CentOS 8-de ýerli öz-özüňe gol çekilen SSL şahadatnamasyny nädip döretmeli

SSL (Howpsuz Soket Layer) we kämilleşdirilen wersiýasy TLS (Transport Socket Layer), müşderiniň web brauzerinden web serwerine iberilen web traffigini goramak üçin ulanylýan howpsuzlyk protokollarydyr.

SSL şahadatnamasy, müşderiniň brauzeri bilen web serweriniň arasynda ygtybarly kanal döredýän sanly şahadatnama. Şeýle etmek bilen, kredit kartoçkasy maglumatlary, giriş şahsyýetnamalary we beýleki ýokary şahsy maglumatlar ýaly duýgur we gizlin maglumatlar kodlanýar, hakerleriň maglumatlaryňyzy diňlemeginiň we ogurlanmagynyň öňüni alýar.

Öz-özünden gol çekilen SSL şahadatnamasy, şahadatnama edarasy (CA) tarapyndan gol çekilen we ynamdar beýleki SSL şahadatnamalaryndan tapawutlylykda, oňa eýeçilik edýän şahs tarapyndan gol çekilen şahadatnama.

Birini döretmek düýbünden mugt we ýerli ýerleşdirilen web serweriňizi şifrlemegiň arzan usulydyr. Şeýle-de bolsa, aşakdaky sebäplere görä önümçilik şertlerinde öz-özüňe gol çekilen SSL şahadatnamasynyň ulanylmagy gaty peselýär:

  1. Şahadatnama edarasy tarapyndan gol çekilmänsoň, öz-özünden gol çekilen SSL şahadatnamasy, web brauzerlerinde ulanyjylara dowam etmek kararyna gelmekleri mümkin howp barada duýduryş berýär. Bu duýduryşlar islenilmeýär we ulanyjylary web sahypaňyza girmäge mejbur eder, bu bolsa web traffiginiň azalmagyna sebäp bolup biler. Bu duýduryşlaryň çözgüdi hökmünde guramalar adatça işgärlerini duýduryşlary äsgermezlik etmäge we öňe gitmäge çagyrýarlar. Bu, beýleki onlaýn saýtlarda bu duýduryşlary äsgermezlik etmegi dowam etdirip biljek, balykçy saýtlarynyň pidasy bolup biljek ulanyjylaryň arasynda howply endigi döredip biler.
  2. Öz-özüňe gol çekilen şahadatnamalar pes derejeli şifr tehnologiýalaryny we heşleri ulanýandyklary üçin pes howpsuzlyk derejesine eýe. Şeýlelik bilen howpsuzlyk derejesi standart howpsuzlyk syýasatlaryna laýyk gelmezligi mümkin.
  3. Mundan başga-da, köpçülikleýin açar infrastruktura (PKI) funksiýalaryna goldaw ýok.

Saidagny, TLS/SSL şifrlemesini talap edýän ýerli enjamda hyzmatlary we programmalary barlamak üçin öz-özüňe gol çekilen SSL şahadatnamasynyň ulanylmagy erbet pikir däl.

Bu gollanmada, CentOS 8 serwer ulgamynda Apache ýerlihost web serwerinde ýerli öz-özüňe gol çekilen SSL şahadatnamasyny nädip gurmalydygyny öwrenersiňiz.

Başlamazdan ozal aşakdaky esasy talaplaryň bardygyna göz ýetiriň:

  1. CentOS 8 serweriniň mysaly.
  2. Serwerde gurlan Apache web serweri
  3. /etc/host faýlynda eýýäm düzülen we kesgitlenen host ady. Bu gollanma üçin serwerimiz üçin host adyny tecmint.local ulanarys.

1-nji ädim: Mod_SSL-i CentOS-a gurmak

1. Işe başlamak üçin Apache web serweriniň gurlandygyny we işleýändigini barlamaly.

$ sudo systemctl status httpd

Ine garaşylýan çykyş.

Web serwer işlemeýän bolsa, buýrugy ulanyp başlanyňyzda başlap we işledip bilersiňiz.

$ sudo systemctl start httpd
$ sudo systemctl enable httpd

Ondan soň Apache-iň işleýändigini ýa-da işlemeýändigini tassyklap bilersiňiz.

2. selferli öz-özüňe gol çekilen SSL şahadatnamasyny gurnamagy we gurnamagy üpjün etmek üçin mod_ssl bukjasy talap edilýär.

$ sudo dnf install mod_ssl

Gurlandan soň, gurnamany işledip barlap bilersiňiz.

$ sudo rpm -q mod_ssl

Şeýle hem, OpenSSL paketiniň gurnalandygyna göz ýetiriň (OpenSSL deslapky ýagdaýda CentOS 8-de gurulýar).

$ sudo rpm -q openssl

2-nji ädim: Apache üçin ýerli öz-özüne gol çekilen SSL şahadatnamasyny dörediň

3. Apache web serweri we barlanylýan ähli şertler bilen kriptografiki açarlaryň saklanjak katalogyny döretmeli.

Bu mysalda/etc/ssl/private-de katalog döretdik.

