تكوين أباتشي مع شهادة TLS / SSL ذاتية التوقيع على أوبونتو 16.04

تضيف طبقة المقابس الآمنة (SSL) و TLS (طبقة المقابس الآمنة / طبقة النقل الآمنة) طبقة التشفير بين العميل والخادم. بدون هذه التقنية ، يتم إرسال البيانات إلى الخادم بنص عادي ، مما يسمح للأطراف الثالثة بقراءة جميع المعلومات المرسلة والمستلمة من قبل الخادم الخاص بك.

سيعلمك هذا البرنامج التعليمي كيفية إنشاء شهادة SSL / TLS وتنشيطها على Apache 2.4 على Ubuntu 16.04. أفترض أن أباتشي تم إعداده وتشغيله بالفعل. إذا كنت تريد معرفة كيفية تثبيت مكدس LAMP ، فراجع مستند Vultr هذا .

انتباه

عادةً ما يتم إنشاء شهادات SSL / TLS بواسطة مرجع مصدق موثوق به (المرجع المصدق). من خلال إنشائها بنفسك ، ستكون الموقع ، مما يعني أن المتصفح لن يتمكن من التحقق مما إذا كان يجب الوثوق بهوية الشهادة ، وسوف يحذر المستخدم. على الرغم من أنه من الممكن تجاوز هذا التنبيه ، يجب أن تستخدم المواقع التي تواجه الجمهور شهادة موقعة من مرجع مصدق موثوق به. Let's encrypt هو مرجع مصدق يقدم شهادات مجانًا. يمكنك معرفة كيفية تثبيت شهادتهم في Apache و Ubuntu 16.04 هنا .

بالنسبة للتطبيقات الداخلية ، قد يكون استخدام شهادة موقعة ذاتيًا صالحًا ، خاصة إذا لم يكن لديك اسم مجال.


الخطوة 1: إنشاء الشهادة

  1. أولاً ، لنقم بإنشاء مكان لتخزين الملف.

    mkdir ~/certificates
    cd ~/certificates
    
  2. إنشاء CSR والمفتاح الخاص.

    openssl req -x509 -newkey rsa:4096 -keyout apache.key -out apache.crt -days 365 -nodes
    

    ستطلب معلومات لطلب الشهادة. أكمل بالمعلومات المناسبة.

    Country Name (2 letter code) [AU]: US
    State or Province Name (full name) [Some-State]: FL
    Locality Name (eg, city) []: Miami
    Organization Name (eg, company) [My Company]: My Company
    Organizational Unit Name (eg, section) []:
    

    يجب أن يكون الاسم الشائع هو اسم المجال الخاص بك أو عنوان IP للملقم. أيضا ، املأ بريدك الإلكتروني.

    Common Name (e.g. server FQDN or YOUR name) []: 203.0.113.122
    Email Address []:[email protected]
    
  3. الآن ، انقل الشهادة إلى مجلد تكوين Apache.

    mkdir /etc/apache2/ssl
    mv ~/certificates/* /etc/apache2/ssl/.
    
  4. الشهادة جاهزة! بعد ذلك ، سنقوم بإعداد Apache للعمل مع الشهادة.

الخطوة 2: تكوين جدار الحماية

  1. علينا التأكد من أن منفذ TCP 443 مفتوح. يتم استخدام هذا المنفذ في اتصالات SSL بدلاً من المنفذ 80. في هذا البرنامج التعليمي ، سنستخدم UFW.

