Instalarea și configurarea certificatelor Apache și SSL-semnat
În cele din urmă vine un moment în care traficul de la server la client
Trebuie să fie (sau ar dori) pentru a cripta. În cazul meu, a fost nevoie de
samopisnaya pentru un sistem în care a alunecat de utilizator și parole
utilizatori. Prin urmare, sa decis să se utilizeze o grămadă de + apache mod_ssl.
# FreeBSD 7.0
2.2.9 # Apache
instalarea Apache
Nu-mi place să reinventeze roata și se completează până dacă ceva la mine,
astfel încât pentru a instala software-ul pe sistemul de porturi FreeBSD Eu folosesc. în același mod
configs locație nu se schimbă, și se lasă implicit.
Instalare Apache:
# Cd / usr / porturi / www / apache22
# Make install curat
La instalarea Apache prima dată când apare o casetă de dialog de selecție
module. Este necesar să se verifice dacă modulul SSL este selectată (există aproape
foarte de jos). Alte module pot fi activate / dezactivate pentru a se potrivi nevoilor dumneavoastră.
După ce am apăsați pe «OK» și așteptați pentru sfârșitul întocmiri
instalare.
După instalarea web-server și să-l configurați, trebuie să ne
creați-certificate SSL. Creați-le, vom fi într-un dosar cu configurările
Apache. Pentru a crea avem nevoie de un număr de aceste certificate. în primul rând,
că avem nevoie - este parola. Ca întotdeauna inventa ceva
lung și complex. În exemplul nostru, să fie «agu7Lirithiunee».
# Cd / usr / local / etc / apache22
# OpenSSL genrsa -des3 -RAND / dev / -out server.key aleatoare 1024
# Openssl rsa -in server.key -out server.pem
# req OpenSSL -Noua -key server.key -out server.csr
# Openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Atunci când a treia echipă va trebui să completați un scurt
profil. De fapt, puteți lovi constant Enter, dar există un domeniu care
completați este în continuare necesară. Mi-ar recomanda sa nu fie leneș și umple
toate domeniile de activitate. De asemenea, este necesar să se constate că fișierul ne server.csr
necesară pentru a obține un certificat semnat.
Denumire comună (de exemplu, numele tău) []: www.domain.ru - umple întregul
serverul nostru nume de domeniu, pentru care primim certificatul.
(Suplimentar) câmp suplimentar nu se umple!
După finalizarea, vom crea 4 fișiere: server.crt, server.csr, server.key, server.pem.
De fapt, acest lucru este posibil și de oprire: web-server este capabil să lucreze pe
ssl, dar ne vom confrunta cu următoarele probleme:
1) au primit certificate semnate nu sunt, cu toate acestea browsere
va jura să-i, care la rândul său, va conduce la faptul că
utilizatorul trebuie să efectueze o serie de acțiuni. Din moment ce nu toate
utilizatorii vor înțelege că de la ei ei trebuie doar să înscrie anxietate
închide pagina și totul.
2) Este posibil ca avem nevoie doar codurile și certificate,
deci nu vom face fără semn, deoarece acestea nu vor răspunde
toate cerințele de siguranță.
2. În forma propusă în primul câmp, vom copia conținutul unui fișier
CSR extensie (copiat în întregime).
3. În a doua casetă, selectați punctul Apache-ModSSL.
4. Faceți clic pe Next.
8. Faceți clic pe Agree # 038; Continuă.
Pentru a începe Apache cu SSL adaugă următoarele linii de configurare:
# Echo "apache2_enable = YES" >> /etc/rc.conf
# Echo "apache2ssl_enable = YES" >> /etc/rc.conf
# Echo "accf_http_load = YES" >> /boot/loader.conf
# Kldload accf_http
Al treilea rând, este necesar să se asigure că eroarea nu apare atunci când porniți:
# 91; avertiza # 93; # 40; 2 # 41; Nu există un astfel de fișier sau director: Failed pentru a permite „httpready“ Acceptare filtru
Cea de a patra linie este necesară pentru a evita supraîncărcarea server, astfel încât
vă ca FreeBSD permite să se încarce în mod dinamic / descărca module de kernel. pentru
verificați dacă modulul este încărcat, vom vedea echipa de ieșire kldstat.
Conduita httpd.conf de stabilire a standardelor:
După aceea, vom proceda la configurarea httpd-ssl.conf:
1) Pentru a lansa web-server este rulat în mod automat și nu
a rămas la ssl-certificatul de solicitare a parolei, apoi înlocuiți
DocumentRoot "/ usr / local / www / apache22 / date"
ServerName www.domain.ru: 443
SSLEngine pe
SSLCipherSuite ALL. ADH. EXPORT56: RC4 + RSA: + RIDICAT: + MEDIU: + LOW: + SSLv2: + EXP: + eNULL
SSLCertificateFile / usr / local / etc / apache22 / www_domain_ru.crt
SSLCertificateKeyFile "/usr/local/etc/apache22/server.key"
SSLCACertificateFile / usr / local / etc / apache22 / www_domain_ru.ca-pachet
SSLOptions + StdEnvVars
SSLOptions + StdEnvVars
BrowserMatch "* Microsoft Internet Explorer. *" \
nokeepalive ssl-necurat-oprire \
downgrade- 1.0 force-response- 1.0
3) Creați un ecou script în directorul / usr / local / etc / apache22, care va
Apache răspuns certificat prompt parolă, după cum urmează:
#! / Bin / sh
/ Bin / echo agu7Lirithiunee
Schimbarea de proprietate și permisiuni:
# Chown rădăcină: roata / usr / local / etc / apache22 / echo
# Chmod 700 / usr / local / etc / apache22 / echo
NameVirtualHost a.b.c.d: 80
DocumentRoot "/ usr / local / www / apache22 / date"
ServerName www.domain.ru
1) Deschideți pentru editarea config httpd-vhosts.conf.
2) opțiunea de rezoluție AllowOverride pentru a schimba conținutul gazdă virtuală
în continuare, după cum urmează:
NameVirtualHost a.b.c.d: 80
DocumentRoot "/ usr / local / www / apache22 / date"
ServerName www.domain.ru
AllowOverride Toate
3) În continuare avem nevoie pentru a crea un fișier .htaccess în directorul care conține site-ul nostru
următorul cod:
RewriteEngine on
Redirect / https: // www.domain.ru /
Editare config completat. Acum putem rula Apache:
# 91; root @ domeniu / usr / local / etc / apache22 / # 93; # /usr/local/etc/rc.d/apache22 începe
Efectuarea de verificare bun-simț pe apache22 de configurare:
sintaxa OK
Pornirea apache22.
Dacă ați ratat prima parte a acestei serii, vă rugăm să-l citiți pentru a Utilizarea Exchange Server Remote Connectivity Analyzer Instrument pentru (Partea. [+]