Како користити ХТТПС на Арцх Линук веб серверу

Предуслови

  • Вултр сервер који ради са најновијим Арцх Линуком (погледајте овај чланак .)
  • Веб сервер који ради, било Апацхе или Нгинк
  • Судо приступ
    • Команде које се морају покренути као роот имају префикс #, а оне које се могу покренути као обичан корисник са $. Препоручени начин за покретање команди као роот је да, као обичан корисник, свакој од њих додате префикс sudo.
  • Имајте инсталиран уређивач текста и будите упознати са њим, као што су ви, вим, нано, емацс или неки други сличан уређивач.

Безбедно послуживање путем ХТТПС-а

Сервисирање садржаја преко ХТТПС-а може да користи изузетно јаку енкрипцију, тако да нико ко пресреће саобраћај између корисника и веб сервера не може да га прочита. Не само да шифрује сам саобраћај, већ и УРЛ адресу којој се приступа, а која иначе може открити информације. Гугл је неко време делимично одређивао рангирање претраге на основу тога да ли страница користи ХТТПС, као део иницијативе ХТТПС Еверивхере.

Напомена : ДНС претрага открива име домена са којим се повезује, али цела УРЛ адреса није изложена током тог процеса.

Набавите ССЛ/ТЛС сертификат

Технички, ТЛС је заменио ССЛ за ХТТПС сертификате, али већина места је једноставно наставила да назива ТЛС сертификате популарнијим термином ССЛ сертификати. Након уобичајене употребе, овај водич ће учинити исто.

Да би користио ХТТПС, вашем веб серверу је потребан приватни кључ ( .key) за приватно коришћење и сертификат ( .crt) за јавно дељење који укључује јавни кључ. Сертификат мора бити потписан. Можете га и сами потписати, али савремени претраживачи ће се жалити да не препознају потписника. На пример, Цхроме ће приказати: Your connection is not private. Attackers might be trying to steal your information... NET::ERR_CERT_AUTHORITY_INVALID. Ако само приватна група људи користи веб локацију, то може бити прихватљиво, јер ће претраживачи омогућити начин да се настави. На пример, у Цхроме-у кликните на „Напредно“, а затим на „Настави на... (небезбедно)“; и даље ће бити приказано „Није безбедно“ и прецртати „хттпс“.

Имајте на уму да ће вам овај процес тражити вашу државу, државу/провиденце, локалитет, организацију, организациону јединицу и уобичајена имена, као и вашу адресу е-поште; све то је доступно у било чијем претраживачу који се повезује на ваш сајт преко ХТТПС-а.

Такође имајте на уму да ако дајете сертификате виртуелних хостова, мораћете да дате различита имена датотека испод и да укажете на њих у конфигурацијама виртуелног хоста.

Промените у одговарајући директоријум за ваш веб сервер.

Ако сте инсталирали Апацхе:

$ cd /etc/httpd/conf

Ако сте инсталирали Нгинк:

$ cd /etc/nginx

Једном у одговарајућем директоријуму, генеришите приватни кључ ( server.key) и самопотписани сертификат ( server.crt):

# openssl req -new -x509 -nodes -newkey rsa:4096 -keyout server.key -out server.crt -days 825

Подесите дозволе само за читање и дозволите да приватни кључ чита само роот:

# chmod 400 server.key
# chmod 444 server.crt

Алтернативно, можете добити сертификат који је потписао поуздани ауторитет за издавање сертификата. Можете да платите разним компанијама (сертификационим ауторитетима) да потпишу ваш сертификат уместо вас. Када размишљате о ауторитетима за сертификате, може бити важно да погледате који претраживачи и које верзије ће их препознати. Неки новији ауторитети сертификата можда неће бити признати као званичнији од самопотписаних сертификата на старим верзијама претраживача.

Обично вам није потребна само јавна ИП адреса, већ и име домена. Неки ауторитети сертификата могу издати сертификат на јавну ИП адресу, али то се ретко ради.

