Apache Modul mod_ssl je k dispozici k instalaci pro získání podpory SSL na našem HTTP serveru. Zde vám dáme vědět, jak povolit mod_ssl &mod_http2 pro webový server Apache na Almalinux nebo Rocky Linux 8 (založené na RHEL).
Chcete-li získat podporu SSL v3 a TLS v1.x na Apache, je zde tento článek, který vám pomůže vygenerovat požadovaný certifikát SSL včetně přidruženého soukromého klíče.
Kroky k instalaci mod_ssl na Almalinux 8 / Rocky Linux 8
Nainstalujte webový server Apache
První věc, kterou musíte mít na svém Linuxu, je funkční webový server Apache. Lze jej nainstalovat pomocí jediného příkazu, tj.:
sudo dnf install httpd
Pokud se o tom chcete dozvědět více, můžete se podívat na náš tutoriál – Konfigurace webového serveru Apache na serveru AlmaLinux nebo Rocky Linux 8
Nainstalujte mod_ssl na Rocky nebo AlmaLinux
Jakmile budete mít webový server Apache, můžeme snadno nainstalovatmode_ssl modul používající správce balíčků DNF, protože je dostupný prostřednictvím výchozího úložiště těchto linuxových systémů založených na RHEL:
sudo dnf install mod_ssl
Povolte mod_ssl na Rocky Linux nebo AlmaLinux 8
Pomocí výše uvedeného příkazu se modul za pár sekund nainstaluje na váš server, ale musíme jej povolit. Za tímto účelem jednoduše restartujte webový server httpd/Apache. Aby to mohlo rozpoznat totéž.
sudo systemctl restart httpd
Po restartování vašeho webového serveru potvrďte, že mod_SSL byl úspěšně povolen pro Apache.
apachectl -M | grep ssl
Výstup bude:
ssl_module (shared)
Otevřete port 443 ve bráně firewall pro Apache
Protože protokol SSL (HTTPS) běží na portu 443, a proto k němu chceme přistupovat mimo server, musíme jej nejprve otevřít ve firewallu Almalinux nebo Rocky Linux 8.
sudo firewall-cmd --add-service={http,https} --permanent sudo firewall-cmd --reload
Nyní budete mít přístup k testovací stránce webového serveru Apache nebo k jakékoli aktivní běžící webové stránce pomocí https
protokol, ale s upozorněním na certifikát.
Přidejte zakoupený certifikát SSL nebo vygenerujte certifikát s vlastním podpisem
Nyní existují dva scénáře, jeden je ten, že jste zakoupili certifikát SSL od nějaké třetí strany a máte dva soubory s příponou – .CRT a .Key. Pokud již certifikát SSL máte, přidejte jej do /etc/httpd/conf.d/ssl.conf
.
Vzhledem k tomu , druhý scénář je, že nemáte certifikát SSL a chcete si vygenerovat certifikát s vlastním podpisem, který budete používat alespoň pro místní použití pomocí OpenSSL.
Poznámka :můžete nahradit server text v níže uvedeném příkazu s čímkoli, co chcete snadno identifikovat klíče.
sudo openssl req -newkey rsa:2048 -nodes -keyout /etc/pki/tls/private/server.key -x509 -days 365 -out /etc/pki/tls/certs/server.crt
Po provedení výše uvedeného příkazu budete mít dva soubory SSL:
SSLCertificateFile /etc/pki/tls/certs/server.crt SSLCertificateKeyFile /etc/pki/tls/private/server.key
——————————————————————————————————-
Nyní upravte konfigurační soubor SSL
sudo nano /etc/httpd/conf.d/ssl.conf
a nahraďte jej následujícími dvěma cestami k souboru buď s SSL certifikátem, který jste si zakoupili nebo vygenerované vámi pomocí výše uvedeného příkazu.
SSLCertificateFile /etc/pki/tls/certs/localhost.crt SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
Předpokládám, že chcete použít certifikát, který si sami vygenerovali
SSLCertificateFile /etc/pki/tls/certs/localhost.crt #with SSLCertificateFile /etc/pki/tls/certs/server.crt #And SSLCertificateKeyFile /etc/pki/tls/private/localhost.key #with SSLCertificateKeyFile /etc/pki/tls/private/server.key
Uložit soubor stisknutím Ctrl+O a stisknutím klávesy Enter klávesou Ctrl+X soubor ukončíte .
Snímek obrazovky :
Restartujte webový server:
sudo systemctl reload httpd
Nyní budete mít přístup k webovému serveru provozujícímu webové stránky přes protokol HTTPS SSL:
Přesměrujte veškerý provoz http na https
Ti, kteří chtějí ve výchozím nastavení přesměrovat veškerý svůj http (port80) provoz na https (443), mohou vytvořit konfigurační soubor přesměrování:
sudo nano /etc/httpd/conf.d/redirect_http.conf
Zkopírujte a vložte následující řádek a změňte doménu webu nebo adresu URL
<VirtualHost _default_:80> Servername you-server Redirect permanent / https://yourserver.com/ </VirtualHost>
Uložte soubor stisknutím Ctrl+O a stisknutím klávesy Enter klávesou Ctrl+X soubor ukončíte .
Aby se změny projevily, znovu načtěte webový server:
sudo systemctl reload httpd
Nyní všechny http provoz bude přesměrován na HTTPS povolením mod_ssl na AlmaLinux nebo Rocky Linux 8; je však třeba mít na paměti u samovygenerovaného certifikátu se bude stále zobrazovat chyba certifikátu. Je to proto, že certifikátům podepsaným svým držitelem nedůvěřují prohlížeče, protože jste je vygenerovali vy, nikoli CA (Certifikační autorita, entita, která vydává digitální certifikáty).