Https apache: Вы заблудились на сайте компьютерного мастера

Самое читаемое

• CentOS: установка, настройка Zabbix-agent и добавление нового хоста в мониторинг — 507 153 views
• MySQL/MariaDB: наиболее используемые команды, примеры — 289 207 views
• BASH: описание циклов for, while, until и примеры использования — 152 200 views
• Команда find и её опции в примерах — 139 605 views
• Карта сайта — 128 302 views

Архив месяца

Архивы по годам

Iconic One Theme | Powered by WordPress

SSL/TLS Strong Encryption: How-To — Apache HTTP Server Version 2.

Apache HTTP Server Version 2.4

Доступные языки:  en  | fr 

Этот документ поможет вам начать работу и получить работающий. Вам настоятельно рекомендуется прочитать остальную часть SSL документацию и глубже понять материал, прежде чем переходить к продвинутым методам.

• Пример базовой конфигурации
Наборы шифров
• и усиление безопасности
• Сшиватель OCSP
• Аутентификация клиента и контроль доступа
• Регистрация

См. также

• Комментарии

Ваша конфигурация SSL должна содержать как минимум следующие директивы.

 LoadModule модули ssl_module/mod_ssl.so
Слушай 443
<Виртуальный хост *:443>
    Имя сервера www.example.com
    SSLEngine включен
    SSLCertificateFile "/path/to/www.example.com.cert"
    SSLCertificateKeyFile "/path/to/www.example.com.key"
 

• Как мне создать сервер SSL, который принимает только надежное шифрование?
• Как я могу создать сервер SSL, который принимает все типы шифров в целом, но требуется надежный шифр для доступа к определенному URL-адресу?

Как создать сервер SSL, который принимает надежное шифрование Только?

Следующее включает только самые стойкие шифры:

 SSLCipherSuite HIGH:!aNULL:!MD5 

В следующей конфигурации вы указываете предпочтение для конкретных оптимизированных по скорости шифров (которые будут выбраны mod_ssl, при условии, что они поддерживаются клиентом):

 SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:!aNULL:!MD5
SSLHonorCipherOrder на 

Как создать сервер SSL, который принимает все типы шифров в целом, но требует надежных шифров для доступа к конкретному URL?

Очевидно, серверный SSLCipherSuite , который ограничивает шифры к сильным вариантам, здесь не ответ. Однако, mod_ssl можно перенастроить в пределах Location блоки, чтобы дать решение для каждого каталога, и может автоматически принудительно повторное согласование параметров SSL для соответствия новой конфигурации. Это можно сделать следующим образом:

 # будь либералом вообще
SSLCipherSuite ВСЕ:!aNULL:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP:+eNULL
<Расположение "/strong/область">
# но https://hostname/strong/area/ и ниже
# требует надежных шифров
SSLCipherSuite HIGH:!aNULL:!MD5
 

Онлайн-протокол статуса сертификата (OCSP) — это механизм для определение того, был ли отозван сертификат сервера, и OCSP Сшивание — это особая форма этого, при которой сервер, такой как httpd и mod_ssl, поддерживает текущие ответы OCSP для своих сертификатов и отправляет их клиентам, которые общаются с сервером. Большинство сертификатов содержать адрес ответчика OCSP, поддерживаемый выдающим Центр сертификации, и mod_ssl может связываться с этим ответчиком для получить подписанный ответ, который можно отправить клиентам, взаимодействующим с сервер.

Поскольку клиент может получить статус отзыва сертификата из сервер, не требуя дополнительного подключения от клиента к Центр сертификации, сшивание OCSP является предпочтительным способом для статус отзыва, который необходимо получить. Другие преимущества устранения связи между клиентами и центром сертификации заключаются в том, что история просмотров клиентов не предоставляется центру сертификации и получение статуса более надежно, поскольку не зависит от потенциально сильно загруженные серверы центра сертификации.

Поскольку ответ, полученный сервером, может быть повторно использован для всех клиентов используя один и тот же сертификат в течение времени, пока ответ действителен, накладные расходы на сервер минимальны.

