วิธีใช้ HTTPS บน Arch Linux Webserver

• ข้อกำหนดเบื้องต้น
• แสดงผลอย่างปลอดภัยผ่าน HTTPS
• รับใบรับรอง SSL / TLS
• กำหนดค่าเว็บเซิร์ฟเวอร์ของคุณเพื่อใช้คีย์ส่วนตัวและใบรับรอง

ข้อกำหนดเบื้องต้น

• เซิร์ฟเวอร์ Vultr ทำงานล่าสุด Arch Linux (ดูบทความนี้ )
• เว็บเซิร์ฟเวอร์ที่กำลังทำงานอย่างApacheหรือNginx
• เข้าถึง Sudo
  • คำสั่งที่จำเป็นต้องวิ่งเป็นรากจะนำหน้าด้วยและคนที่สามารถวิ่งเป็นผู้ใช้โดยปกติ# วิธีที่แนะนำให้เรียกใช้คำสั่งเป็นรากคือการเป็นผู้ใช้ปกติคำนำหน้าแต่ละของพวกเขาด้วย$sudo
• ติดตั้งโปรแกรมแก้ไขข้อความและทำความคุ้นเคยกับมันเช่น vi, vim, nano, emacs หรือโปรแกรมแก้ไขอื่นที่คล้ายกัน

แสดงผลอย่างปลอดภัยผ่าน HTTPS

การแสดงเนื้อหาผ่าน HTTPS สามารถใช้การเข้ารหัสที่แข็งแกร่งมากดังนั้นจึงไม่มีใครขัดขวางทราฟฟิกระหว่างผู้ใช้และเว็บเซิร์ฟเวอร์ที่สามารถอ่านได้ ไม่เพียง แต่เข้ารหัสทราฟฟิกเอง แต่ยังเข้าถึง URL ที่กำลังเข้าถึงซึ่งอาจเปิดเผยข้อมูลได้ ในบางครั้ง Google ได้พิจารณาการจัดอันดับการค้นหาบางส่วนโดยพิจารณาว่าหน้าใช้ HTTPS หรือไม่ซึ่งเป็นส่วนหนึ่งของการริเริ่ม HTTPS ทุกที่

หมายเหตุ : การค้นหา DNS จะเปิดเผยชื่อโดเมนที่กำลังเชื่อมต่อ แต่ URL ทั้งหมดไม่ปรากฏในระหว่างกระบวนการนั้น

รับใบรับรอง SSL / TLS

ในทางเทคนิคแล้ว TLS แทนที่ SSL สำหรับ HTTPS Certificates แต่สถานที่ส่วนใหญ่จะเรียก TLS Certificates อย่างต่อเนื่องโดยใช้ SSL Certificates ที่นิยม การใช้งานทั่วไปตามคู่มือนี้จะทำเช่นเดียวกัน

ในการใช้ HTTPS เว็บเซิร์ฟเวอร์ของคุณต้องใช้รหัสส่วนตัว ( .key) เพื่อใช้งานแบบส่วนตัวและใบรับรอง ( .crt) เพื่อแบ่งปันแบบสาธารณะซึ่งรวมถึงรหัสสาธารณะ ใบรับรองจะต้องลงนาม คุณสามารถเซ็นชื่อด้วยตัวเอง แต่เบราว์เซอร์ที่ทันสมัยจะบ่นว่าพวกเขาไม่รู้จักผู้ลงนาม ยกตัวอย่างเช่น Chrome Your connection is not private. Attackers might be trying to steal your information... NET::ERR_CERT_AUTHORITY_INVALIDจะแสดง: หากมีเพียงกลุ่มบุคคลส่วนตัวเท่านั้นที่ใช้เว็บไซต์นี้สามารถยอมรับได้เนื่องจากเบราว์เซอร์จะอนุญาตวิธีดำเนินการต่อ ตัวอย่างเช่นบน Chrome ให้คลิก "ขั้นสูง" จากนั้น "ดำเนินการต่อเพื่อ ... (ไม่ปลอดภัย)"; มันจะยังคงแสดง "ไม่ปลอดภัย" และข้าม "https"

โปรดทราบว่ากระบวนการนี้จะขอให้คุณระบุประเทศ / รัฐ, สถานที่, องค์กร, หน่วยงานขององค์กรและชื่อทั่วไปและที่อยู่อีเมลของคุณ ทั้งหมดนี้สามารถเข้าถึงได้ในเบราว์เซอร์ของทุกคนที่เชื่อมต่อกับเว็บไซต์ของคุณผ่าน HTTPS

โปรดทราบว่าหากคุณให้ใบรับรองโฮสต์เสมือนคุณจะต้องให้ชื่อไฟล์ที่แตกต่างด้านล่างและชี้ไปที่พวกเขาในการกำหนดค่าโฮสต์เสมือนของคุณ

