تكوين أباتشي مع شهادة TLS / SSL ذاتية التوقيع على أوبونتو 16.04

• انتباه
• الخطوة 1: إنشاء الشهادة
• الخطوة 2: تكوين جدار الحماية
• الخطوة 3: تكوين مضيف Apache الظاهري
• الخطوة 4: تمكين وحدة Apache SSL
• الخطوة 5: إعادة توجيه كل حركة مرور HTTP إلى HTTPS (اختياري)

تضيف طبقة المقابس الآمنة (SSL) و TLS (طبقة المقابس الآمنة / طبقة النقل الآمنة) طبقة التشفير بين العميل والخادم. بدون هذه التقنية ، يتم إرسال البيانات إلى الخادم بنص عادي ، مما يسمح للأطراف الثالثة بقراءة جميع المعلومات المرسلة والمستلمة من قبل الخادم الخاص بك.

سيعلمك هذا البرنامج التعليمي كيفية إنشاء شهادة SSL / TLS وتنشيطها على Apache 2.4 على Ubuntu 16.04. أفترض أن أباتشي تم إعداده وتشغيله بالفعل. إذا كنت تريد معرفة كيفية تثبيت مكدس LAMP ، فراجع مستند Vultr هذا .

انتباه

عادةً ما يتم إنشاء شهادات SSL / TLS بواسطة مرجع مصدق موثوق به (المرجع المصدق). من خلال إنشائها بنفسك ، ستكون الموقع ، مما يعني أن المتصفح لن يتمكن من التحقق مما إذا كان يجب الوثوق بهوية الشهادة ، وسوف يحذر المستخدم. على الرغم من أنه من الممكن تجاوز هذا التنبيه ، يجب أن تستخدم المواقع التي تواجه الجمهور شهادة موقعة من مرجع مصدق موثوق به. Let's encrypt هو مرجع مصدق يقدم شهادات مجانًا. يمكنك معرفة كيفية تثبيت شهادتهم في Apache و Ubuntu 16.04 هنا .

بالنسبة للتطبيقات الداخلية ، قد يكون استخدام شهادة موقعة ذاتيًا صالحًا ، خاصة إذا لم يكن لديك اسم مجال.

الخطوة 1: إنشاء الشهادة

1. أولاً ، لنقم بإنشاء مكان لتخزين الملف.

   mkdir ~/certificates
   cd ~/certificates
   

2. إنشاء CSR والمفتاح الخاص.

   openssl req -x509 -newkey rsa:4096 -keyout apache.key -out apache.crt -days 365 -nodes
   

   ستطلب معلومات لطلب الشهادة. أكمل بالمعلومات المناسبة.

   Country Name (2 letter code) [AU]: US
   State or Province Name (full name) [Some-State]: FL
   Locality Name (eg, city) []: Miami
   Organization Name (eg, company) [My Company]: My Company
   Organizational Unit Name (eg, section) []:
   

   يجب أن يكون الاسم الشائع هو اسم المجال الخاص بك أو عنوان IP للملقم. أيضا ، املأ بريدك الإلكتروني.

   Common Name (e.g. server FQDN or YOUR name) []: 203.0.113.122
   Email Address []:[email protected]
   

3. الآن ، انقل الشهادة إلى مجلد تكوين Apache.

   mkdir /etc/apache2/ssl
   mv ~/certificates/* /etc/apache2/ssl/.
   

4. الشهادة جاهزة! بعد ذلك ، سنقوم بإعداد Apache للعمل مع الشهادة.

الخطوة 2: تكوين جدار الحماية

1. علينا التأكد من أن منفذ TCP 443 مفتوح. يتم استخدام هذا المنفذ في اتصالات SSL بدلاً من المنفذ 80. في هذا البرنامج التعليمي ، سنستخدم UFW.