После правильной настройки общей поддержки SSL включение OCSP Сшивание обычно требует очень незначительных изменений в файле httpd. конфигурация — добавление этих двух директив:

 SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)" 

Эти директивы размещаются в глобальной области (т. е. не в виртуальной определение хоста) везде, где есть другие глобальные директивы конфигурации SSL. размещены, например, в conf/extra/httpd-ssl.conf для обычного сборки с открытым исходным кодом httpd, /etc/apache2/mods-enabled/ssl.conf для Ubuntu или Debian-в комплекте httpd и т. д.

Путь в директиве SSLStaplingCache (например, журналов/ ) должно совпадать с тем, что указано на Директива SSLSessionCache . Этот путь относительный до Корень сервера .

Эта конкретная директива SSLStaplingCache требует mod_socache_shmcb (из 9префикс 0049 shmcb на аргумент директивы). Этот модуль обычно включен уже для SSLSessionCache или от имени какого-либо модуля, отличного от mod_ssl . Если вы включили кеш сеанса SSL с помощью механизм, отличный от mod_socache_shmcb , используйте эту альтернативу механизм для SSLStaplingCache . Например:

 SSLSessionCache "dbm:logs/ssl_scache"
SSLStaplingCache "dbm:logs/ssl_stapling" 

Вы можете использовать программу командной строки openssl для проверки того, что ответ OCSP отправлено вашим сервером:

 $ openssl s_client -connect www.example.com:443 -status -servername www.example.com
...
Ответ ОССП:
=======================================
Данные ответа OCSP:
    Статус ответа OCSP: успешно (0x0)
    Тип ответа: базовый ответ OCSP
...
    Статус сертификата: Хороший
... 

В следующих разделах описаны наиболее распространенные ситуации, требующие дальнейшее изменение конфигурации. См. также mod_ssl справочное руководство.

Если для сервера используется несколько SSL-сертификатов

Ответы OCSP хранятся в кэше сшивания SSL. В то время как ответы обычно имеют размер от нескольких сотен до нескольких тысяч байт, mod_ssl поддерживает ответы OCSP размером до 10 КБ. С более чем несколько сертификатов, размер кэша сшивания (32768 байт в примере выше) может надо увеличить. Сообщение об ошибке AH01929 будет зарегистрировано в случае ошибка сохранения ответа.

Если сертификат не указывает на ответчик OCSP или если необходимо использовать другой адрес

См. Директива SSLStaplingForceURL .

Вы можете подтвердить, что сертификат сервера указывает на ответчик OCSP с помощью программы командной строки openssl следующим образом:

 $ openssl x509 -in ./www.example.com.crt -text | grep 'OCSP.*http'
OCSP — URI: http://ocsp.example.com 

Если указан URI OCSP и веб-сервер может с ним связаться напрямую без использования прокси, никакой настройки не требуется. Обратите внимание, что правила брандмауэра, контролирующие исходящие соединения с веб-сервера, могут нужно отрегулировать.

Если URI OCSP не указан, обратитесь в центр сертификации, чтобы определить, доступен ли он; если это так, настройте его с помощью SSLStaplingForceURL в виртуальном узел, использующий сертификат.

Если настроено несколько виртуальных хостов с поддержкой SSL и OCSP Сшивание должно быть отключено для некоторых

Добавьте SSLUseStapling Off к виртуальным хостам, для которых OCSP Сшивание должно быть отключено.

Если ответчик OCSP работает медленно или ненадежно

Доступно несколько директив для обработки тайм-аутов и ошибок. Ссылаться к документации по SSLStaplingFakeTryLater , SSLStaplingResponderTimeout и SSLStaplingReturnResponderErrors директивы.

Если mod_ssl регистрирует ошибку AH02217

 AH02217: ssl_stapling_init_cert: Не удается получить сертификат издателя! 

Для поддержки сшивания OCSP, когда определенный сертификат сервера используется, цепочка сертификатов для этого сертификата должна быть настроена. Если это не был настроен как часть включения SSL, будет выдана ошибка AH02217 когда сшивание включено, и клиентам не будет предоставлен ответ OCSP с помощью сертификата.

