[LINUX] Comment activer SSL (TLS) dans Apache

introduction

J'ai essayé de résumer comment activer SSL (TLS) à l'aide d'un certificat auto-signé (* soi-disant certificat oleore) dans Apache 2.4. Bien sûr, cette méthode ne peut pas être utilisée dans un environnement de production, mais je pense qu'elle peut être utilisée lors d'études sur un serveur domestique ou dans un environnement de développement.

Environnement utilisé pour les tests

Le matériel n'est pas directement lié à cette procédure, mais je l'ai inclus au cas où.

• CPU
• Kabylake: Pentium G4560
• Carte mère: ASRock H110M-STX
• Mémoire: 8 Go (4 Go x 2)
• Stockage: SSD de 256 Go (NVMe)
• OS
• CentOS 7.8（2003）
• Apache
• Apache-2.4.6

Paramètres prérequis

1. Apache est installé.
2. Apache doit être prêt à démarrer.

• Faites attention si vous modifiez le fichier de configuration (httpd.conf etc.) à l'avance.

3. SELinux est arrêté et désactivé.

• Cette fois, SELinux est arrêté car il est destiné à un usage domestique ou à un développement.

Étapes pour activer SSL (TLS)

1. Installation du logiciel requis pour la communication HTTPS

• OpenSSL est une bibliothèque qui implémente SSL et TLS active SSL (TLS) C'est un module indispensable pour le faire.
• mod_ssl est un module fourni par Apache pour prendre en charge SSL et TLS.

[root@akagi ~]# yum install openssl
[root@akagi ~]# yum install mod_ssl

2. Déplacer vers le dossier de travail

• Puisque le certificat de serveur ne peut pas être créé avec succès avec / root etc., allez dans / etc / pki / tls / certs.
• Il y a quelques articles utilisant / usr / local / ssl, mais ce dossier n'existait pas quand Apache 2.4 a été installé par RPM.

[root@akagi ~]# cd /etc/pki/tls/certs/

3. Création d'une clé privée

• Créez une clé privée avec la commande openssl.

[root@akagi certs]# openssl genrsa > server.key
Generating RSA private key, 2048 bit long modulus
................................................+++
....+++
e is 65537 (0x10001)

4. Création d'une clé publique

• Utilisez à nouveau la commande openssl, cette fois en créant une clé publique.
• Il vous sera demandé diverses informations telles que le nom du pays, le nom de la préfecture, le nom de la ville / ville / village, le nom de l'organisation (nom de l'entreprise), le nom du département, l'adresse e-mail, etc., mais cette fois, il s'agit d'un «certificat Oreore», alors entrez une valeur appropriée.

[root@akagi certs]# openssl req -new -key server.key > server.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:Tokyo
Locality Name (eg, city) [Default City]:Chiyoda
Organization Name (eg, company) [Default Company Ltd]:XYZ Company
Organizational Unit Name (eg, section) []:Development Dept.
Common Name (eg, your name or your server's hostname) []:192.168.10.240
Email Address []:[email protected]
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

5. Création d'un certificat de serveur (certificat auto-signé)

• Utilisez la commande openssl pour créer plus de certificats de serveur.

[root@akagi certs]# openssl x509 -req -signkey server.key < server.csr > server.crt
Signature ok
subject=/C=JP/ST=Tokyo/L=Chiyoda/O=XYZ Company/OU=Development Dept./CN=192.168.10.240/[email protected]
Getting Private key

6. Copie de la clé privée

• Après avoir créé le certificat de serveur avec la clé publique, j'ai copié la clé privée dans / etc / pki / tls / private.
• Selon l'endroit où se trouve la clé privée, Apache n'a pas pu trouver la clé privée et n'a pas pu démarrer.

[root@akagi certs]# cp -a server.key ../private/

7. Modifiez ssl.conf

• Après avoir copié ssl.conf et enregistré le ssl.conf original avant de le modifier, les 4 emplacements suivants ont été modifiés.
• Pour des raisons de sécurité, le nombre de cas où TLS 1.2 ou inférieur est NG augmente, nous essayons donc de prendre en charge TLS 1.2 ou supérieur.
• Pas ce que disent les gens qui utilisent mon certificat ...

★ Changer le nom du serveur
ServerName www.example.com:443
↓
ServerName 192.168.10.240:443
 
★TLS1.Prend en charge 2 ou plus
SSLProtocol all -SSLv2 -SSLv3
↓
SSLProtocol +TLSv1.2
 
★ Chemin du certificat
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
↓
SSLCertificateFile /etc/pki/tls/certs/server.crt
 
★ Chemin de clé privée
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
↓
SSLCertificateKeyFile /etc/pki/tls/certs/server.key

8. Redémarrez Apache

• Si Apache peut redémarrer avec succès, SSL (TLS) doit être activé.

[root@akagi certs]# systemctl restart httpd

État après le travail

• Vous pouvez vous connecter au serveur via HTTPS comme indiqué dans la capture d'écran ci-dessous, mais la barre d'adresse du navigateur affichera un avertissement "Communication non protégée".

URL de référence

• Procédure de construction de l'environnement et colmatage pour la communication HTTPS avec Apache 2.4