  2. تأكد من تمكين UFW.

    sudo ufw enable
    
  3. الآن اسمح بإعدادات Apache المحددة مسبقًا لجدار الحماية.

    sudo ufw allow 'Apache Full'
    
  4. من خلال كتابة " sudo ufw status" ، يمكنك رؤية قائمة بالقواعد الحالية. يجب أن يشبه التكوين الخاص بك هذا:

    To                         Action      From
    --                         ------      ----
    Apache Full                ALLOW       Anywhere
    OpenSSH                    ALLOW       Anywhere
    Apache Full (v6)           ALLOW       Anywhere (v6)
    OpenSSH (v6)               ALLOW       Anywhere (v6)
    
  5. يجب عليك أيضًا السماح لـ OpenSSH هنا للاتصالات المستقبلية.

    sudo ufw allow 'OpenSSH'
    

الخطوة 3: تكوين مضيف Apache الظاهري

  1. انتقل إلى دليل تكوين موقع Apache الافتراضي.

    sudo nano /etc/apache2/sites-available/default-ssl.conf
    
  2. يخبر هذا الملف الخادم بمكان البحث عن شهادة SSL. بعد إزالة التعليقات ، يجب أن تبدو كالتهيئة التالية.

    <IfModule mod_ssl.c>
      <VirtualHost _default_:443>
       ServerAdmin webmaster@localhost
    
       DocumentRoot /var/www/html
    
       ErrorLog ${APACHE_LOG_DIR}/error.log
       CustomLog ${APACHE_LOG_DIR}/access.log combined
    
       SSLEngine on
    
       SSLCertificateFile    /etc/ssl/certs/ssl-cert-snakeoil.pem
       SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
    
       <FilesMatch "\.(cgi|shtml|phtml|php)$">
        SSLOptions +StdEnvVars
       </FilesMatch>
       <Directory /usr/lib/cgi-bin>
        SSLOptions +StdEnvVars
       </Directory>
    
     </VirtualHost>
    </IfModule>
    
  3. تحرير هذا الخط:

    ServerAdmin [email protected]
    
  4. أضف هذا مباشرة أسفل ServerAdminالخط:

    ServerName ADD_YOUR_IP_OR_DOMAIN_NAME_HERE
    
  5. الآن ، قم بتعديل هذه الأسطر من خلال موقع الشهادة الخاص بنا:

    SSLCertificateFile    /etc/apache2/ssl/apache.crt
    SSLCertificateKeyFile /etc/apache2/ssl/apache.key
    
  6. يجب أن يشبه ملفنا النهائي هذا:

    <IfModule mod_ssl.c>
     <VirtualHost _default_:443>
      ServerAdmin [email protected]
      ServerName 203.0.113.122
    
      DocumentRoot /var/www/html
    
      ErrorLog ${APACHE_LOG_DIR}/error.log
      CustomLog ${APACHE_LOG_DIR}/access.log combined
    
      SSLEngine on
    
      SSLCertificateFile    /etc/apache2/ssl/apache.crt
      SSLCertificateKeyFile /etc/apache2/ssl/apache.key
    
      <FilesMatch "\.(cgi|shtml|phtml|php)$">
       SSLOptions +StdEnvVars
      </FilesMatch>
      <Directory /usr/lib/cgi-bin>
       SSLOptions +StdEnvVars
      </Directory>
    
     </VirtualHost>
    </IfModule>
    
  7. أحفظ وأغلق الملف.

الخطوة 4: تمكين وحدة Apache SSL

  1. قم بتمكين وحدة SSL بكتابة:

    sudo a2enmod ssl
    
  2. الآن قم بتمكين الموقع الذي قمنا بتحريره للتو:

    sudo a2ensite default-ssl.conf
    
  3. أعد تشغيل Apache:

    sudo service apache2 restart
    
  4. دعنا ندخل إلى الموقع الآمن الجديد! افتحها في متصفحك (تأكد من كتابة https: // ).

    https://YOUR_SERVER_IP
    

سيحذرك متصفحك من أن الشهادة غير صالحة ، كما توقعنا. يحدث هذا بسبب عدم توقيع الشهادة. اتبع الخطوات التي يقدمها متصفحك للمتابعة إلى موقعك.

الخطوة 5: إعادة توجيه كل حركة مرور HTTP إلى HTTPS (اختياري)

  1. افتح ملف مضيف Apache الافتراضي الافتراضي:

    nano /etc/apache2/sites-available/000-default.conf
    
  2. أضف هذا السطر داخل <VirtualHost *:80>العلامة:

    Redirect / https://YOUR_SERVER_IP_OR_DOMAIN/
    
  3. إعادة تحميل تكوين أباتشي:

    sudo service apache2 reload
    

سيتم الآن إعادة توجيه جميع زيارات موقع الويب تلقائيًا إلى HTTPS.