Многи провајдери нуде бесплатну пробну верзију од 30 дана, са којом се препоручује да почнете како бисте се уверили да процес функционише за вас пре него што га платите. Цене могу да варирају од неколико долара годишње до стотина, у зависности од тога који је тип и опција као што су више домена или поддомена. Стандардни сертификат ће само назначити да је ауторитет за потписивање потврдио да особа која је добила сертификат може да изврши промене на домену. Сертификат проширене валидације ће такође указивати на то да је ауторитет за потписивање извршио неку дужну проверу подносиоца захтева и да ће, у модерним прегледачима, приказати зелену траку у или близу УРЛ адресе. Приликом провере да можете да уносите измене на домену, неки ауторитети за потписивање ће захтевати од вас да примате е-пошту на важну звучну адресу на имену домена, као што је[email protected]. Многи нуде алтернативну верификацију, као што је давање фајла за постављање на ваш сервер, као што је постављање њихове датотеке у /srv/http/.well-known/pki-validation/Апацхе или /usr/share/nginx/html/.well-known/pki-validation/Нгинк, за конфигурације једног хостинг директоријума; или привремено креирање ЦНАМЕ уноса који вам пружају у ДНС записима вашег домена.

Ауторитет за потписивање које одаберете може имати мало другачије кораке, али већина ће прихватити следећу процедуру:

У одговарајућем директоријуму генеришите приватни кључ ( server.key):

# openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out server.key

Поставите приватни кључ на само за читање, само од роот-а:

# chmod 400 server.key

Генеришите захтев за потписивање сертификата ( server.csr). Морате да унесете име свог домена када од вас тражи Common Name, а лозинку за изазов можете оставити празном:

# openssl req -new -sha256 -key server.key -out server.csr

Подесите захтев за потписивање сертификата на само за читање, само за роот:

# chmod 400 server.csr

Погледајте садржај захтева за потписивање сертификата. Ове информације су кодиране басе64, тако да ће изгледати као насумични знакови:

# cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
.....
-----END CERTIFICATE REQUEST-----

Прођите кроз процес вашег ауторитета за потписивање и када се од вас затражи да налепите свој ЦСР, копирајте и налепите целу ову датотеку укључујући -----редове. У зависности од ауторитета за потписивање које сте изабрали и типа сертификата, они би вам могли одмах дати потписани сертификат или би то могло трајати неколико дана. Када вам дају потписани сертификат, копирајте га (укључујући -----BEGIN CERTIFICATE-----и -----END CERTIFICATE-----линије) у датотеку под називом server.crt, у одговарајућем директоријуму, који је горе наведен за ваш веб сервер, и подесите га само за читање:

# chmod 444 server.crt

Конфигуришите свој веб сервер да користи приватни кључ и сертификат

Ако користите заштитни зид, мораћете да омогућите долазни ТЦП саобраћај на порт 443.

За Апацхе

Уредите /etc/httpd/conf/httpd.confи уклоните коментаре ове редове:

LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
Include conf/extra/httpd-ssl.conf

Имајте на уму да ако користите виртуелне хостове, уношењем горње промене у /etc/httpd/conf/httpd.confкористиће се исти сертификат на свим хостовима. Да бисте сваком домаћину дали сопствени сертификат како бисте избегли да се прегледачи жале на то да сертификат не одговара имену домена, потребно је да уредите сваку од њихових конфигурационих датотека тако /etc/httpd/conf/vhosts/да указују на сопствени сертификат и приватни кључ:

  • Промените <VirtualHost *:80>у <VirtualHost *:80 *:443>.
  • У VirtualHostодељку додајте следеће:

    SSLEngine on
    SSLCertificateFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.crt"
    SSLCertificateKeyFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.key"
    

Поново покрените Апацхе:

# systemctl restart httpd

За Нгинк

Уредите /etc/nginx/nginx.confи при дну уклоните коментар HTTPS serverодељка и промените редове на следеће:

ssl_certificate      server.crt;
ssl_certificate_key  server.key;
root                /usr/share/nginx/html;

Имајте на уму да ако користите виртуелне хостове, ако извршите горњу промену у /etc/nginx/nginx.conf, све хостове ћете послати на ту локацију. Да бисте сваком домаћину дали сопствени сертификат, потребно је да уредите сваку од њихових конфигурационих датотека да /etc/nginx/sites-enabled/бисте имали додатни блок сервера који би указивао на сопствени сертификат и приватни кључ:

server {
    listen 443 ssl;
    server_name YOUR-DOMAIN-NAME.com;

    ssl_certificate      YOUR-DOMAIN-NAME.com.crt;
    ssl_certificate_key  YOUR-DOMAIN-NAME.com.key;

    ssl_session_cache   shared:SSL:1m;
    ssl_session_timeout 5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        root /usr/share/nginx/YOUR-DOMAIN-NAME.com;
        index  index.html index.htm;
    }
}

Поново покрените Нгинк:

# systemctl restart nginx

Инсталирање 2019 Арцх Линук-а на Вултр сервер

Инсталирање 2019 Арцх Линук-а на Вултр сервер

Увод Арцх Линук има мању, али и даље јаку сљедећу од популарнијих дистрибуција. Његова филозофија је сасвим другачија, са предностима

Инсталирање Арцх Линук-а на Вултр сервер

Инсталирање Арцх Линук-а на Вултр сервер

Вултр вам пружа сјајну функционалност омогућавајући вам да користите сопствену прилагођену слику поред њихових одличних шаблона, што вам омогућава да покренете

Коришћење Девтоолс-а на Арцх Линук-у

Коришћење Девтоолс-а на Арцх Линук-у

Пакет Девтоолс је првобитно направљен за поуздане кориснике да правилно креирају пакете за званична спремишта. Међутим, може га користити и обичан корисник

Коришћење Макепкг на Арцх Линук-у

Коришћење Макепкг на Арцх Линук-у

Ако користите макепкг директно, то донекле загађује ваш систем. Група пакета основног развоја мора бити инсталирана. На овај начин, подразумевано, зависности су потребне само

Како инсталирати ПостгреСКЛ 11.1 на Арцх Линук

Како инсталирати ПостгреСКЛ 11.1 на Арцх Линук

Предуслови Вултр сервер који ради са најновијим Арцх Линук-ом (погледајте овај чланак.) Судо приступ. Наредбе које су потребне за покретање као роот имају префикс # и један

Како користити ХТТПС на Арцх Линук веб серверу

Како користити ХТТПС на Арцх Линук веб серверу

Предуслови Вултр сервер који ради са најновијим Арцх Линук-ом (погледајте овај чланак.) Покренут веб сервер, било Апацхе или Нгинк Судо, потребне су команде т

Инсталирајте Арцх Линук са Бтрфс Снапсхоттинг-ом

Инсталирајте Арцх Линук са Бтрфс Снапсхоттинг-ом

Предговор Арцх Линук је дистрибуција опште намене добро позната по својој најсавременијој технологији и флексибилној конфигурацији. Са Бтрфс снимцима можемо узети

Изградња пакета на Арцх Линук-у (укључујући АУР)

Изградња пакета на Арцх Линук-у (укључујући АУР)

На Арцх Линук-у, званична спремишта су: језгро, екстра и заједница. Ови пакети су већ компајлирани и инсталирани су преко пацмана. Напред

Подесите Спигот сервер на Арцх Линук

Подесите Спигот сервер на Арцх Линук

Овај водич објашњава како да подесите Минецрафт сервер користећи Спигот на Арцх Линук-у. Овај водич претпоставља да сте нормалан корисник (не-роот) и да имате

Како инсталирати Нгинк 1.14 на Арцх Линук

Како инсталирати Нгинк 1.14 на Арцх Линук

Предуслови Вултр сервер који ради са најновијим Арцх Линук-ом (погледајте овај чланак.) Судо приступ. Наредбе које су потребне за покретање као роот имају префикс #. Тх

Како инсталирати Апацхе 2.4 на Арцх Линук

Како инсталирати Апацхе 2.4 на Арцх Линук

Предуслови Вултр сервер који ради са најновијим Арцх Линук-ом. Погледајте овај водич за више информација. Судо приступ. Команде које је потребно покренути као роот ар

Како инсталирати Питхон 3.7 на Арцх Линук веб сервер

Како инсталирати Питхон 3.7 на Арцх Линук веб сервер

Предуслови Вултр сервер који ради са најновијим Арцх Линук-ом (погледајте овај чланак.) Покренут веб сервер, било Апацхе или Нгинк Судо приступ: Команде захтевају

Како инсталирати Перл 5.28 на Арцх Линук веб сервер

Како инсталирати Перл 5.28 на Арцх Линук веб сервер

Предуслови Вултр сервер који ради са најновијим Арцх Линук-ом (погледајте овај чланак.) Покренут веб сервер, било Апацхе или Нгинк Судо приступ: Команде захтевају

Како инсталирати ПХП 7.3 на Арцх Линук веб сервер

Како инсталирати ПХП 7.3 на Арцх Линук веб сервер

Предуслови Вултр сервер који ради са најновијим Арцх Линук-ом (погледајте овај чланак.) Веб сервер који ради, било Апацхе или Нгинк Судо приступ. Команде захтевају

Подесите Мумбле Сервер на Арцх Линук

Подесите Мумбле Сервер на Арцх Линук

Овај водич објашњава како да подесите Мумбле сервер (Мурмур) на Арцх Линук-у. Све урађено у овом водичу ради се као роот корисник. Инсталација ан

