利用这项技能,做事器能够在做事器与客户间安装传输数据,而无需担心为外部所截获。其证书系统还能够帮助用户核实其所连接站点的身份。
在本教程中,我们将磋商如何在Ubuntu 16.04做事器上为Apache Web做事器设置一份自署名SSL证书。
把稳:自署名证书将对做事器与客户端间的通信内容进行加密。然而,由于其署名并非来自受信证书中央,因此用户无法利用该证书自动验证做事器身份。
自署名证书适用于那些做事器不具备干系域名的情形,特殊是那些不面向用户的加密Web接口实例。如果大家拥有域名,那么一样平常来说最好是利用CA署名证书。大家可以参阅此文理解如何利用Let’s Encrypt设置免费受信证书。
先决条件在开始之前,大家首先该当拥有一个具备sudo权限的非root用户。参阅Ubuntu 16.04初始做事器设置一文理解如何设置这样的用户账户。
其余,大家还须要安装一套Apache Web做事器。如果各位希望在做事器上安装LAMP(即Linux、Apache、MySQL与PHP)堆栈,请参阅在Ubuntu 16.04上设置LAMP。如果大家只希望利用Apache Web做事器,则请途经教程中的PHP与MySQL部分。
第一步:创建SSL证书
TLS/SSL采取公共证书与私钥的结合体。SSL密钥在做事器上进行安全保存,用于对发送至客户真个内容进行加密。SSL证书则由任何要求该内容的用户共享,可用于解密对应SSL密钥所签署的内容。
大家可以利用以下命令利用OpenSSL创建一条自署名密钥与证书:
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt下面来看命令中的各部分内容:
openssl: 基本命令行工具,用于创建并管理OpenSSL证书、密钥与其它文件。req: 此子命令指定我们希望利用X.509证书署名要求(简称CSR)管理。个中X.509是一项公钥根本举动步伐标准,SSL与TLS将其指定为密钥与证书管理机制。-x509: 进一步修正前一条子命令,奉告工具我们须要的是自署名证书,而非天生普通的证书署名要求。-nodes: 奉告OpenSSL跳过利用密码保护证书的选项。我们的Apache须要在做事器启动时能够在不经用户容许的情形下读取该文件,而密码会影响到这一流程。-days 365: 此选项选定证书的有效时限。我们将其设定为一年。-newkey rsa:2048: 指定我们希望同时天生一份新证书与新密钥。我们在上一步设定中无需创建密钥即可签署证书,因此这里须要将密钥与证书一同创建。个中rsa:2048部分指定天生RSA密钥,长度为2048位。-keyout: 此行奉告OpenSSL将天生的密钥文件保存在何处。-out: 奉告OpenSSL将我们创建的证书保存在何处。以上各选项将同时创建密钥文件与证书。我们还须要回答几个与做事器干系的问题以在证书中添加精确的信息。
精确填写提示内容。最主要的一行便是Common Name(例如做事器FQDN或者域名)。大家须要填写做事器干系域名或者公共IP地址。
完全的提示内容如下:
OutputCountry Name (2 letter code) [AU]:USState or Province Name (full name) [Some-State]:New YorkLocality Name (eg, city) []:New York CityOrganization Name (eg, company) [Internet Widgits Pty Ltd]:Bouncy Castles, Inc.Organizational Unit Name (eg, section) []:Ministry of Water SlidesCommon Name (e.g. server FQDN or YOUR name) []:server_IP_addressEmail Address []:admin@your_domain.com
创建完成的两个文件都将保存在/etc/ssl目录中的对应子目录内。
在利用OpenSSL时,大家应该创建一个强Diffie-Hellman组,用于同客户端会谈时的完备正向保密。
详细实现办法如下:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048全体过程可能耗时几分钟,但完成后即可在/etc/ssl/certs/dhparam.pem处天生可用于配置的强DH组。
第二步:配置Apache以利用SSL
我们在/etc/ssl目录下创建了密钥与证书文件,现在修正Apache配置以利用这些文件。
我们须要在配置中进行以下调度:
创建一个配置片段以指定强默认SSL设置。修正个中的SSL Apache Virtual Host文件以指向我们天生的SSL证书。(建议) 修正未加密Virtual Host文件以将要求自动指向至加密Virtual Host。完成后,安全SSL配置即大功告成。
利用强加密设置创建Apache配置片段
首先创建一条Apache配置片段以定义部分SSL设置。首先在/etc/apache2/conf-available目录内创建一个新片段。我们将利用ssl-params.conf作为文件名:
sudo nano /etc/apache2/conf-available/ssl-params.conf要安全设置Apache SSL,请参阅Remy van Elst在Cipherli.st站点上给出的干系建议。此站点专门为各主流软件供应易于利用的加密设置。大家可以参阅此文理解更多与Apache选项干系的内容。
在本示例中,我们可以直接复制以上站点供应的设置。不过,我们还须要将个中的SSLOpenSSLConfCmd DHParameters设置为指定我们刚刚天生的Diffie-Hellman文件:
