- PVSM.RU - https://www.pvsm.ru -
Apache HTTP все еще является лидером на рынке веб-серверов среди миллиона самых нагруженных сайтов.
Очевидно, что показатели Nginx [2] постепенно растут, поэтому, если вы администрируете систему/веб-сеть/связующее программное обеспечение, то вы должны одинаково хорошо знать веб-серверы Apache и Nginx.
Однако, в этой статье я рассмотрю только Apache Web Server.
После установки SSL-сертификата настроенный домен/IP будут доступны через HTTPS. Давайте приступим.
Мы сделаем следующее:
Для настройки SSL Apache HTTP должен быть скомпилирован с mod_ssl. Я буду использовать виртуальную машину с CentOS 7 от DigitalOcean [4] для демонстрации.
wget http://www-us.apache.org/dist//httpd/httpd-2.4.25.tar.gz .
gunzip -c httpd-2.4.25.tar.gz | tar xvf -
./configure --enable-ssl –-enable-so
Примечание: Если вы делаете это на новом сервере, то можете столкнуться с некоторыми проблемами, связанными с APR, PCRE и OpenSSL и в этом случае можете обратиться к руководству [5] по поиску и устранению неполадок.
Убедитесь, что вы не получили сообщения об ошибке после выполнения команды конфигурации и затем осуществите установку с помощью команды make.
make
make install
Убедитесь, что не допустили ошибок при выполнении команд. Итак, вы установили веб-сервер Apache с поддержкой SSL-сертификата.
Существует несколько способов генерации и получения SSL-сертификата, подписанного центром сертификации.
Если вы хотите установить SSL-сертификат для веб-сервера в локальной сети, то большинство организаций имеет собственные центры для выдачи сертификатов и вам нужно лишь связаться с ними.
Но вам все же необходим CSR (Certificate Signing Request), и вы можете сгенерировать его с помощью OpenSSL [6].
Однако, если вы ищете безопасный интернет адрес (URL), то можете купить сертификат у VeriSign, GoDaddy, Namecheap [7] и других компаний или же получить бесплатный сертификат от Let's Encrypt.
Let’s Encrypt это проект Linux Foundation, позволяющий выпускать бесплатные SSL/TLS сетрификаты. Я буду использовать Let's Encrypt, чтобы получить сертификат для моего домена — Chandan.io.
Есть несколько способов сгенерировать CSR, но наиболее легкий из тех, что я обнаружил – использовать онлайн инструмент “SSL For FREE [8]”.
Введите URL-адрес, который вы хотите защитить.
Подтвердите право собственности на домен одним из указанных методов и скачайте сертификат для вашего домена.
Вы получите три файла, которые в дальнейшем мы будем использовать для настройки веб-сервера Apache:
Перенесите загруженные файлы на веб-сервер. Нам они скоро понадобятся.
Последний шаг – настройка Apache таким образом, чтобы он мог обслуживать поступающие запросы через HTTPS:
LoadModule ssl_module modules/mod_ssl.so
Include conf/extra/httpd-ssl.conf
Мы будем использовать файл httpd-ssl.conf для настройки деталей сертификата. Далее – вы должны убедиться, что он имеет правильные параметры.
Совет: вы можете создать новую папку под названием «ssl» и сохранить в ней все файлы, связанные с сертификатом.
SSLCertificateFile "/usr/local/apache2/conf/ssl/certificate.crt"
SSLCertificateChainFile "/usr/local/apache2/conf/ssl/ca_bundle.crt"
SSLCertificateKeyFile "/usr/local/apache2/conf/ssl/private.key"
ServerName chandan.io
cd /usr/local/apache2/bin
./apachectl stop
./apachectl start
Наконец, вы должны убедиться, что ваш домен указывает на вновь настроенный IP-адрес веб-сервера. Затем попробуйте получить доступ к вашему домену с помощью https.
Как вы можете видеть, Chandan.io доступен через https при помощи сертификата, который я настроил.
Описанные шаги необходимы для установки SSL-сертификата, а вы можете настраивать SSL дальше для укрепления защиты так, как я объяснил это здесь [9].
Перед запуском я бы посоветовал протестировать [10] SSL/TLS и убедиться, что он не подвержен распространенным уязвимостям.
Я надеюсь, что этот обзор даст вам представление о том, как реализовать SSL-сертификат на вашем веб-сервере Apache так, чтобы URL-адрес был доступен через HTTPS.
Если вы только начинаете осваивать веб-сервер Apache, я бы рекомендовал вам воспользоваться этим онлайн-курсом [11].
Автор: Вера
Источник [12]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/292757
Ссылки в тексте:
[1] Image: https://habr.com/company/poiskvps/blog/423449#habracut
[2] Nginx: https://geekflare.com/category/web-servers/nginx
[3] SSL-сертификат: https://geekflare.com/free-ssl-tls-certificate
[4] DigitalOcean: https://www.digitalocean.com
[5] руководству: https://geekflare.com/apache-installation-troubleshooting
[6] OpenSSL: https://geekflare.com/openssl-commands-certificates
[7] Namecheap: https://www.namecheap.com
[8] SSL For FREE: https://www.sslforfree.com
[9] здесь: https://geekflare.com/apache-web-server-hardening-security/#5-SSL
[10] протестировать: https://geekflare.com/ssl-test-certificate
[11] онлайн-курсом: https://www.udemy.com/apache-web-server-administration
[12] Источник: https://habr.com/post/423449/?utm_source=habrahabr&utm_medium=rss&utm_campaign=423449
Нажмите здесь для печати.