Jinsi ya Kuunda Cheti na Vifunguo vya SSL vilivyojiandikisha kwa Apache kwenye RHEL/CentOS 7.0

SSL (Safu ya Soketi Salama) ni itifaki ya kriptografia inayoruhusu mtiririko salama wa data kati ya seva na wateja wake kwa kutumia vitufe vya ulinganifu/asymmetric kwa kutumia cheti cha dijiti kilichotiwa saini na Mamlaka ya Cheti (CA).

1. Usakinishaji wa LAMP Msingi kwenye RHEL/CentOS 7.0

Mafunzo haya yanatoa mbinu ya jinsi ya kusanidi Safu ya Soketi Salama (SSL) itifaki ya kriptografia ya mawasiliano kwenye Seva ya Wavuti ya Apache iliyosakinishwa katika Red Hat Enterprise Linux/CentOS 7.0, na kutoa Vyeti na Funguo zilizojiandikisha kwa kutumia msaada wa hati ya bash ambayo hurahisisha mchakato mzima.

Hatua ya 1: Sakinisha na Usanidi Apache SSL

1. Ili kuwezesha SSL kwenye Seva ya Apache HTTP tumia amri ifuatayo kusakinisha SSL Moduli na OpenSSL tool-kit ambayo inahitajika kwa usaidizi wa SSL/TLS.

# yum install mod_ssl openssl

2. Baada ya moduli ya SSL kusakinishwa, anzisha upya HTTPD daemon na uongeze sheria mpya ya Firewall ili kuhakikisha kwamba mlango wa SSL - 443 - umefunguliwa kwa miunganisho ya nje kwenye mashine yako katika kusikiliza. jimbo.

# systemctl restart httpd
# firewall-cmd --add-service=https   ## On-fly rule

# firewall-cmd --permanent  --add-service=https   ## Permanent rule – needs firewalld restart

3. Ili kujaribu muunganisho wa SSL, fungua kivinjari cha mbali na uende kwenye anwani ya IP ya seva yako kwa kutumia itifaki ya HTPS kwenye https://server_IP.

Hatua ya 2: Unda Vyeti na Vifunguo vya SSL

4. Mawasiliano ya awali ya SSL kati ya seva na mteja yalifanywa kwa kutumia Cheti chaguomsingi na Ufunguo uliozalishwa kiotomatiki kwenye usakinishaji. Ili kutengeneza funguo mpya za kibinafsi na jozi za vyeti vilivyojiandikisha tengeneza hati ifuatayo ya bash kwenye njia ya mfumo inayoweza kutekelezwa (PATH).

Kwa mafunzo haya /usr/local/bin/ njia ilichaguliwa, hakikisha hati ina biti inayoweza kutekelezwa na, kisha, itumie kama amri kuunda jozi mpya za SSL kwenye /etc/ httpd/ssl/ kama Vyeti na Mahali chaguomsingi ya Funguo.

# nano /usr/local/bin/apache_ssl

Tumia yaliyomo kwenye faili ifuatayo.

#!/bin/bash
mkdir /etc/httpd/ssl
cd /etc/httpd/ssl

echo -e "Enter your virtual host FQDN: \nThis will generate the default name for Apache SSL Certificate and Key!"
read cert

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out $cert.key
chmod 600 $cert.key
openssl req -new -key $cert.key -out $cert.csr
openssl x509 -req -days 365 -in $cert.csr -signkey $cert.key -out $cert.crt

echo -e " The Certificate and Key for $cert has been generated!\nPlease link it to Apache SSL available website!"
ls -all /etc/httpd/ssl
exit 0

5. Sasa fanya hati hii itekelezwe na uzindue ili kutoa jozi mpya ya Cheti na Ufunguo kwa Apache SSL Virtual Host yako.

Ijaze na maelezo yako na uzingatie thamani ya Jina la Kawaida ili ilingane na seva yako FQDN au ikiwa ni Upangishaji Mtandaoni ili kulingana na anwani ya Wavuti ambayo utakuwa unafikia unapounganisha kwenye tovuti salama.

# chmod +x /usr/local/bin/apache_ssl
# apache_ssl

6. Baada ya Cheti na Ufunguo kuzalishwa, hati itawasilisha orodha ndefu ya jozi zako zote za Apache SSL zilizohifadhiwa katika /etc/httpd/ssl/ eneo.

7. Mbinu nyingine ya kutengeneza Vyeti na Vifunguo vya SSL ni kwa kusakinisha crypto-utils kifurushi kwenye mfumo wako na kuzalisha jozi kwa kutumia genkey amri, ambayo inaweza kuleta matatizo fulani hasa inapotumika kwenye skrini ya mwisho ya Putty.

Kwa hiyo, napendekeza kutumia njia hii tu wakati umeunganishwa moja kwa moja na kufuatilia skrini.

# yum install crypto-utils
# genkey your_FQDN

8. Ili kuongeza Cheti na Ufunguo mpya kwenye tovuti yako ya SSL, fungua faili yako ya usanidi wa tovuti na ubadilishe taarifa za SSLCertificateFile na SSLCertificateKeyFile na eneo la jozi mpya na majina ipasavyo.

9. Ikiwa Cheti hakijatolewa na CA - Mamlaka ya Uthibitishaji au jina la mpangishi kutoka kwa cheti halilingani na jina la mpangishaji anayeanzisha muunganisho, hitilafu inapaswa kuonekana kwenye kivinjari chako na ni lazima ukubali cheti wewe mwenyewe.

Ni hayo tu! Sasa unaweza kutumia apache_sslkama safu ya amri kwenye RHEL/CentOS 7.0 kutengeneza jozi nyingi za Vyeti na Vifunguo vya kujisajili unavyohitaji, na vyote vitawekwa kwenye /etc/httpd/ ssl/ njia iliyo na faili ya Ufunguo iliyolindwa kwa ruhusa 700.