Добавить SSL на веб-сервер CentOS
- Категория: Сеть
CentOS вполне может быть одним из лучших дистрибутивов Linux для серверной среды. По сути, это имитация Red Hat Enterprise Linux без проприетарного программного обеспечения и без привязки к цене. Имея это в виду, имеет смысл настроить CentOS в качестве вашего веб-сервера. Он надежный, стабильный, расширяемый и безопасный.
Но установка безопасного веб-сервера не будет полной без включения SSL и сертификатов. Если вы хотите обслуживать веб-страницы sercure, вы наверняка захотите, чтобы ваша аудитория могла отправлять их по https вместо http. Итак ... как это сделать с CentOS? Я покажу вам, как это сделать.
Установка всех пакетов
Я предполагаю, что у вас уже установлена CentOS, а также веб-сервер Apache. Перед настройкой SSL убедитесь, что вы можете перейти на веб-страницу Apache по умолчанию (или любую веб-страницу на веб-сервере CentOS). Когда у вас все будет работать, вам нужно будет установить пару пакетов. Это делается с помощью следующих шагов:
- Откройте окно терминала.
- Su пользователю root.
- Выполните команду
yum установить mod_ssl openssl
, - Дождитесь завершения установки.
Когда SSL установлен и готов, самое время создать свои сертификаты для использования.
Создание вашего сертификата
Теперь на вашем сервере будет все необходимое для создания центров сертификации. Вам нужно сгенерировать закрытый ключ, csr, самозаверяющий ключ, а затем вам нужно скопировать эти файлы в правильное место. Это делается с помощью следующих шагов.
- Откройте окно терминала.
- Su пользователю root.
- Сгенерируйте закрытый ключ с помощью команды
openssl genrsa -out ca.key 1024
, - Сгенерируйте csr с помощью команды
openssl req -new -key ca.key -out ca.csr
, - Сгенерируйте самоподписанный ключ с помощью команды
openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt
, - Переместите самоподписанный ключ с помощью команды
cp ca.crt / etc / pki / tls / certs
, - Переместите закрытый ключ с помощью команды
cp ca.key /etc/pki/tls/private/ca.key
, - Переместите csr с помощью команды
cp ca.csr /etc/pki/tls/private/ca.csr
,
Отредактируйте конфигурацию Apache SSL
Открыть файл /etc/httpd/conf.d/ssl.conf и ищи раздел SSLCertificateFile. Убедитесь, что эта строка гласит:
SSLCertificateFile /etc/pki/tls/certs/ca.crt
Теперь ищите SSLCertificateKeyFile и убедитесь, что этот раздел гласит:
SSLCertificateKeyFile /etc/pki/tls/private/ca.key
Сохраните этот файл, и вы готовы перезапустить Apache.
Перезагрузите и проверьте
Прежде чем вы попробуете протестировать новую функцию SSL Apache, вы должны перезапустить демон. Для этого введите команду /etc/rc.d/init.d/httpd перезапуск , Надеюсь, вы не увидите никаких предупреждений или ошибок. В противном случае укажите в браузере https: // ADDRESS_TO_SERVER, где ADDRESS_TO_SERVER - это либо IP-адрес, либо домен. После этого вы должны увидеть предупреждение своего браузера о сертификате для сайта. Если вы видите это предупреждение, поздравляю, ваш сервер Apache теперь готов к безопасным соединениям.
Однако помните, что вы создали самозаверяющий сертификат. Чтобы получить максимальную отдачу от SSL, вы можете приобрести ЦС от имени, которому доверяют, например Verisign (Конечно, есть много других мест, где вы можете приобрести эти сертификаты).