$ sudo mkdir -p /etc/ssl/private

Indi buýrugy ulanyp ýerli SSL şahadatnama açaryny we faýly dörediň:

$ sudo openssl req -x509 -nodes -newkey rsa:2048 -keyout tecmint.local.key -out tecmint.local.crt

Geliň, buýrukdaky käbir wariantlaryň aslynda nämäni aňladýandygyna göz aýlalyň:

  • req -x509 - Bu, x509 şahadatnama gol çekmek haýyşyny (CSR) ulanýandygymyzy görkezýär.
  • -nodes - Bu opsiýa OpenSSL-e parol ulanyp SSL şahadatnamasyny şifrlemegi geçirmegi tabşyrýar. Bu ýerdäki pikir, Apache-e haýsydyr bir ulanyjy gatyşmazdan faýly okamaga mümkinçilik bermek, parol berilse mümkin bolmaz.
  • -newkey rsa: 2048 - Bu, şol bir wagtyň özünde täze açar we täze şahadatnama döretmek isleýändigimizi görkezýär. Rsa: 2048 bölegi, 2048 bitli RSA açaryny döretmek isleýändigimizi aňladýar.
  • -keyout - Bu opsiýa döredilen şahsy açar faýly nirede döredilendigini kesgitleýär.
  • -out - döredilen opsiýa döredilen SSL şahadatnamasyny nirede goýmalydygyny görkezýär.

3-nji ädim: Apache-de ýerli öz-özüne gol çekilen SSL şahadatnamasyny guruň

4. SSL şahadatnama faýlyny döredensoň, Apache web serweriniň sazlamalaryny ulanyp, şahadatnamany gurmagyň wagty geldi. /Etc/httpd/conf.d/ssl.conf konfigurasiýa faýlyny açyň we redaktirläň.

$ sudo vi /etc/httpd/conf.d/ssl.conf

Wirtual host bellikleriniň arasynda aşakdaky setirleriň bardygyna göz ýetiriň.

<VirtualHost *:443>
    ServerAdmin [email 
    ServerName www.tecmint.local
    ServerAlias tecmint.local
 
    DocumentRoot /var/www/html
 
    SSLEngine on
    SSLCertificateFile /etc/ssl/private/tecmint.local.crt
    SSLCertificateKeyFile /etc/ssl/private/tecmint.local.key
</VirtualHost>

Faýly ýazdyryň we çykyň. Üýtgeşmeleriň ýerine ýetirilmegi üçin buýrugy ulanyp Apache-i täzeden açyň:

$ sudo systemctl restart httpd

5. Daşarky ulanyjylaryň serweriňize girmegi üçin, diwar diwary arkaly görkezilişi ýaly 443 port açmaly.

$ sudo firewall-cmd --add-port=443 --zone=public --permanent
$ sudo firewall-cmd --reload

3-nji ädim: Apache-de ýerli öz-özüňe gol çekilen SSL şahadatnamasyny barlamak

Allhli konfigurasiýalar ýerinde brauzeriňizi ýakyň we https protokolyny ulanyp serweriň IP adresini ýa-da domen adyny ulanyp serweriňiziň adresine göz aýlaň.

Synagy tertipleşdirmek üçin, HTTP protokolyny Apache web serwerinde HTTPS-e gönükdirmegi göz öňünde tutup bilersiňiz. Munuň özi, haçan-da domeni ýönekeý HTTP-de gözden geçireniňizde, awtomatiki usulda HTTPS protokolyna ugrukdyrylar.

Şonuň üçin serweriňiziň domenine ýa-da IP-ä göz aýlaň

https://domain_name/

Baglanyşygyň görkezilişi ýaly howpsuz däldigi barada duýduryş alarsyňyz. Bu bir brauzerden beýlekisine üýtgeýär. Siziň çak edişiňiz ýaly, duýduryş SSL şahadatnamasynyň Şahadatnama edarasy tarapyndan gol çekilmezligi we brauzer bellige alynmagy we şahadatnamanyň ynamdar bolup bilmejekdigi bilen baglanyşyklydyr.

Web sahypaňyza geçmek üçin ýokarda görkezilişi ýaly Öňdebaryjy goýmasyna basyň:

Ondan soň, brauzere kadadan çykma goşuň.

Netijede, brauzeriňizi täzeden açyň we serwere girip biljekdigiňize göz ýetiriň, şeýle-de bolsa, URL setirinde SSL şahadatnamasynyň öz-özünden gol çekilendigi we gol çekilmedikligi sebäpli sahypanyň doly ygtybarly däldigi barada duýduryş bolar. Şahadatnama

Indi dowam edip, CentOS 8-de Apache ýerlihost web serwerinde öz-özüňe gol çekilen SSL şahadatnamasyny döredip we gurup bilersiňiz diýip umyt edýäris.