Как использовать HTTPS на веб-сервере Arch Linux

• Предпосылки
• Безопасное обслуживание через HTTPS
• Получить сертификат SSL / TLS
• Настройте свой веб-сервер для использования закрытого ключа и сертификата

Предпосылки

• Сервер Vultr, работающий до последней версии Arch Linux (см. Эту статью ).
• Работающий веб-сервер, Apache или Nginx
• Доступ в судо
  • Команды, необходимые для запуска с правами root, начинаются с префиксов #, и те, которые могут запускаться как обычные пользователи $. Рекомендуемый способ запускать команды , как корень, чтобы, как обычный пользователь, префикс каждого из них sudo.
• Установите текстовый редактор и ознакомьтесь с ним, например, vi, vim, nano, emacs или другой подобный редактор.

Безопасное обслуживание через HTTPS

Обслуживание контента через HTTPS может использовать чрезвычайно надежное шифрование, поэтому никто не может перехватить трафик между пользователем и веб-сервером. Он не только шифрует сам трафик, но и URL, к которому осуществляется доступ, что в противном случае может предоставить информацию. В течение некоторого времени Google частично определял поисковый рейтинг на основе того, использует ли страница HTTPS, как часть инициативы HTTPS Everywhere.

Примечание . При поиске DNS открывается имя подключаемого домена, но весь URL-адрес не отображается во время этого процесса.

Получить сертификат SSL / TLS

Технически TLS заменил SSL для HTTPS-сертификатов, но в большинстве мест просто продолжал вызывать TLS-сертификаты более популярным термином SSL-сертификаты. После обычного использования это руководство будет делать то же самое.

Чтобы использовать HTTPS, вашему веб-серверу нужен закрытый ключ ( .key) для частного использования и сертификат ( .crt) для общего доступа, который включает открытый ключ. Сертификат должен быть подписан. Вы можете подписать его самостоятельно, но современные браузеры будут жаловаться, что они не распознают подписывающего. Например, Chrome будет показывать: Your connection is not private. Attackers might be trying to steal your information... NET::ERR_CERT_AUTHORITY_INVALID. Если веб-сайт будет использовать только частная группа людей, это может быть приемлемо, потому что браузеры позволят продолжить работу. Например, в Chrome нажмите «Дополнительно», затем «Перейти к ... (небезопасно)»; он по-прежнему будет отображать «Не безопасно» и вычеркнет «https».

Обратите внимание, что этот процесс попросит вас указать вашу страну, штат / провидение, местность, организацию, организационную единицу и общие имена, а также ваш адрес электронной почты; все это доступно в любом браузере, подключающемся к вашему сайту через HTTPS.

Также обратите внимание, что если вы даете сертификаты виртуальных хостов, вам нужно будет указать отдельные имена файлов ниже и указать их в конфигурации вашего виртуального хоста.

Перейдите в каталог, соответствующий вашему веб-серверу.

Если вы установили Apache:

$ cd /etc/httpd/conf

Если вы установили Nginx:

$ cd /etc/nginx

Попав в соответствующий каталог, сгенерируйте закрытый ключ ( server.key) и самозаверяющий сертификат ( server.crt):

# openssl req -new -x509 -nodes -newkey rsa:4096 -keyout server.key -out server.crt -days 825

Установите разрешения только для чтения и разрешите чтение секретного ключа только пользователю root:

# chmod 400 server.key
# chmod 444 server.crt

Кроме того, вы можете получить сертификат, подписанный доверенным центром сертификации. Вы можете заплатить различным компаниям (центрам сертификации), чтобы они подписали для вас свой сертификат. При рассмотрении центров сертификации может быть важно выяснить, какие браузеры и какие версии распознают их. Некоторые новые центры сертификации могут быть признаны не более официальными, чем самозаверяющий сертификат в старых версиях браузера.

Обычно вам нужен не только публичный IP-адрес, но и доменное имя. Некоторые центры сертификации могут выдавать сертификат на общедоступный IP-адрес, но это делается редко.