См. SSLCertificateChainFile и SSLCertificateFile для инструкций для настройки цепочки сертификатов.

• Как заставить клиентов проходить аутентификацию с использованием сертификатов?
• Как заставить клиентов аутентифицироваться с использованием сертификатов для определенный URL-адрес, но по-прежнему разрешать произвольным клиентам доступ к остальной части сервера?
• Как разрешить доступ к определенный URL-адрес, но разрешить всем клиентам доступ к остальной части сервера?
• Как я могу требовать HTTPS с надежными шифрами, и либо базовая аутентификация или клиентские сертификаты для доступа к части Интранет-сайт для клиентов, приходящих из Интернета?

Как заставить клиентов проходить аутентификацию с использованием сертификатов?

Когда вы знаете всех своих пользователей (например, как это часто бывает на корпоративном Интранет), вы можете потребовать простой проверки подлинности сертификата. Все вы нужно сделать, это создать клиентские сертификаты, подписанные вашим собственным CA сертификат ( ca.crt ), а затем проверить клиентов по этому сертификат.

 # требуется сертификат клиента, который должен быть напрямую
# подписано нашим сертификатом ЦС в ca.crt
SSLVerifyClient требует
SSLVerifyDepth 1
SSLCACertificateFile "conf/ssl.crt/ca.crt" 

Как заставить клиентов аутентифицироваться с использованием сертификатов для определенный URL-адрес, но по-прежнему разрешать произвольным клиентам доступ к остальной части сервера?

Чтобы заставить клиентов аутентифицироваться с использованием сертификатов для определенного URL-адреса, вы можете использовать функции реконфигурации для каждого каталога mod_ssl :

 SSLVerifyClient нет
SSLCACertificateFile "conf/ssl.crt/ca.crt"
<Местоположение "/secure/area">
SSLVerifyClient требует
SSLVerifyDepth 1
 

Как разрешить доступ к определенный URL-адрес, но разрешить всем клиентам доступ к остальной части сервера?

Ключом к этому является проверка той части сертификата клиента, соответствует тому, что вы ожидаете. Обычно это означает проверку всех или части Отличительное имя (DN), чтобы узнать, содержит ли оно известную строку. Есть два способа сделать это, используя либо mod_auth_basic или SSLRequire .

Метод mod_auth_basic обычно требуется, когда сертификаты совершенно произвольны, или когда их DN нет общих полей (обычно организация и т.д.). В таком случае, вы должны создать базу данных паролей, содержащую всех клиенты разрешены следующим образом:

 SSLVerifyClient нет
SSLCACertificateFile "conf/ssl.crt/ca.crt"
SSLCACertificatePath "conf/ssl.crt"
<Каталог "/usr/local/apache2/htdocs/secure/area">
    SSLVerifyClient требует
    SSLVerifyDepth 5
    SSLOptions+FakeBasicAuth
    SSLRequireSSL
    AuthName "Аутентификация Snake Oil"
    Основной тип авторизации
    Файл AuthBasicProvider
    AuthUserFile "/usr/local/apache2/conf/httpd.passwd"
    Требовать действительного пользователя
 

Пароль, используемый в этом примере, представляет собой зашифрованную по DES строку «password». Дополнительные сведения см. в документации SSLOptions . Информация.

httpd.passwd

 /C=DE/L=Munich/O=Snake Oil, Ltd./OU=Staff/CN=Foo:xxj31ZMTZzkVA
/C=US/L=S.F./O=Snake Oil, Ltd./OU=CA/CN=Bar:xxj31ZMTZzkVA
/C=US/L=L.A./O=Snake Oil, Ltd./OU=Dev/CN=Quux:xxj31ZMTZzkVA 

Когда все ваши клиенты являются частью общей иерархии, которая закодирована в DN, вы можете легко сопоставить их, используя SSLRequire следующим образом:

 SSLVerifyClient нет
SSLCACertificateFile "conf/ssl.crt/ca.crt"
SSLCACertificatePath "conf/ssl.crt"
<Каталог "/usr/local/apache2/htdocs/secure/area">
  SSLVerifyClient требует
  SSLVerifyDepth 5
  SSLOptions+FakeBasicAuth
  SSLRequireSSL
  SSLRequire %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \
               и %{SSL_CLIENT_S_DN_OU} в {"Персонал", "ЦС", "Разработчик"}
 

Как я могу потребовать HTTPS с надежными аутентификации или клиентские сертификаты для доступа к части Интранет-сайт для клиентов, приходящих из Интернета? Я все еще хочу разрешить простой HTTP-доступ для клиентов в интрасети.

