2019 년 2 월 17 일
센토스 7 서버에 대한 액세스가 필요하며 아직 구성하지 않은 경우 센토스 7 초기 서버 설정 가이드를 통해 실행할 수 있습니다. 가상 호스트를 구성하려면 아파치를 설치해야 합니다. 다음 자습서에서는 아파치 웹 서버를 안전하게 보호하는 방법을 살펴보겠습니다. 우리는 우리 자신의 인증서를 만들고 그것을 구성하는 방법을 배울 것입니다. 신뢰할 수 있는 인증 기관에서 인증서를 구입해야 합니다.
자체 서명 인증서는 기본적으로 인증서 작성자가 서명합니다. 로컬 서버 및 개발 환경을 테스트하는 데 사용할 수 있습니다. 자체 서명된 인증서는 웹 사이트와 브라우저 간에 동일한 수준의 보안을 제공하지만 대부분의 웹 브라우저는 웹 사이트 인증서가 자체 서명되어 인증 기관에서 서명하지 않았으므로 신뢰할 수 없다는 보안 경고 메시지를 항상 표시합니다.
상업용 인증서는 신뢰할 수 있는 인증 기관에서 발급한 인증서로 프로덕션 환경에서 사용하는 것이 좋습니다.
자체 서명된 인증서를 설정하려면 시스템에 아파치 모듈을 설치해야 합니다.
1 단계: 아파치 모듈이 설치될 때,이 모듈이 설치될 때,이 모듈이 설치될 때,이 모듈이 설치될 때,설치 모듈이 설치될 때,설치 모듈이 설치될 때,설치 모듈이 설치될 때,설치 모듈이 설치될 때,설치 모듈이 설치된다. 자체 서명된 인증서를 설정하는 데 필요합니다.
# yum install mod_ssl
# yum install mod_ssl이 작업이 완료되면 아파치는 다시 시작한 후 인증서를 사용할 수 있습니다.
2 단계:자체 서명된 인증서 만들기
이제 아파치가 암호화를 사용할 준비가 되었으므로 새 인증서를 생성할 수 있습니다. 인증서를 만드는 동안 사이트에 대한 몇 가지 기본 정보가 필요하며 서버가 암호화된 데이터를 안전하게 처리할 수 있는 키 파일이 함께 제공됩니다.
먼저 개인 키를 저장할 디렉토리를 만듭니다.)
# mkdir /etc/ssl/private이 디렉토리를 보안을 위해 루트 사용자 만 액세스 할 수있는”개인”으로 만들어 보겠습니다
# chmod 700 /etc/ssl/private이제 인증서와 함께 인증서를 만들어 보겠습니다. 이 작업은 추가 작업과 함께”오픈”으로 수행 할 수 있습니다
# openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt– 명령줄 도구:인증서,키 및 기타 파일을 만들고 관리하기 위한 기본 명령줄 도구입니다.이 인증서는 키 및 인증서 관리를 위한 공개 키 인프라 표준입니다.
-노드:암호를 사용하여 인증서를 보호하는 옵션을 건너뛰도록 합니다. 아파치는 서버가 시작될 때 사용자 개입 없이 파일을 읽을 수 있어야 한다. 다시 시작할 때마다 암호를 입력해야 하기 때문에 암호는 이런 일이 발생하지 않도록 합니다.
-365 일:이 옵션은 인증서가 유효한 것으로 간주되는 기간을 설정합니다. 우리는 여기에 1 년 동안 그것을 설정합니다.2048 부분은 2048 비트 길이의 키를 만들도록 지시합니다. “새 키”는 새 인증서와 새 키를 동시에 생성하도록 지정합니다.
-키 아웃:이 줄은 우리가 만드는 생성 된 개인 키 파일을 배치 할 위치를 알려줍니다.
-아웃: 이렇게 하면 생성 중인 인증서를 배치할 위치를 알 수 있습니다.
Country Name (2 letter code) :US
State or Province Name (full name) : John Doe
Locality Name (eg, city) : Los Angeles
Organization Name (eg, company) : Psychz Networks
Organizational Unit Name (eg, section) :IT
Common Name (eg, your name or your server's hostname) : Demo_server
Email Address : [email protected]
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password :
An optional company name : 사용자가 만든 파일은 모두/등/디렉토리의 적절한 하위 디렉토리에 배치됩니다.
3 단계:아파치 인증서 사용 설정
이제 모든 인증서가 준비되었습니다. 다음으로 할 일은 새 인증서를 표시하도록 아파치를 설정하는 것이다.
구성 파일을 편집하여 이 작업을 수행할 수 있습니다:
# vi /etc/httpd/conf.d/ssl.conf로 시작하는 섹션을 찾을 수 있습니다. 문서 루트와 서버 이름 줄을 주석 처리하고 예제를 바꿉니다.서버의 아이피 주소 또는 도메인 이름과 함께.
DocumentRoot "/var/www/html" ServerName www.demo_server.com:443SSLEngine on인증서의 새 위치로 업데이트합니다.
SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.crt.key이러한 변경 사항을 적용한 후 변경 사항을 적용하려면 아파치 서비스를 다시 시작하십시오.
# systemctl restart httpd4 단계:아파치 서버
보안 아파치 웹 서버가 작동하는지 확인하려면 웹 브라우저를 열고https://demo_server-ip-address를 입력합니다. 브라우저에 오류가 표시되어야 하며 인증서를 수동으로 수락해야 합니다. 브라우저가 신뢰하는 인증 기관에서 서명한 인증서 대신 자체 서명된 인증서를 사용하고 있으며 연결하려는 서버의 신원을 브라우저가 확인할 수 없기 때문에 오류 메시지가 표시됩니다. 브라우저의 신원 확인에 예외를 추가하면 새로 보안된 사이트에 대한 테스트 페이지가 표시됩니다.