Многие провайдеры предлагают бесплатную 30-дневную пробную версию, которую рекомендуется начать с того, чтобы вы могли убедиться, что процесс работает на вас, прежде чем платить за него. Цены могут варьироваться от нескольких долларов в год до сотен, в зависимости от типа и вариантов, таких как несколько доменов или поддоменов. Стандартный сертификат будет указывать только на то, что подписывающий орган подтвердил, что лицо, получающее сертификат, может вносить изменения в домен. Сертификат расширенной проверки также будет указывать, что подписывающее лицо провело некоторую должную осмотрительность для проверки запрашивающей стороны, и в современных браузерах будет отображать зеленую полосу в URL-адресе или рядом с ним. При проверке того, что вы можете вносить изменения в домен, некоторые подписывающие органы потребуют, чтобы вы получали электронную почту по важному адресу в доменном имени, например[email protected], Многие предлагают альтернативную проверку, например, предоставление вам файла для размещения на вашем сервере, например, размещение своего файла /srv/http/.well-known/pki-validation/для Apache или /usr/share/nginx/html/.well-known/pki-validation/для Nginx, для конфигураций каталогов с одним хостингом; или временно создавая запись CNAME, которую они предоставляют вам в записях DNS вашего домена.

Выбираемые вами права подписи могут иметь несколько иные шаги, но большинство из них примет следующую процедуру:

В правильном каталоге сгенерируйте закрытый ключ ( server.key):

# openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out server.key

Установите закрытый ключ только для чтения, только root:

# chmod 400 server.key

Создайте запрос на подпись сертификата ( server.csr). Вы должны ввести свое доменное имя, когда оно запрашивает у вас Common Name, и вы можете оставить пароль вызова пустым:

# openssl req -new -sha256 -key server.key -out server.csr

Установите запрос на подпись сертификата только для чтения, только для пользователя root:

# chmod 400 server.csr

Просмотрите содержимое запроса на подпись сертификата. Эта информация в кодировке base64, поэтому будет выглядеть как случайные символы:

# cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
.....
-----END CERTIFICATE REQUEST-----

Пройдите процесс вашего подписывающего органа, и, когда вас попросят вставить в CSR, скопируйте и вставьте весь этот файл, включая -----строки. В зависимости от выбранного вами органа подписи и типа сертификата, они могут сразу же дать вам подписанный сертификат, или это может занять несколько дней. После того, как они дают вам подписанный сертификат, скопируйте его ( в том числе -----BEGIN CERTIFICATE-----и -----END CERTIFICATE-----строки) в файл с именем server.crt, в соответствующий каталог, приведенный выше для вашего веб - сервера и установить его только для чтения:

# chmod 444 server.crt

Настройте свой веб-сервер для использования закрытого ключа и сертификата

Если вы используете брандмауэр, вам нужно будет включить входящий трафик TCP на порт 443.

Для Apache

Отредактируйте /etc/httpd/conf/httpd.confи раскомментируйте эти строки:

LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
Include conf/extra/httpd-ssl.conf

Обратите внимание, что если вы используете виртуальные хосты, внесенные выше изменения /etc/httpd/conf/httpd.confбудут использовать один и тот же сертификат на всех хостах. Чтобы дать каждому хосту свой собственный сертификат, чтобы браузеры не жаловались на сертификат, не совпадающий с именем домена, вам необходимо отредактировать каждый из их файлов конфигурации, указав /etc/httpd/conf/vhosts/его собственный сертификат и закрытый ключ:

• Изменить <VirtualHost *:80>на <VirtualHost *:80 *:443>.

• В VirtualHostразделе добавьте следующее:

  SSLEngine on
  SSLCertificateFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.crt"
  SSLCertificateKeyFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.key"
  

Перезапустите Apache:

# systemctl restart httpd

Для Nginx

Отредактируйте /etc/nginx/nginx.confи расположите внизу, раскомментируйте HTTPS serverраздел и измените строки следующим образом:

ssl_certificate      server.crt;
ssl_certificate_key  server.key;
root                /usr/share/nginx/html;

Обратите внимание, что если вы используете виртуальные хосты, внесенные выше изменения /etc/nginx/nginx.confотправят все хосты в это место. Чтобы дать каждому хосту свой собственный сертификат, вам нужно отредактировать каждый из их файлов конфигурации, /etc/nginx/sites-enabled/чтобы иметь дополнительный блок сервера, чтобы указать его собственный сертификат и закрытый ключ:

server {
    listen 443 ssl;
    server_name YOUR-DOMAIN-NAME.com;

    ssl_certificate      YOUR-DOMAIN-NAME.com.crt;
    ssl_certificate_key  YOUR-DOMAIN-NAME.com.key;

    ssl_session_cache   shared:SSL:1m;
    ssl_session_timeout 5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        root /usr/share/nginx/YOUR-DOMAIN-NAME.com;
        index  index.html index.htm;
    }
}

Перезапустите Nginx:

# systemctl restart nginx