Како користити ХТТПС на Арцх Линук веб серверу

Предуслови

• Вултр сервер који ради са најновијим Арцх Линуком (погледајте овај чланак .)
• Веб сервер који ради, било Апацхе или Нгинк
• Судо приступ
  • Команде које се морају покренути као роот имају префикс #, а оне које се могу покренути као обичан корисник са $. Препоручени начин за покретање команди као роот је да, као обичан корисник, свакој од њих додате префикс sudo.
• Имајте инсталиран уређивач текста и будите упознати са њим, као што су ви, вим, нано, емацс или неки други сличан уређивач.

Безбедно послуживање путем ХТТПС-а

Сервисирање садржаја преко ХТТПС-а може да користи изузетно јаку енкрипцију, тако да нико ко пресреће саобраћај између корисника и веб сервера не може да га прочита. Не само да шифрује сам саобраћај, већ и УРЛ адресу којој се приступа, а која иначе може открити информације. Гугл је неко време делимично одређивао рангирање претраге на основу тога да ли страница користи ХТТПС, као део иницијативе ХТТПС Еверивхере.

Напомена : ДНС претрага открива име домена са којим се повезује, али цела УРЛ адреса није изложена током тог процеса.

Набавите ССЛ/ТЛС сертификат

Технички, ТЛС је заменио ССЛ за ХТТПС сертификате, али већина места је једноставно наставила да назива ТЛС сертификате популарнијим термином ССЛ сертификати. Након уобичајене употребе, овај водич ће учинити исто.

Да би користио ХТТПС, вашем веб серверу је потребан приватни кључ ( .key) за приватно коришћење и сертификат ( .crt) за јавно дељење који укључује јавни кључ. Сертификат мора бити потписан. Можете га и сами потписати, али савремени претраживачи ће се жалити да не препознају потписника. На пример, Цхроме ће приказати: Your connection is not private. Attackers might be trying to steal your information... NET::ERR_CERT_AUTHORITY_INVALID. Ако само приватна група људи користи веб локацију, то може бити прихватљиво, јер ће претраживачи омогућити начин да се настави. На пример, у Цхроме-у кликните на „Напредно“, а затим на „Настави на... (небезбедно)“; и даље ће бити приказано „Није безбедно“ и прецртати „хттпс“.

Имајте на уму да ће вам овај процес тражити вашу државу, државу/провиденце, локалитет, организацију, организациону јединицу и уобичајена имена, као и вашу адресу е-поште; све то је доступно у било чијем претраживачу који се повезује на ваш сајт преко ХТТПС-а.

Такође имајте на уму да ако дајете сертификате виртуелних хостова, мораћете да дате различита имена датотека испод и да укажете на њих у конфигурацијама виртуелног хоста.

Промените у одговарајући директоријум за ваш веб сервер.

Ако сте инсталирали Апацхе:

$ cd /etc/httpd/conf

Ако сте инсталирали Нгинк:

$ cd /etc/nginx

Једном у одговарајућем директоријуму, генеришите приватни кључ ( server.key) и самопотписани сертификат ( server.crt):

# openssl req -new -x509 -nodes -newkey rsa:4096 -keyout server.key -out server.crt -days 825

Подесите дозволе само за читање и дозволите да приватни кључ чита само роот:

# chmod 400 server.key
# chmod 444 server.crt

Алтернативно, можете добити сертификат који је потписао поуздани ауторитет за издавање сертификата. Можете да платите разним компанијама (сертификационим ауторитетима) да потпишу ваш сертификат уместо вас. Када размишљате о ауторитетима за сертификате, може бити важно да погледате који претраживачи и које верзије ће их препознати. Неки новији ауторитети сертификата можда неће бити признати као званичнији од самопотписаних сертификата на старим верзијама претраживача.

Обично вам није потребна само јавна ИП адреса, већ и име домена. Неки ауторитети сертификата могу издати сертификат на јавну ИП адресу, али то се ретко ради.

