מאמר זה הוא חלק מסדרת מדריך השרתים של Apache:

  • אבטחת אפאצ 'י על אובונטו - חלק 1
  • אבטחת אפאצ 'י על אובונטו - חלק 2
  • אופטימיזציה של ביצועי Apache - חלק 1
  • אופטימיזציה של ביצועי Apache - חלק 2
  • הגדרת שם מבוסס Virtualhost Apache
  • הגדרת IP ו Virtualhost מבוסס יציאה ב Apache
  • כיצד להגדיר את הסיסמה להגן על מדריך האינטרנט ב - Apache
  • הגדרת שרת Apache עם תמיכה ב- SSL על אובונטו
  • הגדרת Fail2ban כדי להגן על אפאצ 'י מהתקפה DDOS
  • כיצד להגדיר Webdav עם אפאצ 'י על אובונטו
  • לפקח על שרת האינטרנט Apache באמצעות
  • כיצד להגן על DDoS עם Mod_evasive על שרת אפאצ 'י

SSL ידוע גם בשם פרוטוקול Secure Socket Layer. הוא נוצר על ידי Netscape כדי לאבטח עסקאות בין שרתי אינטרנט ודפדפנים. פרוטוקול SSL משתמש ברשות אישורים (CA) כדי לזהות קצה אחד או את שני הקצוות של העסקאות. כל ההודעות שנשלחו על חיבורי HTTP רגילים נמצאות בטקסט רגיל, וכל האקר יכול לגשת לחיבור בין הדפדפן שלך לאתר ולקרוא מידע רגיש כמו פרטי כרטיס אשראי או מספר תעודת זהות. SSL משמש הוא לשמור על מידע רגיש שנשלח ברחבי האינטרנט מוצפן, ולכן המידע הופך בלתי קריא לכולם.

אישור חתום עצמית מול תעודה מסחרית

אישור חתום בחתימה עצמית חתום על ידי הבעלים שלו. הוא משמש בדרך כלל לבדיקת שרתים מקומיים וסביבת פיתוח. למרות שאישורים חתומים בחתימה עצמית מספקים את אותה רמת אבטחה בין אתר לדפדפן, רוב דפדפני האינטרנט יציגו תמיד הודעת התראה על כך שאישור האתר חתום על עצמו ולא ניתן לבטוח בו, שכן הוא אינו חתום על ידי רשות האישורים.

אישור מסחרי הוא אישור מורשה שהונפק על ידי רשות אישורים מהימנה. האישור חתום משמש בעיקר בסביבת הייצור.

במאמר זה אני הולך להסביר כיצד ליצור חתימה עצמית SSL אישור עבור Apache אשר יאפשר לך להצפין את התנועה לשרת האינטרנט Apache שלך.

הגדר את Apache לתמיכה ב- SSL

כברירת מחדל, Opensl מותקן ב- Ubuntu 14.04. מודול זה מספק תמיכה ב- SSL ל- Apache. הוא מושבת כברירת מחדל, לכן עליך להפעיל תחילה את מודול SSL.

ניתן להפעיל את מודול ה- SSL על-ידי הפעלת:

 sudo a2enmod ssl 

לאחר הפעלת SSL, יהיה עליך להפעיל מחדש את שירות Apache כדי שהשינוי יוכר.

 שירות - - 

צור תעודת חתימה עצמית

השלב הראשון הוא יצירת אישור. למטרות בדיקה, או עבור LANs קטנים, אתה צריך ליצור מפתח פרטי (ca.key) עם הצפנה 2048 bit.

לשם כך, הפעל:

 הסרה - - 

לאחר מכן צור בקשת חתימה של אישור (ca.csr) באמצעות הפקודה הבאה:

 sudo openssl req -nodes -New -key k.key ביטול ca.csr 

לבסוף, ליצור אישור חתום עצמית (ca.crt) של X509 סוג תקף עבור 365 מפתחות.

 sudo openssl x509 -req -days 365 -in ca.csr -signign ca.key ביטול ca.crt 

צור ספרייה למיקום קובצי האישור שיצרנו.

 sudo mkdir / etc / apache2 / ssl 

הבא, להעתיק את כל קבצי האישור לספרייה "/ etc / apache2 / ssl".

 sudo cp ca.crt ca.key ca.csr / etc / apache2 / ssl / 

קביעת תצורה של Apache לשימוש ב- SSL Certificate:

עכשיו כל האישורים מוכנים. הדבר הבא לעשות הוא להגדיר את אפאצ 'י כדי להציג את האישור החדש.

לשם כך, עליך לאפשר תמיכה ב- SSL בקובץ המארח הווירטואלי של Apache שנמצא בספריה /etc/apache2/sites-enable/ directory.

ניתן לעשות זאת על ידי עריכת קובץ ברירת המחדל של המארח הווירטואלי של Apache.

 sudo nano /etc/apache2/sites-enable/000-default.conf 

ציין את כל השורות על ידי הוספת "#" לפני כל שורה והוסף את השורות הבאות:

 ServerLog webmaster @ localhost DocumentRoot / var / www / HTML ErrorLog $ {APACHE_LOG_DIR} /error.log CustomLog $ {APACHE_LOG_DIR} /access.log משולב SSLEngine ב- SSLCertificateFile /etc/apache2/ssl/ca.crt SSLCertificateKeyFile / etc / apache2 / ssl /ca.key 

שמור וסגור את הקובץ ולאחר מכן הפעל מחדש את Apache.

 / הפעלה מחדש / 

פעולה זו אמורה לאפשר למארח הווירטואלי החדש שלך שיציג תוכן מוצפן באמצעות אישור SSL שיצרת.

בדיקת שרת Apache (HTTPS):

כדי לאמת את שרת האינטרנט Apache (HTTPS), פתח את דפדפן האינטרנט והקלד את כתובת ה- IP של השרת (עם "https: //", לדוגמה: "https://192.168.1.227").

שגיאה צריכה להופיע בדפדפן שלך, ועליך לקבל את האישור באופן ידני. הודעת השגיאה מופיעה מפני שאנו משתמשים בתעודה חתומה עצמית במקום בתעודה חתומה על ידי רשות אישורים שהדפדפן בוטח בה, והדפדפן אינו יכול לאמת את זהות השרת שאליו אתה מנסה להתחבר. לאחר שתוסיף חריגה לאימות הזהות של הדפדפן, תראה דף בדיקה של אובונטו עבור האתר החדש המאובטח שלך.

סיכום

עכשיו, יש לך SSL מופעל בשרת Apache שלך. זה יעזור להבטיח תקשורת בין שרת Apache שלך ​​ללקוחות. אם ברצונך לארח אתר ציבורי עם תמיכה ב- SSL, עליך לרכוש אישור SSL מרשות אישורים מהימנה.