény. Štandardný certifikát bude indikovať iba to, že podpisová autorita overila, že osoba, ktorá certifikát získala, mohla vykonávať zmeny v doméne. Certifikát Extended Validation bude tiež indikovať, že podpisová autorita vykonala určitú hĺbkovú kontrolu žiadateľa, a v moderných prehliadačoch sa v adrese URL alebo v jej blízkosti zobrazí zelený pruh. Pri overovaní, že môžete vykonávať zmeny na doméne, budú niektoré podpisové autority vyžadovať, aby ste dostali e-mail na dôležitú znejúcu adresu v názve domény, ako napr.admin@your-domain.com. Mnohé ponúkajú alternatívne overenie, ako napríklad poskytnutie súboru na umiestnenie na váš server, napríklad umiestnenie ich súboru /srv/http/.well-known/pki-validation/pre Apache alebo /usr/share/nginx/html/.well-known/pki-validation/Nginx, pre konfigurácie jedného hostiteľského adresára; alebo dočasné vytvorenie záznamu CNAME, ktorý vám poskytnú v záznamoch DNS vašej domény.

Podpisová autorita, ktorú si vyberiete, môže mať mierne odlišné kroky, ale väčšina z nich bude akceptovať nasledujúci postup:

V správnom adresári vygenerujte súkromný kľúč ( server.key):

# openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out server.key

Nastavte súkromný kľúč na iba na čítanie, iba pre používateľa root:

# chmod 400 server.key

Vygenerujte žiadosť o podpis certifikátu ( server.csr). Keď vás požiada o zadanie domény, musíte zadať názov svojej domény Common Namea heslo výzvy môžete nechať prázdne:

# openssl req -new -sha256 -key server.key -out server.csr

Nastavte požiadavku na podpis certifikátu len na čítanie, iba pre root:

# chmod 400 server.csr

Pozrite si obsah žiadosti o podpis certifikátu. Tieto informácie sú zakódované v base64, takže budú vyzerať ako náhodné znaky:

# cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
.....
-----END CERTIFICATE REQUEST-----

Prejdite procesom vašej podpisovej autority a keď vás požiada o vloženie CSR, skopírujte a prilepte celý tento súbor vrátane -----riadkov. V závislosti od vybratej podpisovej autority a typu certifikátu vám môžu dať podpísaný certifikát okamžite alebo to môže byť niekoľko dní. Keď vám dajú podpísaný certifikát, skopírujte ho (vrátane riadkov -----BEGIN CERTIFICATE-----a -----END CERTIFICATE-----) do súboru s názvom server.crt, v správnom adresári uvedenom vyššie pre váš webový server a nastavte ho len na čítanie:

# chmod 444 server.crt

Nakonfigurujte svoj webový server tak, aby používal súkromný kľúč a certifikát

Ak používate bránu firewall, budete musieť povoliť prichádzajúcu komunikáciu TCP na port 443.

Pre Apache

Upravte /etc/httpd/conf/httpd.confa odkomentujte tieto riadky:

LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
Include conf/extra/httpd-ssl.conf

Upozorňujeme, že ak používate virtuálnych hostiteľov, vykonaním vyššie uvedenej zmeny na /etc/httpd/conf/httpd.confsa použije rovnaký certifikát na všetkých hostiteľoch. Ak chcete každému hostiteľovi poskytnúť vlastný certifikát, aby ste sa vyhli sťažnostiam prehliadačov na certifikát, ktorý sa nezhoduje s názvom domény, musíte upraviť každý ich konfiguračný súbor tak, /etc/httpd/conf/vhosts/aby ukazoval na jeho vlastný certifikát a súkromný kľúč:

• Zmeniť <VirtualHost *:80>na <VirtualHost *:80 *:443>.

• V rámci VirtualHostsekcie pridajte nasledovné:

  SSLEngine on
  SSLCertificateFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.crt"
  SSLCertificateKeyFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.key"
  

Reštartujte Apache:

# systemctl restart httpd

Pre Nginx

Upravte /etc/nginx/nginx.confa v dolnej časti zrušte komentár v HTTPS serversekcii a zmeňte riadky na nasledujúce:

ssl_certificate      server.crt;
ssl_certificate_key  server.key;
root                /usr/share/nginx/html;

Upozorňujeme, že ak používate virtuálnych hostiteľov, vykonaním vyššie uvedenej zmeny na /etc/nginx/nginx.confpošlete všetkých hostiteľov na toto miesto. Ak chcete dať každému hostiteľovi vlastný certifikát, musíte upraviť každý z jeho konfiguračných súborov tak, /etc/nginx/sites-enabled/aby mal ďalší blok servera, ktorý bude odkazovať na jeho vlastný certifikát a súkromný kľúč:

server {
    listen 443 ssl;
    server_name YOUR-DOMAIN-NAME.com;

    ssl_certificate      YOUR-DOMAIN-NAME.com.crt;
    ssl_certificate_key  YOUR-DOMAIN-NAME.com.key;

    ssl_session_cache   shared:SSL:1m;
    ssl_session_timeout 5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        root /usr/share/nginx/YOUR-DOMAIN-NAME.com;
        index  index.html index.htm;
    }
}

Reštartujte Nginx:

# systemctl restart nginx