[LINUX] So aktivieren Sie SSL (TLS) in Apache
Einführung
Ich habe versucht zusammenzufassen, wie SSL (TLS) mithilfe eines selbstsignierten Zertifikats (* sogenanntes Oleore-Zertifikat) in Apache 2.4 aktiviert wird. Natürlich kann diese Methode nicht in einer Produktionsumgebung verwendet werden, aber ich denke, sie kann beim Lernen auf einem Heimserver oder in einer Entwicklungsumgebung verwendet werden.
Zum Testen verwendete Umgebung
Die Hardware steht nicht in direktem Zusammenhang mit diesem Verfahren, aber ich habe es nur für den Fall aufgenommen.
- CPU
- Kabylake: Pentium G4560
- Hauptplatine: ASRock H110M-STX
- Speicher: 8 GB (4 GB x 2)
- Speicher: 256 GB SSD (NVMe)
- OS
- CentOS 7.8(2003)
- Apache
- Apache-2.4.6
Voraussetzungen
- Apache ist installiert.
- Apache muss startbereit sein.
- Seien Sie vorsichtig, wenn Sie die Einstellungsdatei (httpd.conf usw.) im Voraus bearbeiten.
- SELinux wird gestoppt und deaktiviert.
- Dieses Mal wird SELinux gestoppt, da es für den Heimgebrauch oder die Entwicklung bestimmt ist.
Schritte zum Aktivieren von SSL (TLS)
1. Installation der für die HTTPS-Kommunikation erforderlichen Software
- OpenSSL ist eine Bibliothek, die SSL und TLS implementiert aktiviert SSL (TLS) Es ist ein unverzichtbares Modul, um es zu machen.
- mod_ssl ist ein von Apache bereitgestelltes Modul zur Unterstützung von SSL und TLS.
[root@akagi ~]# yum install openssl
[root@akagi ~]# yum install mod_ssl
2. Wechseln Sie in den Arbeitsordner
- Gehen Sie zu
/ etc / pki / tls / certs, da Sie mit/ rootusw. kein Serverzertifikat erfolgreich erstellen können. - Es gibt einige Artikel, die
/ usr / local / sslverwenden, aber dieser Ordner war nicht vorhanden, als Apache 2.4 von RPM installiert wurde.
[root@akagi ~]# cd /etc/pki/tls/certs/
3. Erstellen eines privaten Schlüssels
- Erstellen Sie einen privaten Schlüssel mit dem Befehl openssl.
[root@akagi certs]# openssl genrsa > server.key
Generating RSA private key, 2048 bit long modulus
................................................+++
....+++
e is 65537 (0x10001)
4. Erstellen eines öffentlichen Schlüssels
- Verwenden Sie den Befehl openssl erneut und erstellen Sie diesmal einen öffentlichen Schlüssel.
- Sie werden nach verschiedenen Informationen wie Ländernamen, Präfekturnamen, Stadt- / Dorf- / Ortsnamen, Organisationsname (Firmenname), Abteilungsname, E-Mail-Adresse usw. gefragt. Diesmal handelt es sich jedoch um ein "Oreore-Zertifikat". Geben Sie daher einen geeigneten Wert ein.
[root@akagi certs]# openssl req -new -key server.key > server.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:Tokyo
Locality Name (eg, city) [Default City]:Chiyoda
Organization Name (eg, company) [Default Company Ltd]:XYZ Company
Organizational Unit Name (eg, section) []:Development Dept.
Common Name (eg, your name or your server's hostname) []:192.168.10.240
Email Address []:[email protected]
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
5. Erstellen eines Serverzertifikats (selbstsigniertes Zertifikat)
- Verwenden Sie den Befehl openssl, um weitere Serverzertifikate zu erstellen.
[root@akagi certs]# openssl x509 -req -signkey server.key < server.csr > server.crt
Signature ok
subject=/C=JP/ST=Tokyo/L=Chiyoda/O=XYZ Company/OU=Development Dept./CN=192.168.10.240/[email protected]
Getting Private key
6. Kopie des privaten Schlüssels
- Nachdem ich das Serverzertifikat mit dem öffentlichen Schlüssel erstellt hatte, kopierte ich den privaten Schlüssel nach "/ etc / pki / tls / private".
- Je nachdem, wo sich der private Schlüssel befindet, konnte Apache den privaten Schlüssel nicht finden und konnte nicht gestartet werden.
[root@akagi certs]# cp -a server.key ../private/
7. Ändern Sie ssl.conf
- Nach dem Kopieren von "ssl.conf" und dem Speichern der ursprünglichen "ssl.conf" vor dem Bearbeiten wurden die folgenden 4 Stellen geändert.
- Aus Sicherheitsgründen nimmt die Anzahl der Fälle zu, in denen TLS 1.2 oder niedriger NG ist. Daher versuchen wir, TLS 1.2 oder höher zu unterstützen.
- Nicht was Leute sagen, die mein Zertifikat benutzen ...
★ Ändern Sie den Servernamen
ServerName www.example.com:443
↓
ServerName 192.168.10.240:443
★TLS1.Unterstützt 2 oder mehr
SSLProtocol all -SSLv2 -SSLv3
↓
SSLProtocol +TLSv1.2
★ Zertifikatspfad
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
↓
SSLCertificateFile /etc/pki/tls/certs/server.crt
★ Privater Schlüsselpfad
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
↓
SSLCertificateKeyFile /etc/pki/tls/certs/server.key
8. Starten Sie Apache neu
- Wenn Apache erfolgreich neu gestartet werden kann, sollte SSL (TLS) aktiviert sein.
[root@akagi certs]# systemctl restart httpd
Zustand nach der Arbeit
- Sie können über HTTPS eine Verbindung zum Server herstellen, wie im folgenden Screenshot gezeigt. In der Adressleiste des Browsers wird jedoch eine Warnung "Ungeschützte Kommunikation" angezeigt.
Referenz-URL
Recommended Posts