Configurează Apache HTTP securizat pentru CentOS 7

Securizarea server-ului Apache reprezintă una dintre cele mai importante sarcini ale unui webmaster. În acest articol, vă vom arăta un tutorial pentru configurarea securizată a server-ului HTTP Apache și cum să folosiți chei ssl pentru server-ul web Apache pe un sistem cu Centos7. Această metodă ar trebui să funcționeze pe toate sistemele bazate pe Fedora sau Redhat.

Pentru început, să aflăm detalii despre sistem:

Crearea certificatelor

Trebuie să ajungem în directorul următor folosind comanda cd:

# cd /etc/pki/tls/certs

Vom rula comanda următoare pentru a crea un fișier cu cheia server-ului:

Se creează cheia RSA

# openssl rsa -in server.key -out server.key Enter pass phrase for server.key: writing RSA key

Se generează fișierul cu cheia CSR

Se semnează cheia și se specifică data de expirare:

# openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 1000 Signature ok subject=/C=NL/ST=Amsterdam/L=Default City/O=Unixmen/OU=Unixmen Hosting/CN=storage-server.unixmen.com/emailAddress=Pirat9@unixmen.com Getting Private key

Se configurează cheile SSL pentru a conlucra cu Apache

# yum -y install httpd mod_ssl

Activați și porniți Apache

Se configurează ‘/etc/httpd/conf.d/ssl.conf’

Fișierul ssl.conf ar trebui să arate astfel:

#mv /etc/httpd/conf.d/ssl.conf /etc/httpd/conf.d/ssl.conf.orig #vi /etc/httpd/conf.d/ssl.conf

LoadModule ssl_module modules/mod_ssl.so Listen 443 SSLPassPhraseDialog builtin SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000) SSLSessionCacheTimeout 300 SSLRandomSeed startup file:/dev/urandom 256 SSLRandomSeed connect builtin SSLCryptoDevice builtin <VirtualHost *:443> DocumentRoot "/var/www/html" ServerName 127.0.0.1:443 ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log LogLevel warn SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW SSLCertificateFile /etc/pki/tls/certs/server.crt SSLCertificateKeyFile /etc/pki/tls/certs/server.key <Files ~ "\.(cgi|shtml|phtml|php3?)$"> SSLOptions +StdEnvVars </Files> <Directory "/var/www/cgi-bin"> SSLOptions +StdEnvVars </Directory> SetEnvIf User-Agent ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 CustomLog logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost>

Salvați și ieșiți

Reporniți Apache

Verificați dacă porturile 80 și 443 sunt active:

Oferiți permisiuni pentru porturile 80 și 443 în Iptables:

vi /etc/sysconfig/iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT Reload and restart iptables

Dacă folosiți Firewalld, executați comenzile următoare:

firewall-cmd --permanent --add-port=80/tcp firewall-cmd --permanent --add-port=443/tcp

Reporniți iptables sau reîncărcați firewall-ul:

service iptables restart
sau
firewall-cmd --reload

Deschideți navigatorul web și verificați adresa https://IP-Address.

Felicitări!

N.R. În acest exemplu, certificatul nu este generat de o autoritate recunoscută, așadar la accesarea site-ului veți primi o atenționare că certificatul nu poate fi verificat.

This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License by unixmen.com