2. تأكد من تمكين UFW.

   sudo ufw enable
   

3. الآن اسمح بإعدادات Apache المحددة مسبقًا لجدار الحماية.

   sudo ufw allow 'Apache Full'
   

4. من خلال كتابة " sudo ufw status" ، يمكنك رؤية قائمة بالقواعد الحالية. يجب أن يشبه التكوين الخاص بك هذا:

   To                         Action      From
   --                         ------      ----
   Apache Full                ALLOW       Anywhere
   OpenSSH                    ALLOW       Anywhere
   Apache Full (v6)           ALLOW       Anywhere (v6)
   OpenSSH (v6)               ALLOW       Anywhere (v6)
   

5. يجب عليك أيضًا السماح لـ OpenSSH هنا للاتصالات المستقبلية.

   sudo ufw allow 'OpenSSH'
   

الخطوة 3: تكوين مضيف Apache الظاهري

1. انتقل إلى دليل تكوين موقع Apache الافتراضي.

   sudo nano /etc/apache2/sites-available/default-ssl.conf
   

2. يخبر هذا الملف الخادم بمكان البحث عن شهادة SSL. بعد إزالة التعليقات ، يجب أن تبدو كالتهيئة التالية.

   <IfModule mod_ssl.c>
     <VirtualHost _default_:443>
      ServerAdmin webmaster@localhost
   
      DocumentRoot /var/www/html
   
      ErrorLog ${APACHE_LOG_DIR}/error.log
      CustomLog ${APACHE_LOG_DIR}/access.log combined
   
      SSLEngine on
   
      SSLCertificateFile    /etc/ssl/certs/ssl-cert-snakeoil.pem
      SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
   
      <FilesMatch "\.(cgi|shtml|phtml|php)$">
       SSLOptions +StdEnvVars
      </FilesMatch>
      <Directory /usr/lib/cgi-bin>
       SSLOptions +StdEnvVars
      </Directory>
   
    </VirtualHost>
   </IfModule>
   

3. تحرير هذا الخط:

   ServerAdmin [email protected]
   

4. أضف هذا مباشرة أسفل ServerAdminالخط:

   ServerName ADD_YOUR_IP_OR_DOMAIN_NAME_HERE
   

5. الآن ، قم بتعديل هذه الأسطر من خلال موقع الشهادة الخاص بنا:

   SSLCertificateFile    /etc/apache2/ssl/apache.crt
   SSLCertificateKeyFile /etc/apache2/ssl/apache.key
   

6. يجب أن يشبه ملفنا النهائي هذا:

   <IfModule mod_ssl.c>
    <VirtualHost _default_:443>
     ServerAdmin [email protected]
     ServerName 203.0.113.122
   
     DocumentRoot /var/www/html
   
     ErrorLog ${APACHE_LOG_DIR}/error.log
     CustomLog ${APACHE_LOG_DIR}/access.log combined
   
     SSLEngine on
   
     SSLCertificateFile    /etc/apache2/ssl/apache.crt
     SSLCertificateKeyFile /etc/apache2/ssl/apache.key
   
     <FilesMatch "\.(cgi|shtml|phtml|php)$">
      SSLOptions +StdEnvVars
     </FilesMatch>
     <Directory /usr/lib/cgi-bin>
      SSLOptions +StdEnvVars
     </Directory>
   
    </VirtualHost>
   </IfModule>
   

7. أحفظ وأغلق الملف.

الخطوة 4: تمكين وحدة Apache SSL

1. قم بتمكين وحدة SSL بكتابة:

   sudo a2enmod ssl
   

2. الآن قم بتمكين الموقع الذي قمنا بتحريره للتو:

   sudo a2ensite default-ssl.conf
   

3. أعد تشغيل Apache:

   sudo service apache2 restart
   

4. دعنا ندخل إلى الموقع الآمن الجديد! افتحها في متصفحك (تأكد من كتابة https: // ).

   https://YOUR_SERVER_IP
   

سيحذرك متصفحك من أن الشهادة غير صالحة ، كما توقعنا. يحدث هذا بسبب عدم توقيع الشهادة. اتبع الخطوات التي يقدمها متصفحك للمتابعة إلى موقعك.

الخطوة 5: إعادة توجيه كل حركة مرور HTTP إلى HTTPS (اختياري)

1. افتح ملف مضيف Apache الافتراضي الافتراضي:

   nano /etc/apache2/sites-available/000-default.conf
   

2. أضف هذا السطر داخل <VirtualHost *:80>العلامة:

   Redirect / https://YOUR_SERVER_IP_OR_DOMAIN/
   

3. إعادة تحميل تكوين أباتشي:

   sudo service apache2 reload
   

سيتم الآن إعادة توجيه جميع زيارات موقع الويب تلقائيًا إلى HTTPS.