В этих примерах предполагается, что клиенты в интрасети имеют IP-адреса в диапазоне 192.168.1.0/24 и что часть веб-сайта интрасети, которую вы хотите разрешить доступ в Интернет по адресу /usr/local/apache2/htdocs/subarea . Эта конфигурация должна оставаться за пределами вашего виртуального хоста HTTPS, поэтому что это применимо как к HTTPS, так и к HTTP.

 SSLCACertificateFile "conf/ssl.crt/company-ca.crt"
<Каталог "/usr/local/apache2/htdocs">
    # За пределами подзоны предоставляется доступ только к Интранету
    Требовать IP 192.168.1.0/24

<Каталог "/usr/local/apache2/htdocs/subarea">
    # Внутри подзоны разрешен любой доступ в Интранет
    # а из интернета только HTTPS + Strong-Cipher + Password
    # или альтернативный HTTPS + Strong-Cipher + Client-Certificate
    
    # Если используется HTTPS, убедитесь, что используется надежный шифр.
    # Дополнительно разрешить клиентские сертификаты в качестве альтернативы базовой аутентификации. 192\.168\.1\.[0-9]+$"
    RewriteCond "%{HTTPS}" "!=on"
    Правило перезаписи "." "-" [Ф]
    
    # Разрешить доступ к сети и/или базовую аутентификацию
    Удовлетворить любой
    
    # Контроль доступа к сети
    Требовать ip 192.168.1.0/24
    
    # Базовая HTTP-аутентификация
    Основной тип авторизации
    AuthName "Защищенная область интрасети"
    Файл AuthBasicProvider
    AuthUserFile "conf/protected.passwd"
    Требовать действительного пользователя
 

mod_ssl может регистрировать чрезвычайно подробную отладочную информацию в журнал ошибок, когда его LogLevel установить более высокие уровни трассировки. С другой стороны, на очень загруженном сервере уровень информация может быть уже слишком много. Помните, что вы можете настроить LogLevel на модуль для удовлетворить ваши потребности.

Примечание:
Это не раздел вопросов и ответов. Комментарии, размещенные здесь, должны указывать на предложения по улучшению документации или сервера и могут быть удалены нашими модераторами, если они либо реализованы, либо считаются недействительными/не по теме. Вопросы о том, как управлять HTTP-сервером Apache, следует направлять либо на наш IRC-канал #httpd, на Libera.chat, либо в наши списки рассылки.

Установка CSR и SSL (OpenSSL)

Создайте CSR с помощью OpenSSL и установите сертификат SSL на свой сервер Apache

Используйте инструкции на этой странице, чтобы использовать OpenSSL для создания запроса на подпись сертификата (CSR), а затем для установки сертификата SSL на сервере Apache.

Перезапуск Примечание: После того, как вы установили свой сертификат SSL/TLS и настроили сервер для его использования, вы должны перезапустить свой экземпляр Apache.

Инструкции по Ubuntu см. в разделе Ubuntu Server с Apache2: создание CSR и установка SSL-сертификата (OpenSSL). Инструкции для других ОС/платформ см. в разделе Создание CSR (запрос на подпись сертификата).

Вы можете использовать эти инструкции для создания CSR OpenSSL и установки всех типов SSL-сертификатов DigiCert на вашем сервере Apache: Standard SSL, EV SSL, Multi-Domain SSL, EV Multi-Domain SSL и Wildcard SSL.

1. Чтобы создать запрос на подпись сертификата (CSR), см. Apache: Создание CSR с помощью OpenSSL.

