Come usare HTTPS su Webserver Arch Linux

• Prerequisiti
• Servizio sicuro tramite HTTPS
• Ottieni certificato SSL / TLS
• Configurare il server Web per utilizzare la chiave privata e il certificato

Prerequisiti

• Un server Vultr in esecuzione su Arch Linux aggiornato (vedi questo articolo .)
• Un server web in esecuzione, Apache o Nginx
• Accesso al Sudo
  • I comandi che devono essere eseguiti come root hanno il prefisso #e quelli che possono essere eseguiti come utente normale da $. Il modo raccomandato per eseguire i comandi come root è, come utente normale, aggiungere un prefisso a ciascuno di essi sudo.
• Avere un editor di testo installato e conoscerlo, come vi, vim, nano, emacs o un altro editor simile.

Servizio sicuro tramite HTTPS

La pubblicazione di contenuti tramite HTTPS può utilizzare una crittografia estremamente potente, quindi nessuno può intercettare il traffico tra l'utente e il server Web. Non solo crittografa il traffico stesso, ma anche l'URL a cui si accede, che altrimenti può esporre informazioni. Da qualche tempo, Google ha determinato parzialmente le classifiche di ricerca in base al fatto che una pagina utilizzi HTTPS, come parte dell'iniziativa HTTPS Everywhere.

Nota : una ricerca DNS espone il nome di dominio a cui si è connessi, ma l'intero URL non viene esposto durante tale processo.

Ottieni certificato SSL / TLS

Tecnicamente, TLS ha sostituito SSL per i certificati HTTPS, ma la maggior parte dei posti ha semplicemente continuato a chiamare i certificati TLS con il termine più popolare certificati SSL. Dopo l'uso comune, questa guida farà lo stesso.

Per usare HTTPS, il tuo server web ha bisogno di una chiave privata ( .key) per poterlo usare privatamente e di un certificato ( .crt) per condividere pubblicamente che include una chiave pubblica. Un certificato deve essere firmato. Puoi firmarlo da solo, ma i browser moderni si lamenteranno di non riconoscere il firmatario. Ad esempio, Chrome mostrerà: Your connection is not private. Attackers might be trying to steal your information... NET::ERR_CERT_AUTHORITY_INVALID. Se solo un gruppo privato di persone utilizzerà il sito Web, ciò può essere accettabile, poiché i browser consentiranno di procedere. Ad esempio, su Chrome, fai clic su "Avanzate", quindi "Procedi a ... (non sicuro)"; mostrerà comunque "Non sicuro" e cancellerà "https".

Nota che questo processo ti chiederà il tuo paese, stato / provvidenza, località, organizzazione, unità organizzativa e nomi comuni e il tuo indirizzo e-mail; tutto ciò è accessibile nel browser di chiunque si colleghi al tuo sito tramite HTTPS.

Si noti inoltre che se si stanno fornendo certificati di host virtuali, sarà necessario fornire nomi di file distinti di seguito e puntarli su configurazioni dell'host virtuale.

Passare alla directory corretta per il proprio server Web.

Se hai installato Apache:

$ cd /etc/httpd/conf

Se hai installato Nginx:

$ cd /etc/nginx

Una volta nella directory corretta, genera una chiave privata ( server.key) e un certificato autofirmato ( server.crt):

# openssl req -new -x509 -nodes -newkey rsa:4096 -keyout server.key -out server.crt -days 825

Imposta le autorizzazioni di sola lettura e consenti alla chiave privata solo di essere letta da root:

# chmod 400 server.key
# chmod 444 server.crt

In alternativa, è possibile ottenere un certificato firmato da un'autorità di certificazione attendibile. Puoi pagare varie società (autorità di certificazione) per firmare il tuo certificato. Quando si considerano le autorità di certificazione, può essere importante esaminare quali browser e quali versioni li riconosceranno. Alcune autorità di certificazione più recenti potrebbero non essere riconosciute come più ufficiali di un certificato autofirmato su vecchie versioni del browser.

In genere non è necessario solo un indirizzo IP pubblico, ma anche un nome di dominio. Alcune autorità di certificazione possono emettere un certificato a un indirizzo IP pubblico, ma raramente viene eseguito.

