پیکربندی Apache با گواهی TLS / SSL خود امضا شده در اوبونتو 16.04

• توجه
• مرحله 1: تولید گواهی
• مرحله 2: پیکربندی فایروال
• مرحله 3: پیکربندی میزبان مجازی Apache
• مرحله 4: فعال کردن ماژول Apache SSL
• مرحله 5: هدایت کلیه ترافیک HTTP به HTTPS (اختیاری)

SSL و TLS جانشین آن (Secure Sockets Layer / Transport Layer Security) لایه ای از رمزگذاری را بین مشتری و سرور اضافه می کنند. بدون این فناوری ، داده ها با متن ساده به سرور ارسال می شوند و به اشخاص ثالث اجازه می دهند تمام اطلاعات ارسال شده و دریافت شده توسط سرور شما را بخوانند.

در این آموزش نحوه ایجاد یک گواهی SSL / TLS و فعال کردن آن در Apache 2.4 در اوبونتو 16.04 به شما آموزش داده می شود. تصور می کنم Apache از قبل تنظیم شده و در حال اجرا است. اگر می خواهید نحوه نصب پشته LAMP را بیاموزید ، به این سند Vultr مراجعه کنید .

توجه

گواهینامه های SSL / TLS معمولاً توسط CA قابل اعتماد (مرجع صدور گواهینامه) تولید می شوند. شما با تولید آن خود ، شما عضو آن می شوید ، به این معنی که مرورگر قادر نخواهد بود هویت گواهینامه را اعتماد کند یا خیر ، و به کاربر هشدار می دهد. اگرچه می توان از این هشدار دور زد ، اما سایتهای روبرو باید از گواهی نامه امضا شده توسط یک CA مطمئن استفاده کنند. بیایید رمزگذاری یک CA است که مجوزها را به صورت رایگان ارائه می دهد. می توانید نحوه نصب گواهینامه آنها را در Apache و Ubuntu 16.04 در اینجا بیاموزید .

برای برنامه های داخلی ، استفاده از یک گواهی خود امضا شده ممکن است معتبر باشد ، به خصوص اگر نام دامنه ندارید.

مرحله 1: تولید گواهی

1. ابتدا بیایید مکانی برای ذخیره پرونده ایجاد کنیم.

   mkdir ~/certificates
   cd ~/certificates
   

2. ایجاد CSR و کلید خصوصی.

   openssl req -x509 -newkey rsa:4096 -keyout apache.key -out apache.crt -days 365 -nodes
   

   برای درخواست گواهی اطلاعات می خواهد. با اطلاعات مناسب تکمیل کنید.

   Country Name (2 letter code) [AU]: US
   State or Province Name (full name) [Some-State]: FL
   Locality Name (eg, city) []: Miami
   Organization Name (eg, company) [My Company]: My Company
   Organizational Unit Name (eg, section) []:
   

   نام مشترک باید نام دامنه شما یا آدرس IP سرور باشد. همچنین ایمیل خود را پر کنید.

   Common Name (e.g. server FQDN or YOUR name) []: 203.0.113.122
   Email Address []:[email protected]
   

3. اکنون گواهی را به پوشه تنظیمات Apache منتقل کنید.

   mkdir /etc/apache2/ssl
   mv ~/certificates/* /etc/apache2/ssl/.
   

4. گواهی آماده است! بعد ، ما Apache را برای کار با گواهی آماده خواهیم کرد.

مرحله 2: پیکربندی فایروال

1. ما باید مطمئن شویم که پورت TCP 443 باز است. این پورت به جای پورت 80 در اتصالات SSL استفاده می شود. در این آموزش از UFW استفاده خواهیم کرد.