   Для учебника на испанском языке посетите страницу Apache Crear CSR.

2. Чтобы установить сертификат SSL, см. раздел Apache: установка и настройка сертификата SSL.

   Посетите новые инструкции на испанском языке для Apache Instalar Certificado SSL.

I. Apache: создание CSR с помощью OpenSSL

Используйте инструкции в этом разделе, чтобы создать свои собственные команды оболочки для создания CSR Apache с OpenSSL.

Рекомендовано:  Сэкономьте время. Используйте мастер DigiCert OpenSSL CSR, чтобы сгенерировать команду OpenSSL для создания CSR Apache. Просто заполните форму, нажмите Сгенерируйте , а затем вставьте настроенную команду OpenSSL в свой терминал.

Как создать CSR для Apache с помощью OpenSSL

Если вы предпочитаете создавать собственные команды оболочки для создания CSR Apache, следуйте приведенным ниже инструкциям.

1. Войдите на свой сервер через терминальный клиент (ssh).

2. Команда запуска

   В командной строке введите следующую команду:

   Примечание. Обязательно замените server на имя вашего сервера.

     openssl req –new –newkey rsa:2048 –nodes –keyout server. key –out server.csr 
    

3. Создать файлы

   1. Теперь вы начали процесс создания следующих двух файлов:

      • Файл закрытого ключа : используется для создания CSR, а затем для защиты и проверки соединений с использованием сертификата.
      • Файл запроса на подпись сертификата (CSR) : используется для заказа сертификата SSL, а затем для шифрования сообщений, которые может расшифровать только его соответствующий закрытый ключ.

   2. При появлении запроса  Common Name  (имя домена) введите полное доменное имя (FQDN) для сайта, который вы собираетесь защитить.

      Примечание. Если вы создаете CSR Apache для сертификата Wildcard, убедитесь, что ваше обычное имя начинается со звездочки (например, *.example.com ).

   3. При появлении запроса введите информацию об организации, начиная с географической информации.

      Примечание. Возможно, вы уже настроили информацию по умолчанию.

   4. Теперь ваш файл OpenSSL . csr создан.

4. Закажите сертификат SSL/TLS

   1. Откройте созданный файл .csr в текстовом редакторе.

   2. Скопируйте текст, включая теги ——BEGIN NEW CERTIFICATE REQUEST—— и ——END NEW CERTIFICATE REQUEST—— , и вставьте его в форму заказа DigiCert.

5. Сохранить закрытый ключ

   Сохраните (создайте резервную копию) созданного файла . key. Он понадобится вам позже, чтобы установить сертификат SSL.

6. Установить сертификат

   После того, как вы получили сертификат SSL от DigiCert, вы можете установить его на свой сервер.

II. Apache: установка и настройка SSL-сертификата

Если вам по-прежнему нужно создать запрос на подпись сертификата (CSR) и заказать сертификат, см. статью Apache: создание CSR с помощью OpenSSL.

После того, как мы проверим и выдадим ваш SSL-сертификат, вы можете установить его на свой сервер Apache (где был создан CSR) и настроить сервер для использования сертификата.

Как установить и настроить сертификат SSL на сервере Apache

1. Скопируйте файлы сертификатов на свой сервер.

   1. Войдите в свою учетную запись DigiCert и загрузите файлы промежуточного (DigiCertCA.crt) и основного сертификата ( your_domain_name.crt ).

   2. Скопируйте эти файлы вместе с файлом .key, который вы создали при создании CSR, в каталог на сервере, где вы храните сертификат и файлы ключей.

      Примечание. Сделайте их доступными для чтения только пользователю root для повышения безопасности.

2. Найдите файл конфигурации Apache (httpd. conf), который нужно отредактировать.

   Расположение и имя файла конфигурации могут различаться от сервера к серверу, особенно если вы используете специальный интерфейс для управления конфигурацией сервера.

   • Основной файл конфигурации Apache обычно называется httpd.conf или apache2.conf . Возможные местоположения для этого файла включают /etc/httpd/ или /etc/apache2/. Полный список макетов установки по умолчанию для Apache HTTPD в различных операционных системах и дистрибутивах см. в Httpd Wiki — DistrosDefaultLayout.

