ວິທີການສ້າງໃບຢັ້ງຢືນ SSL ທີ່ໄດ້ເຊັນດ້ວຍຕົນເອງແລະຂໍກະແຈ ສຳ ລັບ Apache ໃນ RHEL/CentOS 7.0


SSL (Secure Sockets Layer) ແມ່ນໂປໂຕຄອນລະຫັດທີ່ອະນຸຍາດໃຫ້ມີການໄຫລຂອງຂໍ້ມູນທີ່ປອດໄພລະຫວ່າງເຄື່ອງແມ່ຂ່າຍແລະລູກຄ້າຂອງມັນໂດຍໃຊ້ປຸ່ມ symmetric/asymmetric ໂດຍໃຊ້ໃບຢັ້ງຢືນດິຈິຕອນທີ່ເຊັນໂດຍໃບຢັ້ງຢືນສິດອໍານາດ (CA).

<

  • ການຕິດຕັ້ງ LAMP ຂັ້ນພື້ນຖານໃນ RHEL/CentOS 7.0
  • ບົດແນະ ນຳ ນີ້ໄດ້ສະ ເໜີ ວິທີການສ້າງຕັ້ງ Secure Sockets Layer (SSL) ອະນຸສັນຍາສື່ສານການສື່ສານໃນ Apache Web Server ຕິດຕັ້ງໃນ Red Hat Enterprise Linux/CentOS 7.0, ແລະສ້າງໃບຢັ້ງຢືນແລະຄີທີ່ເຊັນດ້ວຍຕົນເອງພ້ອມດ້ວຍ ການຊ່ວຍເຫຼືອຂອງບົດຂຽນທີ່ແຕກຕ່າງກັນຢ່າງຫຼວງຫຼາຍໃນຂະບວນການທັງ ໝົດ.

    ຂັ້ນຕອນທີ 1: ຕິດຕັ້ງແລະຕັ້ງຄ່າ Apache SSL

    1. ເພື່ອໃຫ້ SSL ໃນ Apache HTTP Server ໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້ເພື່ອຕິດຕັ້ງ SSL Module ແລະ OpenSSL tool-kit ເຊິ່ງ ຈຳ ເປັນ ສຳ ລັບການສະ ໜັບ ສະ ໜູນ SSL/TLS.

    # yum install mod_ssl openssl

    2. ຫຼັງຈາກໂມດູນ SSL ໄດ້ຖືກຕິດຕັ້ງແລ້ວ, ໃຫ້ເລີ່ມ daemon HTTPD ຄືນ ໃໝ່ ແລະເພີ່ມກົດລະບຽບ Firewall ໃໝ່ ເພື່ອຮັບປະກັນວ່າພອດ SSL - 443 - ມັນໄດ້ເປີດໃຫ້ມີການເຊື່ອມຕໍ່ພາຍນອກຢູ່ໃນເຄື່ອງຂອງທ່ານໃນການຟັງ ລັດ.

    # systemctl restart httpd
    # firewall-cmd --add-service=https   ## On-fly rule
    
    # firewall-cmd --permanent  --add-service=https   ## Permanent rule – needs firewalld restart

    3. ເພື່ອທົດສອບການເຊື່ອມຕໍ່ SSL, ເປີດ browser ທີ່ຢູ່ຫ່າງໄກສອກຫຼີກແລະໄປຫາທີ່ຢູ່ IP ຂອງ server ຂອງທ່ານໂດຍໃຊ້ HTPS protocol ໃນ https:/server_IP .

    ຂັ້ນຕອນທີ 2: ສ້າງໃບຢັ້ງຢືນແລະກຸນແຈ SSL

    4. ການສື່ສານ SSL ທີ່ຜ່ານມາລະຫວ່າງ server ແລະລູກຄ້າໄດ້ເຮັດແລ້ວໂດຍໃຊ້ໃບຢັ້ງຢືນເລີ່ມຕົ້ນແລະ Key ສ້າງໂດຍອັດຕະໂນມັດໃນການຕິດຕັ້ງ. ເພື່ອຜະລິດກະແຈສ່ວນຕົວ ໃໝ່ ແລະຄູ່ໃບຢັ້ງຢືນທີ່ເຊັນດ້ວຍຕົນເອງສ້າງຕົວອັກສອນ bash ຕໍ່ໄປນີ້ໃນເສັ້ນທາງຂອງລະບົບທີ່ໃຊ້ງານໄດ້ ( $PATH ).

