Sådan installeres SSL-certifikat på Centos 7

Posted on by admin

17.februar 2019

du har brug for adgang til en CentOS 7-server, og hvis du ikke har konfigureret den endnu, kan du køre gennem CentOS 7 initial server setup guide. Du skal også have Apache installeret for at konfigurere virtuelle værter til det. Du kan følge lampeinstallationsvejledningen, som hjælper dig med forudsætningerne https://www.psychz.net/client/kb/en/installation-of-lamp-stack-on-centos-7.html

i den følgende vejledning vil vi se, hvordan du sikrer Apache-server i Centos-7 gennem SSL. Vi skal oprette vores eget certifikat og lære at konfigurere det. Hvis du vil være vært for et offentligt sted med SSL-support, skal du købe et SSL-certifikat fra en betroet certifikatmyndighed.

et selvsigneret certifikat er dybest set underskrevet af skaberen af certifikatet. Det kan bruges til at teste lokale servere og udviklingsmiljø. Selvom selvsignerede certifikater giver det samme sikkerhedsniveau mellem hjemmesiden og internetsøgeren, vil de fleste internetsøgere altid vise en sikkerhedsadvarselsmeddelelse om, at hjemmesidecertifikatet er selvsigneret og ikke kan stole på, da det ikke er underskrevet af certifikatmyndigheden.

Kommercielle certifikater er godkendt certifikat udstedt af en betroet certifikatmyndighed, som stærkt anbefales at blive brugt i et produktionsmiljø.

for at oprette det selvsignerede certifikat skal du installere mod_ssl Apache-modul i dit system.

Trin 1: Installer mod SSL

mod_ssl er et Apache-modul, der understøtter SSL-kryptering. Det er nødvendigt at opsætte selvsigneret certifikat.

# yum install mod_ssl

når dette er gjort, vil Apache kunne begynde at bruge et SSL-certifikat, efter at det er genstartet.

Trin 2: Opret et selvsigneret certifikat

nu hvor Apache er klar til at bruge kryptering, kan vi gå videre til at generere et nyt SSL-certifikat. Mens du opretter certifikatet, det vil kræve nogle grundlæggende oplysninger om din hjemmeside, og vil blive ledsaget af en nøglefil, der gør det muligt for serveren til sikkert at håndtere krypterede data.

først opretter vi en mappe til at gemme vores private nøgle (certifikatfilen er gemt i mappen / etc / ssl / certs)

# mkdir /etc/ssl/private

lad os gøre denne mappe “Privat” kun tilgængelig for root bruger til sikkerhedsformål

# chmod 700 /etc/ssl/private

lad os nu oprette certifikatet sammen med SSL-nøgle. Dette kan gøres med “openssl” sammen med yderligere

# openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt

– openssl: dette er det grundlæggende kommandolinjeværktøj til oprettelse og styring af OpenSSL-certifikater, nøgler og andre filer.
509:” 509 ” er en offentlig nøgle infrastrukturstandard, som SSL og TLS overholder til nøgle-og certifikatstyring.
– noder: dette fortæller OpenSSL at springe over muligheden for at sikre vores certifikat med en adgangskode. Vi har brug for Apache for at kunne læse filen uden brugerintervention, når serveren starter. En adgangssætning ville forhindre, at dette sker, da vi bliver nødt til at indtaste det efter hver genstart.
– dage 365: denne indstilling angiver, hvor lang tid certifikatet skal betragtes som gyldigt. Vi sætter det i et år her.
– nynøgle rsa:2048: RSA:2048-delen fortæller den at lave en RSA-nøgle, der er 2048 bit lang. “nynøgle” angiver, at vi vil generere et nyt certifikat og en ny nøgle på samme tid.
– keyout: denne linje fortæller OpenSSL, hvor den genererede private nøglefil, som vi opretter, skal placeres.
– ud: Dette fortæller OpenSSL, hvor det certifikat, vi opretter, skal placeres.

Country Name (2 letter code) :US
State or Province Name (full name) : John Doe
Locality Name (eg, city) : Los Angeles
Organization Name (eg, company) : Psychz Networks
Organizational Unit Name (eg, section) :IT
Common Name (eg, your name or your server's hostname) : Demo_server
Email Address : [email protected]
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password :
An optional company name :

begge de filer, du oprettede, placeres i de relevante undermapper i /etc/ssl-biblioteket.

Trin 3: Konfigurer Apache til at bruge SSL-certifikatet

nu er alle certifikaterne klar. Den næste ting at gøre er at konfigurere Apache til at vise de nye certifikater.

du kan gøre dette ved at redigere SSL-konfigurationsfilen:

# vi /etc/httpd/conf.d/ssl.conf

Find det afsnit, der begynder med . Frigør linjen DocumentRoot og ServerName, og erstat eksempel.kom med din server IP-adresse eller domænenavn.

DocumentRoot "/var/www/html"
ServerName www.demo_server.com:443SSLEngine on

find derefter linjerne SSLCertificateFile og SSLCertificateKeyFile og opdater dem med den nye placering af certifikaterne.

SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt
SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.crt.key

når du har foretaget disse ændringer, skal du genstarte Apache-tjenesten, så ændringerne træder i kraft.

# systemctl restart httpd

Trin 4: Test Apache (HTTPS) Server

for at kontrollere, at den sikre Apache HTTPS-server fungerer, skal du åbne din internetserver og skrive URL ‘ en https://demo_server-ip-address. Der skal vises en fejl på din bro.ser, og du skal manuelt acceptere certifikatet. Fejlmeddelelsen vises, fordi vi bruger et selvsigneret certifikat i stedet for et certifikat, der er underskrevet af en certifikatmyndighed, som bro.sereren har tillid til, og at bro. sereren ikke er i stand til at bekræfte identiteten på den server, du forsøger at oprette forbindelse til. Når du tilføjer en undtagelse til identitetsbekræftelsen, skal du se en testside for dit nyligt sikre sted.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.