Publisher: Psychz Networks, February 17,2019
Avrai bisogno di accedere a un server CentOS 7 e se non lo hai ancora configurato, puoi eseguire la guida all’installazione iniziale del server CentOS 7. Sarà inoltre necessario avere installato Apache al fine di configurare gli host virtuali per esso. Puoi seguire il tutorial di installazione di LAMP che ti aiuterà con i prerequisiti https://www.psychz.net/client/kb/en/installation-of-lamp-stack-on-centos-7.html
Nel seguente tutorial, vedremo come proteggere il server Web Apache in Centos-7 tramite SSL. Creeremo il nostro certificato e impareremo come configurarlo. Se si desidera ospitare un sito pubblico con supporto SSL, è necessario acquistare un certificato SSL da un’autorità di certificazione attendibile.
Un certificato autofirmato è fondamentalmente firmato dal creatore del certificato. Può essere utilizzato per testare server locali e ambiente di sviluppo. Sebbene i certificati autofirmati forniscano lo stesso livello di sicurezza tra il sito Web e il browser, la maggior parte dei browser Web visualizzerà sempre un messaggio di avviso di sicurezza che indica che il certificato del sito Web è autofirmato e non può essere considerato attendibile, poiché non è firmato dall’autorità di certificazione.
I certificati commerciali sono certificati autorizzati emessi da un’autorità di certificazione attendibile che è altamente raccomandato per essere utilizzato in un ambiente di produzione.
Per impostare il certificato autofirmato, è necessario installare il modulo mod_ssl Apache nel proprio sistema.
Fase 1: Installa Mod SSL
mod_ssl è un modulo Apache che fornisce supporto per la crittografia SSL. È necessario impostare il certificato autofirmato.
# yum install mod_sslUna volta fatto questo, Apache sarà in grado di iniziare a utilizzare un certificato SSL dopo il riavvio.
Passo 2: Creare un certificato autofirmato
Ora che Apache è pronto per l’uso della crittografia, possiamo passare alla generazione di un nuovo certificato SSL. Durante la creazione del certificato, richiederà alcune informazioni di base sul tuo sito e sarà accompagnato da un file chiave che consente al server di gestire in modo sicuro i dati crittografati.
in Primo luogo, ci sarà creare una directory per memorizzare la nostra chiave privata (Il certificato è memorizzato il file in /etc/ssl/certs)
# mkdir /etc/ssl/privatefacciamo di questa directory “privati” accessibile solo all’utente root, per motivi di sicurezza
# chmod 700 /etc/ssl/privateCerchiamo ora di creare il Certificato con chiave SSL. Questo può essere fatto con “openssl” insieme a ulteriori
# openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt– openssl: Questo è lo strumento da riga di comando di base per la creazione e la gestione di certificati OpenSSL, chiavi e altri file.
– req-x509: “X. 509” è uno standard di infrastruttura a chiave pubblica a cui SSL e TLS aderiscono per la gestione di chiavi e certificati.
– nodi: questo dice a OpenSSL di saltare l’opzione per proteggere il nostro certificato con una passphrase. Abbiamo bisogno di Apache per essere in grado di leggere il file, senza l’intervento dell’utente, quando il server si avvia. Una passphrase impedirebbe che ciò accada, dal momento che dovremmo inserirla dopo ogni riavvio.
– giorni 365: Questa opzione imposta il periodo di tempo in cui il certificato sarà considerato valido. Abbiamo fissato per un anno qui.
– newkey rsa: 2048: La porzione rsa: 2048 indica di creare una chiave RSA lunga 2048 bit. “newkey” specifica che vogliamo generare un nuovo certificato e una nuova chiave allo stesso tempo.
– keyout: questa riga indica a OpenSSL dove posizionare il file di chiave privata generato che stiamo creando.
– fuori: Questo indica a OpenSSL dove posizionare il certificato che stiamo creando.
Country Name (2 letter code) :US
State or Province Name (full name) : John Doe
Locality Name (eg, city) : Los Angeles
Organization Name (eg, company) : Psychz Networks
Organizational Unit Name (eg, section) :IT
Common Name (eg, your name or your server's hostname) : Demo_server
Email Address : [email protected]
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password :
An optional company name : Entrambi i file creati verranno inseriti nelle sottodirectory appropriate della directory/etc / ssl.
Passo 3: Configurare Apache per utilizzare il certificato SSL
Ora, tutti i certificati sono pronti. La prossima cosa da fare è impostare Apache per visualizzare i nuovi certificati.
Puoi farlo modificando il file di configurazione SSL:
# vi /etc/httpd/conf.d/ssl.confTrova la sezione che inizia con . Rimuovere il commento dalla riga DocumentRoot e ServerName e sostituire l’esempio.com con l’indirizzo IP o il nome di dominio del server.
DocumentRoot "/var/www/html" ServerName www.demo_server.com:443SSLEngine onQuindi, trovare le righe SSLCertificateFile e SSLCertificateKeyFile e aggiornarle con la nuova posizione dei certificati.
SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.crt.keyDopo aver apportato queste modifiche, riavviare il servizio Apache affinché le modifiche abbiano effetto.
# systemctl restart httpdPasso 4: Testare il server Apache (HTTPS)
Per verificare che il server Web HTTPS Apache sicuro funzioni, aprire il browser Web e digitare l’URL https://demo_server-ip-address. Un errore dovrebbe apparire sul tuo browser e devi accettare manualmente il certificato. Il messaggio di errore viene visualizzato perché stiamo utilizzando un certificato autofirmato anziché un certificato firmato da un’autorità di certificazione di cui il browser si fida e il browser non è in grado di verificare l’identità del server a cui si sta tentando di connettersi. Una volta aggiunta un’eccezione alla verifica dell’identità del browser, dovresti vedere una pagina di prova per il tuo nuovo sito sicuro.