Pridėkite SSL prie „CentOS“ žiniatinklio serverio
- Kategorija: Tinklas
„CentOS“ gali būti vienas iš geriausių „Linux“ paskirstymų serverio aplinkai. Iš esmės tai yra „Red Hat Enterprise Linux“ imitacija be patentuotos programinės įrangos ir pridedamos kainos. Atsižvelgiant į tai, yra visiškai prasminga nustatyti „CentOS“ kaip jūsų einamojo tinklo serverį. Tai patikima, stabili, praplečiama ir saugi.
Bet nepaisant SSL ir sertifikatų, neužbaigta nustatyti saugų interneto serverį. Jei norite aptarnauti iki šiol galiojančius tinklalapius, būtinai norėsite, kad auditorija galėtų siųsti juos į https, o ne http. Taigi ... su „CentOS“ kaip tai padaryti? Aš tau parodysiu kaip.
Diegiame visus paketus
Manau, jūs jau turite įdiegtą „CentOS“, taip pat „Apache“ tinklo serverį. Prieš nustatydami SSL įsitikinkite, kad galite pereiti į numatytąjį „Apache“ tinklalapį (arba bet kurį „CentOS“ žiniatinklio serverio tinklalapį). Kai turėsite visą tą darbą, turėsite įdiegti porą paketų. Tai atliekama atlikus šiuos veiksmus:
- Atidarykite terminalo langą.
- Su pagrindiniam vartotojui.
- Išduokite komandą
yum įdiegti mod_ssl openssl
. - Tegul diegimas baigtas.
Įdiegus ir paruošus SSL, laikas sukurti savo pažymas, skirtas naudoti.
Kurti savo sertifikatą
Dabar turėsite viską savo serveryje, kad galėtumėte kurti CA. Turite sugeneruoti privatų raktą, csr, pasirašytą raktą, tada nukopijuokite šiuos failus į reikiamą vietą. Tai atliekama atlikus šiuos veiksmus.
- Atidarykite terminalo langą.
- Su pagrindiniam vartotojui.
- Sukurkite asmeninį raktą su komanda
„openssl genrsa -out ca.key 1024“
. - Suveskite komandą csr
openssl req -new -key ca.key -out ca.csr
. - Sukurkite savarankiškai pasirašytą raktą su komanda
openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt
. - Perkelkite savarankiškai pasirašytą klavišą su komanda
cp ca.crt / etc / pki / tls / certs
. - Perkelkite asmeninį raktą su komanda
cp ca.key /etc/pki/tls/private/ca.key
. - Perkelkite csr naudodami komandą
cp ca.csr /etc/pki/tls/private/ca.csr
.
Redaguokite „Apache SSL“ konfigūraciją
Atidarykite failą /etc/httpd/conf.d/ssl.conf ir ieškok skyriaus SSLCertificateFile. Įsitikinkite, kad eilutė parašyta:
SSLCertificateFile /etc/pki/tls/certs/ca.crt
Dabar ieškokite SSLCertificateKeyFile ir įsitikinkite, kad skyriuje rašoma:
SSLCertificateKeyFile /etc/pki/tls/private/ca.key
Išsaugokite šį failą ir esate pasirengę paleisti „Apache“ iš naujo.
Paleiskite iš naujo ir išbandykite
Prieš bandydami išbandyti naują „Apache“ SSL funkciją, turite iš naujo paleisti demoną. Norėdami tai padaryti, išduokite komandą /etc/rc.d/init.d/httpd paleiskite iš naujo . Tikimės, kad nepamatysite jokių įspėjimų ar klaidų. Jei ne, nukreipkite naršyklę į https: // ADDRESS_TO_SERVER, kur ADDRESS_TO_SERVER yra IP adresas arba domenas. Tada turėtumėte pamatyti savo naršyklės įspėjimą apie svetainės sertifikatą. Jei matote šį įspėjamąjį sveikinimą, jūsų „Apache“ serveris dabar yra paruoštas saugiems ryšiams.
Atminkite, kad jūs sukūrėte savo pasirašytą pažymėjimą. Jei norite maksimaliai išnaudoti SSL, galite nusipirkti CA iš patikimo vardo, pvz Verisign (Be abejo, yra daugybė kitų vietų, kur galite įsigyti tų pažymėjimų).