/etc/apache2/conf-available/ssl-params.conf# from https://cipherli.st/# and https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.htmlSSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDHSSLProtocol All -SSLv2 -SSLv3SSLHonorCipherOrder OnHeader always set Strict-Transport-Security \"大众max-age=63072000; includeSubdomains; preload\"大众Header always set X-Frame-Options DENYHeader always set X-Content-Type-Options nosniff# Requires Apache >= 2.4SSLCompression off SSLSessionTickets OffSSLUseStapling on SSLStaplingCache \公众shmcb:logs/stapling-cache(150000)\"大众SSLOpenSSLConfCmd DHParameters \公众/etc/ssl/certs/dhparam.pem\"大众
完成后保存并退出。
修正默认Apache SSL Virtual Host文件
接下来,修正/etc/apache2/sites-available/default-ssl.conf文件,即默认Apache SSL Virtual Host文件。如果大家利用其它做事器块文件,则把稳更换以下命令中的对应部分:
在进行之前,首先备份初始SSL Virtual Host文件:
sudo cp /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-available/default-ssl.conf.bak现在打开SSL Virtual Host文件并进行调度:
sudo nano /etc/apache2/sites-available/default-ssl.conf取消个中的大部分注释,调度前的内容如下:
/etc/apache2/sites-available/default-ssl.conf<IfModule mod_ssl.c> <VirtualHost _default_:443> ServerAdmin webmaster@localhost DocumentRoot /var/www/html ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined SSLEngine on SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key <FilesMatch \公众\.(cgi|shtml|phtml|php)$\"大众> SSLOptions +StdEnvVars </FilesMatch> <Directory /usr/lib/cgi-bin> SSLOptions +StdEnvVars </Directory> # BrowserMatch \"大众MSIE [2-6]\"大众 \ # nokeepalive ssl-unclean-shutdown \ # downgrade-1.0 force-response-1.0 </VirtualHost></IfModule>
我们须要对VIrtual Host文件中的常规变更内容进行调度(ServerAdmin邮箱地址、ServerName等)、将SSL命令指向我们的证书与密钥文件,同时取消早期浏览器兼容性部分的注释。
变更完成后,文件内容如下:
/etc/apache2/sites-available/default-ssl.conf<IfModule mod_ssl.c> <VirtualHost _default_:443> ServerAdmin your_email@example.comServerName server_domain_or_IP DocumentRoot /var/www/html ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined SSLEngine on SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.key <FilesMatch \公众\.(cgi|shtml|phtml|php)$\"大众> SSLOptions +StdEnvVars </FilesMatch> <Directory /usr/lib/cgi-bin> SSLOptions +StdEnvVars </Directory> BrowserMatch \公众MSIE [2-6]\"大众 \nokeepalive ssl-unclean-shutdown \downgrade-1.0 force-response-1.0 </VirtualHost></IfModule>
完成后保存并退出。
(建议) 修正未加密VIrtual Host文件以重新定向至HTTPS
到这里,做事器将同时供应未加密HTTP与加密HTTPS流量。为了提升安全性,最好将HTTP流量自动定向至HTTPS。如果大家不须要这项功能,请直接跳过此节。