Многи провајдери нуде бесплатну пробну верзију од 30 дана, са којом се препоручује да почнете како бисте се уверили да процес функционише за вас пре него што га платите. Цене могу да варирају од неколико долара годишње до стотина, у зависности од тога који је тип и опција као што су више домена или поддомена. Стандардни сертификат ће само назначити да је ауторитет за потписивање потврдио да особа која је добила сертификат може да изврши промене на домену. Сертификат проширене валидације ће такође указивати на то да је ауторитет за потписивање извршио неку дужну проверу подносиоца захтева и да ће, у модерним прегледачима, приказати зелену траку у или близу УРЛ адресе. Приликом провере да можете да уносите измене на домену, неки ауторитети за потписивање ће захтевати од вас да примате е-пошту на важну звучну адресу на имену домена, као што је[email protected]. Многи нуде алтернативну верификацију, као што је давање фајла за постављање на ваш сервер, као што је постављање њихове датотеке у /srv/http/.well-known/pki-validation/Апацхе или /usr/share/nginx/html/.well-known/pki-validation/Нгинк, за конфигурације једног хостинг директоријума; или привремено креирање ЦНАМЕ уноса који вам пружају у ДНС записима вашег домена.

Ауторитет за потписивање које одаберете може имати мало другачије кораке, али већина ће прихватити следећу процедуру:

У одговарајућем директоријуму генеришите приватни кључ ( server.key):

# openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out server.key

Поставите приватни кључ на само за читање, само од роот-а:

# chmod 400 server.key

Генеришите захтев за потписивање сертификата ( server.csr). Морате да унесете име свог домена када од вас тражи Common Name, а лозинку за изазов можете оставити празном:

# openssl req -new -sha256 -key server.key -out server.csr

Подесите захтев за потписивање сертификата на само за читање, само за роот:

# chmod 400 server.csr

Погледајте садржај захтева за потписивање сертификата. Ове информације су кодиране басе64, тако да ће изгледати као насумични знакови:

# cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
.....
-----END CERTIFICATE REQUEST-----

Прођите кроз процес вашег ауторитета за потписивање и када се од вас затражи да налепите свој ЦСР, копирајте и налепите целу ову датотеку укључујући -----редове. У зависности од ауторитета за потписивање које сте изабрали и типа сертификата, они би вам могли одмах дати потписани сертификат или би то могло трајати неколико дана. Када вам дају потписани сертификат, копирајте га (укључујући -----BEGIN CERTIFICATE-----и -----END CERTIFICATE-----линије) у датотеку под називом server.crt, у одговарајућем директоријуму, који је горе наведен за ваш веб сервер, и подесите га само за читање:

# chmod 444 server.crt

Конфигуришите свој веб сервер да користи приватни кључ и сертификат

Ако користите заштитни зид, мораћете да омогућите долазни ТЦП саобраћај на порт 443.

За Апацхе

Уредите /etc/httpd/conf/httpd.confи уклоните коментаре ове редове:

LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
Include conf/extra/httpd-ssl.conf

Имајте на уму да ако користите виртуелне хостове, уношењем горње промене у /etc/httpd/conf/httpd.confкористиће се исти сертификат на свим хостовима. Да бисте сваком домаћину дали сопствени сертификат како бисте избегли да се прегледачи жале на то да сертификат не одговара имену домена, потребно је да уредите сваку од њихових конфигурационих датотека тако /etc/httpd/conf/vhosts/да указују на сопствени сертификат и приватни кључ:

• Промените <VirtualHost *:80>у <VirtualHost *:80 *:443>.

• У VirtualHostодељку додајте следеће:

  SSLEngine on
  SSLCertificateFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.crt"
  SSLCertificateKeyFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.key"
  

Поново покрените Апацхе:

# systemctl restart httpd

За Нгинк

Уредите /etc/nginx/nginx.confи при дну уклоните коментар HTTPS serverодељка и промените редове на следеће:

ssl_certificate      server.crt;
ssl_certificate_key  server.key;
root                /usr/share/nginx/html;

Имајте на уму да ако користите виртуелне хостове, ако извршите горњу промену у /etc/nginx/nginx.conf, све хостове ћете послати на ту локацију. Да бисте сваком домаћину дали сопствени сертификат, потребно је да уредите сваку од њихових конфигурационих датотека да /etc/nginx/sites-enabled/бисте имали додатни блок сервера који би указивао на сопствени сертификат и приватни кључ:

server {
    listen 443 ssl;
    server_name YOUR-DOMAIN-NAME.com;

    ssl_certificate      YOUR-DOMAIN-NAME.com.crt;
    ssl_certificate_key  YOUR-DOMAIN-NAME.com.key;

    ssl_session_cache   shared:SSL:1m;
    ssl_session_timeout 5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        root /usr/share/nginx/YOUR-DOMAIN-NAME.com;
        index  index.html index.htm;
    }
}

Поново покрените Нгинк:

# systemctl restart nginx