Jak nainstalovat certifikát SSL na Apache pro CentOS 7

Úvod

Certifikáty SSL jsou malé datové soubory, které potvrzují vlastnictví veřejného kryptografického klíče. Certifikační autority (CA) zaručují, že klíč patří organizaci, serveru nebo jiné entitě uvedené v certifikátu.

Když uživatel prostřednictvím svého prohlížeče vstoupí na certifikované webové stránky, informace jsou zašifrovány pomocí jedinečného veřejného klíče. Data lze dešifrovat pouze pomocí jedinečného soukromého klíče umístěný na hostitelském serveru. Tato vysoká úroveň šifrování zabraňuje neoprávněným pokusům o přístup k informacím.

V tomto kurzu se dozvíte, jak nainstalovat certifikát SSL na CentOS 7.

Předpoklady

• Uživatel s funkcí sudo privilegia
• Přístup k příkazovému řádku (Ctrl-Alt-T)
• Počítač CentOS 7
• Platný název domény s DNS namířeným na server

Jak získat certifikát SSL

Certifikáty lze získat několika způsoby:

1. Použití automatizované a bezplatné certifikační autority, jako je projekt Let’s Encrypt.
2. Komerční certifikační autority poskytují certifikáty za poplatek (Comodo, DigiCert, GoDaddy)
3. Alternativně je možné vytvořit certifikát s vlastním podpisem Tento typ certifikátu je užitečný pro testovací účely nebo pro použití ve vývojovém prostředí.

Pokud stále zvažujete, jaký typ certifikátu potřebujete nebo kterou CA zvolit, připravili jsme pro vás komplexního průvodce certifikáty SSL, soukromými klíči a CSR, který vám s tímto procesem pomůže.

Nainstalujte certifikát SSL pomocí Let’s Encrypt

Let’s Encrypt je bezplatná, otevřená a automatizovaná certifikační autorita. Používá certbot softwarový nástroj pro automatickou správu certifikátů.

Certbot je vysoce automatizovaný nástroj. Ujistěte se, že vaše instalace Apache je platná a že máte pro vaši doménu/domény nakonfigurovaného virtuálního hostitele. Pokud potřebujete pomoc s konfigurací firewallu a virtuálních hostitelů, měli byste si nejprve přečíst náš návod, jak nainstalovat Apache na CentOS 7.

Instalace Certbota

1. Pomocí příkazového terminálu nainstalujte EPEL úložiště a yum-utils :

sudo yum –y install epel-release yum-utils

2. Dále nainstalujte modul, který podporuje SSL pro Apache:

sudo yum -y install mod_ssl

V tomto příkladu je již k dispozici nejnovější verze modulu.

3. Nyní můžeme nainstalovat certbot pro Apache:

sudo yum –y install python-certbot-apache

4. Jakmile instalace proběhne, můžete zahájit proces získání certifikátu zadáním:

sudo certbot –apache –d yourdomain.com

Případně spusťte certbot zadáním:

sudo certbot

5. Klient vás požádá o poskytnutí e-mailové adresy a o přečtení a přijetí podmínek služeb. Certbot poté vypíše seznam domén dostupných na vašem serveru. Aktivujte HTTPS pro konkrétní domény nebo pro všechny tím, že ponecháte pole prázdné.

Další výzva vám umožní vynutit všechny požadavky na zabezpečený přístup HTTPS.

Jakmile provedete své volby, zpráva na terminálu potvrdí, že jste pro svou doménu povolili šifrování.

Automatické obnovení certifikátu

Certifikáty vydané Let’s Encrypt mají platnost 90 dní. Certbot obnovit příkaz zkontroluje nainstalované certifikáty a pokusí se je obnovit, pokud do vypršení jejich platnosti zbývá méně než 30 dní. Chcete-li tento proces automatizovat, vytvořte úlohu cron pro pravidelné provádění příkazu.

Pomocí svého preferovaného textového editoru definujte, jak často se má spouštět obnova příkaz:

sudo crontab -e

Zadejte tento řádek a uložte crontab:

* */12 * * * /usr/bin/certbot renew >/dev/null 2>&1

Jak nainstalovat certifikát SSL s Comodo

1. Prvním krokem je odeslání Žádosti o podpis certifikátu na certifikační autoritu. Náš podrobný průvodce, jak vygenerovat žádost o podpis certifikátu (CSR) pomocí OpenSSL, je vynikajícím zdrojem, pokud s tímto procesem potřebujete pomoc.

2. Jakmile CA potvrdí vaši žádost, obdržíte kopii vašeho certifikátu SSL. Nyní můžete nainstalovat certifikát na svůj server CentOS 7.

Tento příklad ukazuje, jak nainstalovat certifikát od placeného poskytovatele SSL, Comodo.