2. اطمینان حاصل کنید که UFW فعال است.

   sudo ufw enable
   

3. اکنون تنظیمات از پیش تعریف شده Apache را برای فایروال مجاز کنید.

   sudo ufw allow 'Apache Full'
   

4. با تایپ کردن " sudo ufw status" می توانید لیستی از قوانین فعلی را ببینید. پیکربندی شما باید شبیه این باشد:

   To                         Action      From
   --                         ------      ----
   Apache Full                ALLOW       Anywhere
   OpenSSH                    ALLOW       Anywhere
   Apache Full (v6)           ALLOW       Anywhere (v6)
   OpenSSH (v6)               ALLOW       Anywhere (v6)
   

5. همچنین باید اتصالات بعدی به OpenSSH اجازه دهید.

   sudo ufw allow 'OpenSSH'
   

مرحله 3: پیکربندی میزبان مجازی Apache

1. به فهرست پیش فرض پیکربندی سایت Apache بروید.

   sudo nano /etc/apache2/sites-available/default-ssl.conf
   

2. این پرونده به سرور می گوید که در آن باید گواهی SSL را جستجو کند. با حذف نظر ، باید مانند پیکربندی زیر باشد.

   <IfModule mod_ssl.c>
     <VirtualHost _default_:443>
      ServerAdmin webmaster@localhost
   
      DocumentRoot /var/www/html
   
      ErrorLog ${APACHE_LOG_DIR}/error.log
      CustomLog ${APACHE_LOG_DIR}/access.log combined
   
      SSLEngine on
   
      SSLCertificateFile    /etc/ssl/certs/ssl-cert-snakeoil.pem
      SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
   
      <FilesMatch "\.(cgi|shtml|phtml|php)$">
       SSLOptions +StdEnvVars
      </FilesMatch>
      <Directory /usr/lib/cgi-bin>
       SSLOptions +StdEnvVars
      </Directory>
   
    </VirtualHost>
   </IfModule>
   

3. ویرایش این خط:

   ServerAdmin [email protected]
   

4. این را درست زیر ServerAdminخط اضافه کنید :

   ServerName ADD_YOUR_IP_OR_DOMAIN_NAME_HERE
   

5. اکنون ، این خطوط را با محل صدور گواهینامه ما ویرایش کنید:

   SSLCertificateFile    /etc/apache2/ssl/apache.crt
   SSLCertificateKeyFile /etc/apache2/ssl/apache.key
   

6. پرونده نهایی ما باید شبیه به این موارد باشد:

   <IfModule mod_ssl.c>
    <VirtualHost _default_:443>
     ServerAdmin [email protected]
     ServerName 203.0.113.122
   
     DocumentRoot /var/www/html
   
     ErrorLog ${APACHE_LOG_DIR}/error.log
     CustomLog ${APACHE_LOG_DIR}/access.log combined
   
     SSLEngine on
   
     SSLCertificateFile    /etc/apache2/ssl/apache.crt
     SSLCertificateKeyFile /etc/apache2/ssl/apache.key
   
     <FilesMatch "\.(cgi|shtml|phtml|php)$">
      SSLOptions +StdEnvVars
     </FilesMatch>
     <Directory /usr/lib/cgi-bin>
      SSLOptions +StdEnvVars
     </Directory>
   
    </VirtualHost>
   </IfModule>
   

7. ذخیره کنید و فایل را ببندید.

مرحله 4: فعال کردن ماژول Apache SSL

1. ماژول SSL را با تایپ کردن فعال کنید:

   sudo a2enmod ssl
   

2. اکنون سایتی را که اخیراً ویرایش کرده ایم فعال کنید:

   sudo a2ensite default-ssl.conf
   

3. راه اندازی مجدد Apache:

   sudo service apache2 restart
   

4. بیایید به وب سایت ایمن جدید دسترسی پیدا کنیم! آن را در مرورگر خود باز کنید (حتماً https: // ) را تایپ کنید .

   https://YOUR_SERVER_IP
   

مرورگر شما به شما هشدار می دهد که گواهی نامعتبر است ، همانطور که انتظار داشتیم. این اتفاق می افتد زیرا گواهی امضا نشده است. مراحل ارائه شده توسط مرورگر خود را برای رفتن به سایت خود دنبال کنید.

مرحله 5: هدایت کلیه ترافیک HTTP به HTTPS (اختیاری)

1. پرونده میزبان مجازی پیش فرض Apache را باز کنید:

   nano /etc/apache2/sites-available/000-default.conf
   

2. این خط را درون <VirtualHost *:80>برچسب اضافه کنید:

   Redirect / https://YOUR_SERVER_IP_OR_DOMAIN/
   

3. بارگیری مجدد پیکربندی Apache:

   sudo service apache2 reload
   

همه ترافیک وب سایت اکنون به طور خودکار به HTTPS هدایت می شود.