为了将未加密Virtual Host文件重新定向至SSL加密流量,我们打开/etc/apache2/sites-available/000-default.conf文件:
sudo nano /etc/apache2/sites-available/000-default.conf在个中的VirtualHost配置部分,我们添加Redirect指令将全部流量指向该站点的SSL版本:
/etc/apache2/sites-available/000-default.conf<VirtualHost :80> . . . Redirect \公众/\"大众 \公众https://your_domain_or_IP\"大众 . . .</VirtualHost>
完成后保存并退出。
第三步:调度防火墙
如果大家启用了ufw防火墙,则须要调度设置以许可SSL流量通过。幸运的是,Apache注册表已经预报安装了部分ufw配置。
通过以下命令查看可用配置:
sudo ufw app list返回列表如下:
OutputAvailable applications: Apache Apache Full Apache Secure OpenSSH
查看当前设置:
sudo ufw status如果之前只许可常规HTTP流量输入,则输出结果如下:
OutputStatus: activeTo Action From-- ------ ----OpenSSH ALLOW AnywhereApache ALLOW AnywhereOpenSSH (v6) ALLOW Anywhere (v6)Apache (v6) ALLOW Anywhere (v6)
要许可HTTPS流量接入,我们可以许可“Apache Full”配置而后删除多余的“Apache”配置:
sudo ufw allow ‘Apache Full’sudo ufw delete allow ‘Apache’调度后的状态如下:
sudo ufw statusOutputStatus: activeTo Action From-- ------ ----OpenSSH ALLOW AnywhereApache Full ALLOW AnywhereOpenSSH (v6) ALLOW Anywhere (v6)Apache Full (v6) ALLOW Anywhere (v6)
第四步:在Apache中运用变更
现在各项变更已经完成,接下来重启Apache即可将其付诸利用。
我们可以通过a2enmod命令启用Apache SSL模块mod_ssl,外加SSL片段设置所必需的mod_headers:
sudo a2enmod sslsudo a2enmod headers接下来,利用a2ensite命令启用SSL Virtual Host:
sudo a2ensite default-ssl现在,我们的站点及必要模块都已经启用。接下来进行检讨以确保文件中不存在语法缺点:
sudo apache2ctl configtest如果统统顺利,则返回结果如下:
OutputAH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this messageSyntax OK
第一行信息提示我们ServerName指令未被设定为全局。如果大家希望忽略该信息,则可在/etc/apache2/apache2.conf中将ServerName设定为做事器域名或者IP地址。当然,放着不管也没问题。
在输出结果为Syntax OK后,我们就能够重启Apache以运用变更了:
sudo systemctl restart apache2第五步:测试加密
下面打开浏览器并输入做事器域名或者IP:
https://server_domain_or_IP
由于我们创建的证书并非由浏览器信赖的证书中央颁发,因此个中可能显示警告:
大家不用紧张。我们关心的是证书是否进行了精确加密。点击“ADVANCED”而后点击链接连续访问主机:
站点该当可以成功访问了。可以看到,浏览器地址栏中有一个“X”标记,这意味着该证书无法验证。不过可以确定的是,我们的连接仍旧得到了加密。
如果在配置中将HTTP定向至HTTPS,则可检讨其重新定向功能是否精确:
http://server_domain_or_IP
如果浏览结果相同,则功能精确无误。
第六步:变动为永久重新定向
若重新定向机制正常起效,那么大家可以对未加密Apache Virtual Host进行永久重新定向。
再次打创办事器配置文件:
sudo nano /etc/apache2/sites-available/000-default.conf找到个中的Redirect行,添加permanent,其会将302临时重新定向变更为301永久重新定向:
/etc/apache2/sites-available/000-default.conf<VirtualHost :80> . . . Redirect permanent \公众/\"大众 \"大众https://your_domain_or_IP\"大众 . . .</VirtualHost>
保存并退出。
检讨配置文件中是否存在语法缺点:
sudo apache2ctl configtest完成后,重启Apache以运用变更:
sudo systemctl restart apache2总结大家已经对Apache做事器进行了配置,哀求其利用强加密处理客户端连接。如此一来,我们能够更为安全地处理要求,从而避免外部人士读取我们的流量。
本文来源自DigitalOcean Community。英文原文:How To Create a Self-Signed SSL Certificate for Apache in Ubuntu 16.04 By Justin Ellingwood