เปลี่ยนเป็นไดเรกทอรีที่เหมาะสมสำหรับเว็บเซิร์ฟเวอร์ของคุณ

หากคุณติดตั้ง Apache:

$ cd /etc/httpd/conf

หากคุณติดตั้ง Nginx:

$ cd /etc/nginx

เมื่ออยู่ในไดเรกทอรีที่ถูกต้องแล้วให้สร้างคีย์ส่วนตัว ( server.key) และใบรับรองที่ลงนามเอง ( server.crt):

# openssl req -new -x509 -nodes -newkey rsa:4096 -keyout server.key -out server.crt -days 825

ตั้งค่าการอนุญาตให้อ่านอย่างเดียวและอนุญาตให้ใช้ไพรเวตคีย์เพื่ออ่านโดยรูท:

# chmod 400 server.key
# chmod 444 server.crt

หรือคุณสามารถขอรับใบรับรองที่ลงนามโดยผู้ออกใบรับรองที่เชื่อถือได้ คุณสามารถชำระเงิน บริษัท ต่าง ๆ (หน่วยงานออกใบรับรอง) เพื่อลงนามใบรับรองของคุณ เมื่อพิจารณาถึงผู้ออกใบรับรองอาจเป็นเรื่องสำคัญที่จะต้องดูว่าเบราว์เซอร์ใดและรุ่นใดที่จะรู้จัก ผู้ออกใบรับรองบางรายอาจไม่ได้รับการยอมรับว่าเป็นทางการมากกว่าใบรับรองที่ลงนามเองในเบราว์เซอร์เวอร์ชันเก่า

โดยทั่วไปแล้วคุณไม่เพียงต้องการที่อยู่ IP สาธารณะ แต่ยังต้องมีชื่อโดเมนด้วย ผู้ออกใบรับรองบางรายสามารถออกใบรับรองไปยังที่อยู่ IP สาธารณะ แต่ก็ไม่ค่อยมีใครทำ

ผู้ให้บริการหลายรายเสนอการทดลองใช้ฟรี 30 วันซึ่งขอแนะนำให้เริ่มต้นด้วยเพื่อให้คุณมั่นใจได้ว่ากระบวนการทำงานได้ดีสำหรับคุณก่อนชำระเงิน ราคาอาจแตกต่างกันจากไม่กี่ดอลลาร์ต่อปีเป็นร้อยขึ้นอยู่กับประเภทและตัวเลือกเช่นหลายโดเมนหรือโดเมนย่อย ใบรับรองมาตรฐานจะระบุว่าผู้มีอำนาจลงนามได้ตรวจสอบบุคคลที่ได้รับใบรับรองแล้วเท่านั้นที่สามารถทำการเปลี่ยนแปลงในโดเมนได้ ใบรับรองการตรวจสอบความถูกต้องเพิ่มเติมจะระบุว่าผู้มีอำนาจลงนามดำเนินการตรวจสอบสถานะเนื่องจากผู้ตรวจสอบร้องขอและในเบราว์เซอร์สมัยใหม่จะแสดงแถบสีเขียวในหรือใกล้ URL เมื่อตรวจสอบว่าคุณสามารถทำการเปลี่ยนแปลงโดเมนผู้มีอำนาจลงนามบางรายจะกำหนดให้คุณรับอีเมลตามที่อยู่ที่สำคัญในชื่อโดเมนเช่นadmin@your-domain.com. มีทางเลือกมากมายในการตรวจสอบเช่นการให้ไฟล์แก่คุณบนเซิร์ฟเวอร์ของคุณเช่นการวางไฟล์ไว้ใน/srv/http/.well-known/pki-validation/Apache หรือ/usr/share/nginx/html/.well-known/pki-validation/Nginx สำหรับการกำหนดค่าไดเรกทอรีโฮสต์เดียว หรือสร้างรายการ CNAME ชั่วคราวที่พวกเขาให้คุณในระเบียน DNS ของโดเมนของคุณ

อำนาจการลงนามที่คุณเลือกอาจมีขั้นตอนแตกต่างกันเล็กน้อย แต่ส่วนใหญ่จะยอมรับขั้นตอนต่อไปนี้:

ในไดเรกทอรีที่เหมาะสมสร้างคีย์ส่วนตัว ( server.key):

# openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out server.key

ตั้งค่าไพรเวตคีย์เป็นแบบอ่านอย่างเดียวเท่านั้นโดยรูท:

# chmod 400 server.key

สร้างคำขอลงนามใบรับรอง ( server.csr) คุณต้องใส่ชื่อโดเมนของคุณในเมื่อมันขอให้คุณCommon Nameและคุณสามารถปล่อยให้รหัสผ่านความท้าทายที่ว่างเปล่า:

# openssl req -new -sha256 -key server.key -out server.csr

ตั้งค่าคำขอเซ็นชื่อใบรับรองเป็นแบบอ่านอย่างเดียวเท่านั้นโดยรูท:

# chmod 400 server.csr

ดูเนื้อหาของคำขอลงนามใบรับรอง ข้อมูลนี้เข้ารหัสเป็น base64 ดังนั้นจะมีลักษณะเหมือนตัวอักษรแบบสุ่ม:

# cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
.....
-----END CERTIFICATE REQUEST-----

ทำตามกระบวนการของผู้มีอำนาจลงนามและเมื่อถูกขอให้วางใน CSR ของคุณให้คัดลอกและวางไฟล์ทั้งหมดนี้รวมถึง-----บรรทัด ขึ้นอยู่กับผู้มีอำนาจลงนามที่คุณเลือกและประเภทของใบรับรองพวกเขาอาจให้ใบรับรองที่ลงนามทันทีกับคุณหรืออาจเป็นจำนวนวัน เมื่อพวกเขามอบใบรับรองที่ลงนามแล้วให้คุณคัดลอก (รวมถึง-----BEGIN CERTIFICATE-----และ-----END CERTIFICATE-----บรรทัด) ลงในไฟล์ชื่อserver.crtในไดเรกทอรีที่ถูกต้องกำหนดไว้ด้านบนสำหรับเว็บเซิร์ฟเวอร์ของคุณและตั้งเป็นอ่านอย่างเดียว:

# chmod 444 server.crt

กำหนดค่าเว็บเซิร์ฟเวอร์ของคุณเพื่อใช้คีย์ส่วนตัวและใบรับรอง

หากคุณกำลังใช้ไฟร์วอลล์คุณจะต้องเปิดใช้การจราจร TCP 443เข้ากับพอร์ต

สำหรับ Apache

แก้ไข/etc/httpd/conf/httpd.confและยกเลิกหมายเหตุบรรทัดเหล่านี้:

LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
Include conf/extra/httpd-ssl.conf

หมายเหตุหากคุณใช้โฮสต์เสมือนการเปลี่ยนแปลงด้านบน/etc/httpd/conf/httpd.confจะใช้ใบรับรองเดียวกันกับโฮสต์ทั้งหมด ในการมอบใบรับรองให้โฮสต์แต่ละแห่งเพื่อหลีกเลี่ยงเบราว์เซอร์ที่บ่นเกี่ยวกับใบรับรองที่ไม่ตรงกับชื่อโดเมนคุณต้องแก้ไขไฟล์กำหนดค่าแต่ละไฟล์/etc/httpd/conf/vhosts/เพื่อให้ชี้ไปที่ใบรับรองของตนเองและคีย์ส่วนตัว:

• เปลี่ยนไป<VirtualHost *:80><VirtualHost *:80 *:443>

• ภายในVirtualHostส่วนเพิ่มต่อไปนี้:

  SSLEngine on
  SSLCertificateFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.crt"
  SSLCertificateKeyFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.key"
  

รีสตาร์ท Apache:

# systemctl restart httpd

สำหรับ Nginx

แก้ไข/etc/nginx/nginx.confและใกล้ด้านล่างยกเลิกการใส่เครื่องหมายในHTTPS serverส่วนและเปลี่ยนบรรทัดดังต่อไปนี้:

ssl_certificate      server.crt;
ssl_certificate_key  server.key;
root                /usr/share/nginx/html;

หมายเหตุหากคุณใช้โฮสต์เสมือนการเปลี่ยนแปลงด้านบนเพื่อ/etc/nginx/nginx.confส่งโฮสต์ทั้งหมดไปยังตำแหน่งนั้น ในการมอบใบรับรองให้โฮสต์แต่ละแห่งคุณต้องแก้ไขไฟล์กำหนดค่าแต่ละไฟล์/etc/nginx/sites-enabled/เพื่อให้มีเซิร์ฟเวอร์บล็อกเพิ่มเติมเพื่อชี้ไปที่ใบรับรองและรหัสส่วนตัวของตนเอง:

server {
    listen 443 ssl;
    server_name YOUR-DOMAIN-NAME.com;

    ssl_certificate      YOUR-DOMAIN-NAME.com.crt;
    ssl_certificate_key  YOUR-DOMAIN-NAME.com.key;

    ssl_session_cache   shared:SSL:1m;
    ssl_session_timeout 5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        root /usr/share/nginx/YOUR-DOMAIN-NAME.com;
        index  index.html index.htm;
    }
}

รีสตาร์ท Nginx:

# systemctl restart nginx