Leave a Comment

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

6 أشياء شديدة الجنون حول نينتندو سويتش

6 أشياء شديدة الجنون حول نينتندو سويتش

يعرف الكثير منكم أن Switch سيصدر في مارس 2017 وميزاته الجديدة. بالنسبة لأولئك الذين لا يعرفون ، قمنا بإعداد قائمة بالميزات التي تجعل "التبديل" "أداة لا غنى عنها".

وعود التكنولوجيا التي لم يتم الوفاء بها بعد

وعود التكنولوجيا التي لم يتم الوفاء بها بعد

هل تنتظر عمالقة التكنولوجيا للوفاء بوعودهم؟ تحقق من ما تبقى دون تسليم.

وظائف طبقات معمارية مرجعية للبيانات الضخمة

وظائف طبقات معمارية مرجعية للبيانات الضخمة

اقرأ المدونة لمعرفة الطبقات المختلفة في بنية البيانات الضخمة ووظائفها بأبسط طريقة.

كيف يمكن للذكاء الاصطناعي نقل أتمتة العمليات إلى المستوى التالي؟

كيف يمكن للذكاء الاصطناعي نقل أتمتة العمليات إلى المستوى التالي؟

اقرأ هذا لمعرفة مدى انتشار الذكاء الاصطناعي بين الشركات الصغيرة وكيف أنه يزيد من احتمالات نموها ومنح منافسيها القدرة على التفوق.

CAPTCHA: ما هي المدة التي يمكن أن تظل تقنية قابلة للتطبيق للتميز بين الإنسان والذكاء الاصطناعي؟

CAPTCHA: ما هي المدة التي يمكن أن تظل تقنية قابلة للتطبيق للتميز بين الإنسان والذكاء الاصطناعي؟

لقد أصبح حل CAPTCHA صعبًا جدًا على المستخدمين في السنوات القليلة الماضية. هل ستكون قادرة على أن تظل فعالة في اكتشاف البريد العشوائي والروبوتات في المستقبل القريب؟

التفرد التكنولوجي: مستقبل بعيد للحضارة الإنسانية؟

التفرد التكنولوجي: مستقبل بعيد للحضارة الإنسانية؟

مع تطور العلم بمعدل سريع ، واستلام الكثير من جهودنا ، تزداد أيضًا مخاطر تعريض أنفسنا إلى تفرد غير قابل للتفسير. اقرأ ، ماذا يمكن أن يعني التفرد بالنسبة لنا.

التطبيب عن بعد والرعاية الصحية عن بعد: المستقبل هنا

التطبيب عن بعد والرعاية الصحية عن بعد: المستقبل هنا

ما هو التطبيب عن بعد والرعاية الصحية عن بعد وأثره على الأجيال القادمة؟ هل هو مكان جيد أم لا في حالة الوباء؟ اقرأ المدونة لتجد طريقة عرض!

هل تساءلت يومًا كيف يربح المتسللون الأموال؟

هل تساءلت يومًا كيف يربح المتسللون الأموال؟

ربما سمعت أن المتسللين يكسبون الكثير من المال ، لكن هل تساءلت يومًا كيف يجنون هذا النوع من المال؟ دعنا نناقش.

يتسبب التحديث الإضافي لنظام macOS Catalina 10.15.4 في حدوث مشكلات أكثر من حلها

يتسبب التحديث الإضافي لنظام macOS Catalina 10.15.4 في حدوث مشكلات أكثر من حلها

أصدرت Apple مؤخرًا macOS Catalina 10.15.4 تحديثًا تكميليًا لإصلاح المشكلات ولكن يبدو أن التحديث يتسبب في المزيد من المشكلات التي تؤدي إلى إنشاء أجهزة macOS. قراءة هذه المادة لمعرفة المزيد