Подесите Цоунтер-Стрике: Глобал Оффенсиве (ЦСГО) сервер на Арцх Линук-у

Подесите Цоунтер-Стрике: Глобал Оффенсиве (ЦСГО) сервер на Арцх Линук-у

Овај водич објашњава како да подесите Цоунтер-Стрике: Глобал Оффенсиве сервер на Арцх Линук-у. Овај водич претпоставља да сте се пријавили са стандардном употребом

Подесите Теам Фортресс 2 сервер на Арцх Линук-у

Подесите Теам Фортресс 2 сервер на Арцх Линук-у

Овај водич објашњава како да подесите Теам Фортресс 2 сервер на Арцх Линук-у. Претпостављам да сте пријављени са не-роот корисничким налогом који има судо приступ

Како инсталирати МариаДБ 10.3 или МиСКЛ 8.0 на Арцх Линук

Како инсталирати МариаДБ 10.3 или МиСКЛ 8.0 на Арцх Линук

Предуслови Вултр сервер који ради са најновијим Арцх Линук-ом (погледајте овај чланак.) Судо приступ: Команде које је потребно покренути као роот имају префикс # и један

Како инсталирати МонгоДБ 4.0 на Арцх Линук

Како инсталирати МонгоДБ 4.0 на Арцх Линук

Предуслови Вултр сервер који ради са најновијим Арцх Линук-ом (погледајте овај чланак) Судо приступ: Команде које је потребно покренути као роот имају префикс # и један

Успон машина: Примене вештачке интелигенције у стварном свету

Успон машина: Примене вештачке интелигенције у стварном свету

Вештачка интелигенција није у будућности, она је овде управо у садашњости. У овом блогу Прочитајте како су апликације вештачке интелигенције утицале на различите секторе.

ДДОС напади: кратак преглед

ДДОС напади: кратак преглед

Да ли сте и ви жртва ДДОС напада и збуњени сте методама превенције? Прочитајте овај чланак да бисте решили своја питања.

Да ли сте се икада запитали како хакери зарађују новац?

Да ли сте се икада запитали како хакери зарађују новац?

Можда сте чули да хакери зарађују много новца, али да ли сте се икада запитали како зарађују толики новац? Хајде да причамо.

Гоогле-ови револуционарни изуми који ће вам олакшати живот.

Гоогле-ови револуционарни изуми који ће вам олакшати живот.

Да ли желите да видите револуционарне изуме Гугла и како су ти изуми променили живот сваког људског бића данас? Затим читајте на блогу да бисте видели Гооглеове изуме.

Фридаи Ессентиал: Шта се десило са аутомобилима које покреће вештачка интелигенција?

Фридаи Ессентиал: Шта се десило са аутомобилима које покреће вештачка интелигенција?

Концепт самовозећих аутомобила који путују на путеве уз помоћ вештачке интелигенције је сан који већ неко време имамо. Али упркос неколико обећања, њих нема нигде. Прочитајте овај блог да сазнате више…

Технолошка сингуларност: далека будућност људске цивилизације?

Технолошка сингуларност: далека будућност људске цивилизације?

Како се наука развија великом брзином, преузимајући многе наше напоре, расте и ризик да се подвргнемо необјашњивој сингуларности. Прочитајте шта би сингуларност могла да значи за нас.

Еволуција складиштења података – Инфографика

Еволуција складиштења података – Инфографика

Методе складиштења података су се развијале можда од рођења података. Овај блог покрива еволуцију складиштења података на основу инфографике.

Функционалности слојева референтне архитектуре великих података

Функционалности слојева референтне архитектуре великих података

Прочитајте блог да бисте на најједноставнији начин упознали различите слојеве у архитектури великих података и њихове функционалности.

6 невероватних предности поседовања паметних кућних уређаја у нашим животима

6 невероватних предности поседовања паметних кућних уређаја у нашим животима

У овом дигиталном свету, паметни кућни уређаји постали су кључни део живота. Ево неколико невероватних предности паметних кућних уређаја о томе како они чине наш живот вредним живљења и једноставнијим.

Ажурирање додатка за мацОС Цаталина 10.15.4 изазива више проблема него што их решава

Ажурирање додатка за мацОС Цаталина 10.15.4 изазива више проблема него што их решава

Недавно је Аппле издао мацОС Цаталина 10.15.4 додатак за исправку проблема, али изгледа да ажурирање изазива више проблема који доводе до квара Мац машина. Прочитајте овај чланак да бисте сазнали више