   • Часто конфигурация SSL-сертификата находится в блоке в другом файле конфигурации. Файлы конфигурации могут находиться в каталоге, таком как /etc/httpd/vhosts.d/, /etc/httpd/sites/, или в файле с именем httpd-ssl.conf .

   Один из способов найти конфигурацию SSL в дистрибутивах Linux — выполнить поиск с помощью grep, как показано в примере ниже.

   Выполните следующую команду:

     grep -i -r "SSLCertificateFile" /etc/httpd/ 
    

   Примечание: Обязательно замените /etc/httpd/ базовым каталогом для вашей установки Apache.

3. Определите блок SSL , который необходимо настроить.

   Если ваш сайт должен быть доступен как через безопасное (https), так и через незащищенное (http) соединение, вам нужен виртуальный хост для каждого типа соединения. Сделайте копию существующего незащищенного виртуального хоста и настройте его для SSL, как описано в шаге 4.

   Если к вашему сайту нужен только безопасный доступ, настройте существующий виртуальный хост для SSL, как описано в шаге 4.

4. Настройте блок для сайта с поддержкой SSL

   1. Ниже приведен очень простой пример виртуального хоста, настроенного для SSL. Части, перечисленные синим цветом, — это части, которые необходимо добавить для настройки SSL.

        <Виртуальный хост 192.168.0.1:443>
          Корень документа /var/www/html2
          Имя сервера www.yourdomain.com
              SSLEngine включен
              SSLCertificateFile /path/to/your_domain_name.crt
              SSLCertificateKeyFile /path/to/your_private.key
              SSLCertificateChainFile /path/to/DigiCertCA.crt
            

   2. Убедитесь, что имена файлов соответствуют вашим файлам сертификатов.

      • SSLCertificateFile — это ваш файл сертификата DigiCert (например, your_domain_name.crt ).

      • SSLCertificateKeyFile — это файл . key, сгенерированный при создании CSR (например, your_private.key ).

      • SSLCertificateChainFile — файл промежуточного сертификата DigiCert (например, DigiCertCA.crt )

        Примечание: Если директива SSLCertificateChainFile не работает, попробуйте вместо нее использовать директиву SSLCACertificateFile.

5. Проверьте файл конфигурации Apache перед перезапуском.

   Перед перезапуском Apache рекомендуется проверить файл конфигурации Apache на наличие ошибок.

   Внимание! Apache больше не запустится, если в файлах конфигурации есть синтаксические ошибки.

   Выполните следующую команду, чтобы проверить файл конфигурации (в некоторых системах это apache2ctl ):

     конфигурационный тест апачектл  

6. Перезапустите Apache.

   Вы можете использовать команды apachectl для остановки и запуска Apache с поддержкой SSL.

     апачек стоп 
     апачектл старт  

   Перезапуск Примечания:

   Если Apache не перезапускается с поддержкой SSL, попробуйте использовать apachectl startupsl вместо apachectl start . Если поддержка SSL загружается только с apachectl startupsl , мы рекомендуем изменить конфигурацию запуска apache, включив поддержку SSL в обычную команду apachectl start . В противном случае ваш сервер может потребовать ручного перезапуска Apache с помощью apachectl запускает sl в случае перезагрузки сервера. Обычно это включает удаление тегов и , которые окружают вашу конфигурацию SSL.

7. Поздравляем! Вы успешно установили свой SSL-сертификат.

Проверка установки сертификата SSL/TLS

1. Тест браузера

   1. Для достижения наилучших результатов обязательно сначала закройте веб-браузер, а затем снова запустите его.

   2. Посетите свой сайт с безопасным URL-адресом https (т. е. перейдите на https://www.example.com вместо http://www.example.com ).

   3. Обязательно протестируйте свой сайт не только в Internet Explorer. IE загружает отсутствующие промежуточные сертификаты; тогда как другие браузеры выдают ошибку, если все сертификаты в цепочке сертификатов установлены неправильно.

