Konfigurera Apache med självsignerat TLS/SSL-certifikat på Ubuntu 16.04

SSL och dess efterföljare TLS (Secure Sockets Layer / Transport Layer Security) lägger till ett krypteringslager mellan klienten och servern. Utan denna teknik skickas data till servern i vanlig text, vilket gör att tredje part kan läsa all information som skickas och tas emot av din server.

Denna handledning kommer att lära dig hur du skapar ett SSL/TLS-certifikat och aktiverar det på Apache 2.4 på Ubuntu 16.04. Jag antar att Apache redan är konfigurerat och körs. Om du vill lära dig hur man installerar en LAMP-stack, se detta Vultr-dokument .

Uppmärksamhet

SSL/TLS certificates are normally generated by a trusted CA (certificate authority). By generating it yourself, you will be the signer, meaning the browser won't be able to verify whether the identity of the certificate should be trusted, and it will warn the user. Although it is possible to bypass this alert, public-facing sites should be using a certificate signed by a trusted CA. Let's encrypt is a CA that offers certificates for free. You can learn how to install their certificate in Apache and Ubuntu 16.04 here.

For internal applications, using a self-signed certificate might be valid, especially if you don't have a domain name.

Steg 1: Generera certifikatet

1. Låt oss först skapa en plats för att lagra filen.

   mkdir ~/certificates
   cd ~/certificates
   

2. Generera CSR och privat nyckel.

   openssl req -x509 -newkey rsa:4096 -keyout apache.key -out apache.crt -days 365 -nodes
   

   Den kommer att be om information för certifikatbegäran. Komplettera med lämplig information.

   Country Name (2 letter code) [AU]: US
   State or Province Name (full name) [Some-State]: FL
   Locality Name (eg, city) []: Miami
   Organization Name (eg, company) [My Company]: My Company
   Organizational Unit Name (eg, section) []:
   

   Vanligt namn ska vara ditt domännamn eller serverns IP-adress. Fyll också i din e-post.

   Common Name (e.g. server FQDN or YOUR name) []: 203.0.113.122
   Email Address []:webmaster@example.com
   

3. Flytta nu certifikatet till Apache-konfigurationsmappen.

   mkdir /etc/apache2/ssl
   mv ~/certificates/* /etc/apache2/ssl/.
   

4. Certifikatet är klart! Därefter förbereder vi Apache för att arbeta med certifikatet.

Steg 2: Brandväggskonfiguration

1. Vi måste se till att TCP-port 443 är öppen. Den här porten används i SSL-anslutningar istället för port 80. I den här handledningen kommer vi att använda UFW.

2. Se till att UFW är aktiverat.

   sudo ufw enable
   

3. Tillåt nu de fördefinierade Apache-inställningarna för brandväggen.

   sudo ufw allow 'Apache Full'
   

4. Genom att skriva " sudo ufw status" kan du se en lista över de aktuella reglerna. Din konfiguration bör likna detta:

   To                         Action      From
   --                         ------      ----
   Apache Full                ALLOW       Anywhere
   OpenSSH                    ALLOW       Anywhere
   Apache Full (v6)           ALLOW       Anywhere (v6)
   OpenSSH (v6)               ALLOW       Anywhere (v6)
   

5. Du bör också tillåta OpenSSH här för framtida anslutningar.

   sudo ufw allow 'OpenSSH'
   

Steg 3: Apache virtuell värdkonfiguration

1. Navigera till standardkatalogen för Apache-webbplatsens konfiguration.

   sudo nano /etc/apache2/sites-available/default-ssl.conf
   

2. Den här filen talar om för servern var den ska leta efter SSL-certifikatet. Med kommentarerna borttagna bör det se ut som följande konfiguration.

   <IfModule mod_ssl.c>
     <VirtualHost _default_:443>
      ServerAdmin webmaster@localhost
   
      DocumentRoot /var/www/html
   
      ErrorLog ${APACHE_LOG_DIR}/error.log
      CustomLog ${APACHE_LOG_DIR}/access.log combined
   
      SSLEngine on
   
      SSLCertificateFile    /etc/ssl/certs/ssl-cert-snakeoil.pem
      SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
   
      <FilesMatch "\.(cgi|shtml|phtml|php)$">
       SSLOptions +StdEnvVars
      </FilesMatch>
      <Directory /usr/lib/cgi-bin>
       SSLOptions +StdEnvVars
      </Directory>
   
    </VirtualHost>
   </IfModule>
   

3. Redigera denna rad:

   ServerAdmin email@example.net
   

4. Lägg till detta precis under ServerAdminraden:

   ServerName ADD_YOUR_IP_OR_DOMAIN_NAME_HERE
   

5. Redigera nu dessa rader med vår certifikatplats:

   SSLCertificateFile    /etc/apache2/ssl/apache.crt
   SSLCertificateKeyFile /etc/apache2/ssl/apache.key
   

6. Vår sista fil bör likna detta:

   <IfModule mod_ssl.c>
    <VirtualHost _default_:443>
     ServerAdmin email@example.net
     ServerName 203.0.113.122
   
     DocumentRoot /var/www/html
   
     ErrorLog ${APACHE_LOG_DIR}/error.log
     CustomLog ${APACHE_LOG_DIR}/access.log combined
   
     SSLEngine on
   
     SSLCertificateFile    /etc/apache2/ssl/apache.crt
     SSLCertificateKeyFile /etc/apache2/ssl/apache.key
   
     <FilesMatch "\.(cgi|shtml|phtml|php)$">
      SSLOptions +StdEnvVars
     </FilesMatch>
     <Directory /usr/lib/cgi-bin>
      SSLOptions +StdEnvVars
     </Directory>
   
    </VirtualHost>
   </IfModule>
   

7. Spara och stäng filen.

Steg 4: Aktivera Apache SSL-modul

1. Aktivera SSL-modulen genom att skriva:

   sudo a2enmod ssl
   

2. Aktivera nu webbplatsen som vi just har redigerat:

   sudo a2ensite default-ssl.conf
   

3. Starta om Apache:

   sudo service apache2 restart
   

4. Låt oss komma åt den nya säkra webbplatsen! Öppna den i din webbläsare (se till att du skriver https:// ).

   https://YOUR_SERVER_IP
   

Din webbläsare kommer att varna dig om att certifikatet är ogiltigt, som vi förväntade oss. Detta händer eftersom certifikatet inte är signerat. Följ stegen som erbjuds av din webbläsare för att gå vidare till din webbplats.

Steg 5: Omdirigera all HTTP-trafik till HTTPS (valfritt)

1. Öppna Apaches virtuella standardvärdfil:

   nano /etc/apache2/sites-available/000-default.conf
   

2. Lägg till denna rad i <VirtualHost *:80>taggen:

   Redirect / https://YOUR_SERVER_IP_OR_DOMAIN/
   

3. Ladda om Apache-konfiguration:

   sudo service apache2 reload
   

All webbplatstrafik kommer nu automatiskt att omdirigeras till HTTPS.