Molti provider offrono una versione di prova gratuita di 30 giorni, che è consigliabile iniziare in modo che tu possa assicurarti che il processo funzioni per te prima di pagare. I prezzi possono variare da pochi dollari all'anno a centinaia, a seconda del tipo e delle opzioni come più domini o sottodomini. Un certificato standard indicherà solo che l'autorità di firma ha verificato che la persona che ottiene il certificato potrebbe apportare modifiche al dominio. Un certificato di convalida estesa indicherà anche che l'autorità di firma ha eseguito la dovuta diligenza per verificare il richiedente e, nei browser moderni, mostrerà una barra verde all'interno o vicino all'URL. Quando si verifica che è possibile apportare modifiche al dominio, alcune autorità firmatarie richiedono di ricevere e-mail a un indirizzo importante dal nome del dominio, ad esempio[email protected]. Molti offrono una verifica alternativa, come darti un file da posizionare sul tuo server, ad esempio inserendo il loro file /srv/http/.well-known/pki-validation/per Apache o /usr/share/nginx/html/.well-known/pki-validation/per Nginx, per le configurazioni della singola directory di hosting; o creando temporaneamente una voce CNAME che ti forniscono nei record DNS del tuo dominio.

L'autorità di firma scelta potrebbe avere passaggi leggermente diversi, ma la maggior parte accetterà la seguente procedura:

Nella directory corretta, genera una chiave privata ( server.key):

# openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out server.key

Imposta la chiave privata su sola lettura, solo per root:

# chmod 400 server.key

Genera una richiesta di firma del certificato ( server.csr). Devi inserire il tuo nome di dominio quando ti viene richiesto Common Namee puoi lasciare vuota la password della sfida:

# openssl req -new -sha256 -key server.key -out server.csr

Impostare la richiesta di firma del certificato su sola lettura, solo per root:

# chmod 400 server.csr

Visualizza i contenuti della richiesta di firma del certificato. Queste informazioni sono codificate in base64, quindi appariranno come caratteri casuali:

# cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
.....
-----END CERTIFICATE REQUEST-----

Passa attraverso il processo della tua autorità di firma e, quando ti viene richiesto di incollare il tuo CSR, copia e incolla l'intero file, comprese le -----linee. A seconda dell'autorità di firma che hai scelto e del tipo di certificato, potrebbero immediatamente fornirti il ​​certificato firmato o potrebbero essere diversi giorni. Una volta che ti hanno dato il certificato firmato, copialo (includendo le linee -----BEGIN CERTIFICATE-----e -----END CERTIFICATE-----) in un file chiamato server.crt, nella directory corretta, indicato sopra per il tuo server web, e impostalo in sola lettura:

# chmod 444 server.crt

Configurare il server Web per utilizzare la chiave privata e il certificato

Se si utilizza un firewall, sarà necessario abilitare il traffico TCP in entrata sulla porta 443.

Per Apache

Modifica /etc/httpd/conf/httpd.confe decommenta queste righe:

LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
Include conf/extra/httpd-ssl.conf

Nota se si utilizzano host virtuali, apportando la modifica sopra /etc/httpd/conf/httpd.confverrà utilizzato lo stesso certificato su tutti gli host. Per assegnare a ciascun host il proprio certificato per evitare che i browser si lamentino del certificato che non corrisponde al nome di dominio, è necessario modificare ciascuno dei propri file di configurazione in modo /etc/httpd/conf/vhosts/che punti al proprio certificato e chiave privata:

• Cambia <VirtualHost *:80>in <VirtualHost *:80 *:443>.

• All'interno della VirtualHostsezione, aggiungere quanto segue:

  SSLEngine on
  SSLCertificateFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.crt"
  SSLCertificateKeyFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.key"
  

Riavvia Apache:

# systemctl restart httpd

Per Nginx

Modifica /etc/nginx/nginx.confe vicino al fondo, decommenta la HTTPS serversezione e cambia le linee come segue:

ssl_certificate      server.crt;
ssl_certificate_key  server.key;
root                /usr/share/nginx/html;

Nota se si utilizzano host virtuali, apportare la modifica sopra a /etc/nginx/nginx.confinvierà tutti gli host in quella posizione. Per assegnare a ciascun host il proprio certificato, è necessario modificare ciascuno dei propri file di configurazione /etc/nginx/sites-enabled/per disporre di un blocco server aggiuntivo che punti al proprio certificato e chiave privata:

server {
    listen 443 ssl;
    server_name YOUR-DOMAIN-NAME.com;

    ssl_certificate      YOUR-DOMAIN-NAME.com.crt;
    ssl_certificate_key  YOUR-DOMAIN-NAME.com.key;

    ssl_session_cache   shared:SSL:1m;
    ssl_session_timeout 5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        root /usr/share/nginx/YOUR-DOMAIN-NAME.com;
        index  index.html index.htm;
    }
}

Riavvia Nginx:

# systemctl restart nginx