2. DigiCert ^® Средство диагностики установки SSL

   Если ваш сайт общедоступен, используйте наш тестер сертификатов сервера, чтобы проверить установку сертификата SSL/TLS; он обнаруживает распространенные проблемы установки.

Поиск и устранение неисправностей

1. Если ваш веб-сайт общедоступен, наш инструмент проверки SSL-сертификатов может помочь вам диагностировать распространенные проблемы.

2. Если вы получили предупреждение «не доверено», просмотрите сведения о сертификате, чтобы убедиться, что это именно тот сертификат, который вы ожидаете. Проверьте Субъект , Эмитент и Действителен до полей.

   1. Если это тот сертификат, который вы ожидаете, и сертификат SSL выдан DigiCert, то ваш SSLCertificateChainFile настроен неправильно.

   2. Если вы не видите ожидаемый сертификат, возможно, у вас есть другой SSL блок перед тем, который вы недавно настроили.

      Виртуальные хосты на основе имени невозможны с https, если вы не используете один и тот же сертификат для всех виртуальных хостов (например, подстановочный знак или многодоменный SSL-сертификат ).

      Это не ограничение Apache, а ограничение протокола SSL. Apache должен отправить сертификат во время рукопожатия SSL, прежде чем он получит HTTP-запрос, содержащий заголовок Host. Поэтому Apache всегда отправляет SSLCertificateFile из первого блока , который соответствует IP-адресу и порту запроса.

3. Чтобы получить помощь по переносу сертификатов на дополнительные серверы или между серверными платформами, см. наши инструкции по экспорту OpenSSL.

4. Если вам нужно отключить совместимость с SSL версии 2, чтобы соответствовать требованиям PCI Compliance, добавьте следующую директиву в файл конфигурации Apache:

     SSLCipherSuite ВЫСОКИЙ:+СРЕДНИЙ:!SSLv2:!EXP:!ADH:!aNULL:!eNULL:!NULL  

   Если директива уже существует, вам может потребоваться изменить ее, чтобы отключить SSL версии 2.

5. Инструкции по устранению распространенных ошибок и дополнительные советы см. в разделе Устранение ошибок SSL-сертификата Apache.

Конфигурация сервера Apache

Для получения информации о конфигурациях сервера Apache, которые могут усилить вашу среду SSL, см. следующие ресурсы:

• Инструкции по отключению протокола SSL v3 см. в разделе Apache: отключение протокола SSL v3.

• Сведения о включении полной секретности пересылки см. в разделе Включение совершенной секретности пересылки.

Как выполнить настройку SSL-сертификата Apache

Давайте защитим Apache с помощью SSL/TLS-сертификата.

После внедрения сертификата настроенный домен/IP-адрес будет доступен через HTTPS.

Начнем.

На высоком уровне мы сделаем следующее.

• Компиляция Apache HTTP 2.4.5 с модулем SSL
• Получить сертификат SSL
• Настройте Apache для поддержки SSL

Установите Apache с SSL из источника

Чтобы настроить SSL, Apache HTTP должен быть скомпилирован с mod_ssl. Я буду использовать виртуальную машину CentOS 7 от Digital Ocean, чтобы продемонстрировать это.

• Войдите на сервер Linux с правами root и загрузите последнюю версию Apache
.

 wget http://www-us.apache.org/dist//httpd/httpd-2.4.25.tar.gz. 

Примечание : последнюю версию можно найти здесь.

• Извлечение с помощью команды gunzip

 gunzip -c httpd-2.4.25.tar.gz | tar xvf - 

• У вас будет новая папка « httpd-2.4.25 »
• Войдите внутрь и выполните следующую команду конфигурации

 ./configure --enable-ssl --enable-so 

Примечание . Если вы делаете это на совершенно новом сервере, у вас могут возникнуть проблемы, связанные с APR, PCRE, OpenSSL, и вы можете обратиться к устранению неполадок. руководство.

Убедитесь, что вы не получили никаких ошибок от приведенной выше команды configure, а затем вам нужно выполнить установку с помощью команд make.