3. Jakmile Comodo ověří váš požadavek CSR, stáhněte si soubory SSL. Zkopírujte je (ComodoRSACA.crt ) a primární certifikát (vaše doména.crt ), do adresáře vašeho serveru Apache. Soukromý klíč vygenerované během procesu CSR (Certificate Signing Request) musí být na stejném serveru.

Konfigurace virtuálních hostitelů pro SSL

Poté, co úspěšně certifikujete doménu a umístíte soubory klíčů na server, bude dalším krokem konfigurace virtuálních hostitelů pro zobrazení certifikátu.

1. Otevřete konfigurační soubor SSL:

sudo nano /etc/httpd/conf.d/ssl.conf

2. Upravte konfigurační soubor tak, aby ukazoval na správné soubory na vašem serveru.

Odkomentujte následující řádky v sekci a zadejte správné cesty k souboru:

• DocumentRoot „/var/www/vasedomena.com“
• Název serveru vasedomena.com:443

• SSLEngine na
• SSLCertificateFile – Cesta k souboru vašeho certifikátu.
• SSLCertificateKeyFile – Cesta k souboru klíče.
• SSLCertificateChainFile – Zprostředkující soubor certifikátu COMODO.

3. Po provedení nezbytných změn ukončete soubor (Ctrl+X) a stiskněte y pro uložení změn.

4. Před restartováním otestujte konfiguraci Apache. Ujistěte se, že je syntaxe správná zadáním:

sudo apachectl configtest

5. Jakmile systém potvrdí, že je syntaxe správná, restartujte Apache:

sudo systemctl restart httpd

Nyní jste nastavili svůj server Apache tak, aby používal certifikát SSL.

Jak vytvořit certifikát SSL s vlastním podpisem

Certifikát s vlastním podpisem je užitečný pro testování, ve vývojových prostředích a na intranetu.

1. Stejně jako u Let’s Encrypt i zde mod_ssl Modul Apache poskytuje podporu pro šifrování SSL:

sudo yum –y install mod_ssl

2. Vytvořte nový adresář pro uložení soukromého klíče:

sudo mkdir /etc/ssl/privatekey

3. Omezte přístup k tomuto adresáři pouze na uživatele root:

sudo chmod 700 /etc/ssl/privatekey

4. Vygenerujte certifikát s vlastním podpisem pomocí tohoto příkazu OpenSSL:

sudo openssl req -x509 -new -newkey rsa:2048  -nodes -days 365 -keyout /etc/ssl/privatekey/ yourdomain.key -out /etc/ssl/certs/yourdomain.csr

Toto je podrobný přehled prvků:

• openssl – aktivuje software OpenSSL
• požadavek – označuje, že požadujeme CSR
• -x509 – určuje použití požadavku na podpis X.509
• -new -newkey – vygenerovat nový klíč
• rsa:2048 – vygenerovat 2048bitový matematický klíč RSA
• -uzly – žádné DES, což znamená, že nešifrujte soukromý klíč v souboru PKCS#12
• – dny 365– počet dní, po které je certifikát platný
• -keyout – označuje doménu, pro kterou generujete klíč
• -out – určuje název souboru, který obsahuje CSR

5. Systém spustí dotazník, který musíte vyplnit.

Zadejte své informace do dostupných polí:

• Název země – použijte 2písmenný kód země
• Stát – stát, ve kterém je vlastník domény zapsán
• Lokalita – město, kde je vlastník domény zapsán
• Název organizace – subjekt, který doménu vlastní
• Název organizační jednotky –oddělení nebo skupina ve vaší organizaci, která pracuje s certifikáty
• Obecné jméno – nejčastěji plně kvalifikovaný název domény (FQDN)
• E-mailová adresa – kontaktní e-mailová adresa
• Vyzvat heslo – definovat volitelné heslo pro váš pár klíčů

Obrázek představuje příklad dotazníku v CentOS 7.

6. Pokračujte v konfiguraci virtuálního hostitele pro zobrazení nového certifikátu. Proces je shodný s kroky popsanými v kapitole 2, Konfigurace virtuálních hostitelů pro SSL.

7. Před restartováním otestujte konfiguraci Apache. Chcete-li se ujistit, že je syntaxe správná, zadejte:

sudo apachectl configtest

8. Jakmile systém potvrdí, že je syntaxe správná, restartujte Apache:

sudo systemctl restart httpd

Nyní jste svůj server Apache nastavili tak, aby používal váš certifikát SSL s vlastním podpisem, a měli byste mít možnost navštěvovat váš web s povoleným SSL.

Jak zkontrolovat, zda je certifikát SSL platný?

Chcete-li zkontrolovat, zda je certifikát SSL platný, můžete použít veřejně dostupné služby, jako je Test serveru SSL. Potvrďte stav svého certifikátu a zkontrolujte, zda jsou všechny podrobnosti správné.

Případně přejděte na svůj web pomocí https:// abyste zjistili, zda je certifikát SSL viditelný. Zelený visací zámek označuje, že je přítomna další vrstva šifrování.