 марка
make install 

Как обычно, убедитесь, что приведенные выше команды не привели к ошибкам. Это означает, что у вас установлено веб-сервер Apache с поддержкой SSL.

Получение сертификата SSL

Существует несколько способов создания и получения сертификата SSL, подписанного центром сертификации.

Если вы хотите внедрить SSL на веб-сервере интрасети, то в большинстве организаций есть внутренняя группа по выпуску сертификатов, поэтому вам следует проконсультироваться с ними. Но вам все равно нужно сгенерировать CSR (запрос на подпись сертификата), и вы можете сделать это с помощью OpenSSL.

Однако, если вы хотите получить URL-адрес с выходом в Интернет , то вы можете либо купить сертификат у VeriSign, GoDaddy, Namecheap, ZeroSSL и т. д., либо получить БЕСПЛАТНЫЙ сертификат от Let’s Encrypt.

Let’s Encrypt — это совместный проект Linux Foundation, который предлагает БЕСПЛАТНЫЙ сертификат SSL/TLS . Я буду использовать Let’s Encrypt, чтобы получить один сертификат для своего домена — Chandan.io

Существует несколько способов создания CSR, но самый простой , который я нашел, — это использование онлайн-инструмента «SSL For FREE».

Введите URL-адрес, который вы хотите защитить.

Подтвердите право собственности на домен одним из перечисленных способов и загрузите файлы сертификата домена.

Вы получите три файла, которые мы будем использовать для настройки веб-сервера Apache.

1. ключ — это ваш ключевой файл, и его нельзя никому публиковать
Сертификат
2. — актуальный SSL-сертификат для вашего домена
.
3. Ca_bundle — корневой/промежуточный сертификат подписывающей стороны

Передайте загруженный файл на веб-сервер. Они нам скоро понадобятся.

Конфигурация Apache SSL

И последним шагом будет настройка Apache, чтобы он мог обслуживать запросы через HTTPS.

• Войдите на веб-сервер Apache
• Сделайте резервную копию файла httpd. conf (расположение по умолчанию /usr/local/apache2/conf/)
• Откройте файл в редакторе vi и убедитесь, что модуль mod_ssl и httpd-ssl.conf существуют и не закомментированы

 LoadModule модули ssl_module/mod_ssl.so
Включите conf/extra/httpd-ssl.conf 

Мы будем использовать файл httpd-ssl.conf для настройки деталей сертификата. Есть следующее, что вам нужно, чтобы убедиться, что он имеет правильные параметры.

1. SSLCertificateFile — путь к файлу сертификата CRT, который вы скачали ранее
2. SSLCertificateKeyFile — путь к файлу закрытого ключа
3. SSLCertificateChainFile — путь к файлу ca_bundle.crt

Совет : вы можете создать новую папку с именем «ssl» и хранить в ней все файлы, связанные с сертификатом.

• При необходимости сделайте резервную копию и используйте редактор vi для изменения файла.

 SSLCertificateFile "/usr/local/apache2/conf/ssl/certificate. crt"
SSLCertificateChainFile "/usr/local/apache2/conf/ssl/ca_bundle.crt"
SSLCertificateKeyFile "/usr/local/apache2/conf/ssl/private.key" 

Далее необходимо настроить директиву « ServerName ». Обычно это ваш домен/URL-имя

 ServerName chandan.io 

• Сохраните файл и перезапустите веб-сервер Apache

 cd /usr/local/apache2/bin
./apachectl остановить
./apachectl start 

И, наконец, вы должны убедиться, что ваш домен сопоставлен с недавно настроенным IP-адресом веб-сервера. После этого попробуйте получить доступ к своему домену с помощью HTTPS.

И, как вы можете видеть, Chandan.io доступен через https с сертификатом, который я настроил.

Вышеуказанные шаги необходимы для настройки SSL-сертификата, и вы должны дополнительно настроить SSL, чтобы сделать его более надежным и безопасным, как я объяснил здесь. Перед запуском вы также можете протестировать SSL/TLS вашего веб-сервера, чтобы убедиться, что он не подвержен распространенным уязвимостям безопасности.