    ສຳ ລັບ ຄຳ ແນະ ນຳ ນີ້ /usr/local/bin/ ເສັ້ນທາງໄດ້ຖືກເລືອກ, ໃຫ້ແນ່ໃຈວ່າສະຄິບມີການຕັ້ງຄ່າເລັກນ້ອຍແລະຫຼັງຈາກນັ້ນ, ໃຊ້ມັນເປັນ ຄຳ ສັ່ງເພື່ອສ້າງຄູ່ SSL ໃໝ່ ໃນ /etc/httpd/ssl/ ເປັນໃບຢັ້ງຢືນແລະສະຖານທີ່ຕັ້ງຄ່າເລີ່ມຕົ້ນ.

    # nano /usr/local/bin/apache_ssl

    ໃຊ້ເນື້ອຫາເອກະສານຕໍ່ໄປນີ້.

    #!/bin/bash
    mkdir /etc/httpd/ssl
    cd /etc/httpd/ssl
    
    echo -e "Enter your virtual host FQDN: \nThis will generate the default name for Apache SSL Certificate and Key!"
    read cert
    
    openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out $cert.key
    chmod 600 $cert.key
    openssl req -new -key $cert.key -out $cert.csr
    openssl x509 -req -days 365 -in $cert.csr -signkey $cert.key -out $cert.crt
    
    echo -e " The Certificate and Key for $cert has been generated!\nPlease link it to Apache SSL available website!"
    ls -all /etc/httpd/ssl
    exit 0

    5. ດຽວນີ້ເຮັດໃຫ້ script ນີ້ສາມາດໃຊ້ງານໄດ້ແລະເປີດໃຊ້ເພື່ອສ້າງໃບຢັ້ງຢືນແລະຄີຄູ່ ໃໝ່ ສຳ ລັບເຈົ້າພາບ Apache SSL Virtual Host ຂອງທ່ານ.

    ຕື່ມຂໍ້ມູນໃສ່ກັບຂໍ້ມູນຂອງທ່ານແລະເອົາໃຈໃສ່ກັບມູນຄ່າ ຊື່ສາມັນ ເພື່ອໃຫ້ກົງກັບເຄື່ອງແມ່ຂ່າຍຂອງທ່ານ FQDN ຫຼືໃນກໍລະນີຂອງ Virtual Hosting ໃຫ້ກົງກັບທີ່ຢູ່ເວັບທີ່ທ່ານຈະເຂົ້າເຖິງເມື່ອເຊື່ອມຕໍ່ກັບເວັບໄຊທ໌ທີ່ປອດໄພ.

    # chmod +x /usr/local/bin/apache_ssl
    # apache_ssl

    6. ຫຼັງຈາກທີ່ອອກໃບຢັ້ງຢືນແລະຄີໄດ້ຖືກສ້າງຂຶ້ນ, ສະຄິບຈະ ນຳ ສະ ເໜີ ລາຍຊື່ຍາວຂອງຄູ່ Apache SSL ຂອງທ່ານທັງ ໝົດ ທີ່ເກັບໄວ້ໃນ /etc/httpd/ssl/ ທີ່ຢູ່.

    7. ວິທີການອື່ນໆໃນການຜະລິດ SSL Certificates ແລະ Keys ແມ່ນໂດຍການຕິດຕັ້ງ crypto-utils ໃນລະບົບຂອງທ່ານແລະສ້າງຄູ່ໂດຍໃຊ້ genkey ເຊິ່ງສາມາດ ນຳ ໃຊ້ບາງບັນຫາໂດຍສະເພາະເມື່ອ ນຳ ໃຊ້ ໜ້າ ຈໍປາຍທາງ Putty .

    ສະນັ້ນ, ຂ້າພະເຈົ້າຂໍແນະ ນຳ ໃຫ້ໃຊ້ວິທີນີ້ພຽງແຕ່ເມື່ອທ່ານເຊື່ອມຕໍ່ໂດຍກົງກັບຈໍພາບ.

    # yum install crypto-utils
    # genkey your_FQDN

    8. ເພື່ອເພີ່ມໃບຢັ້ງຢືນແລະກຸນແຈ ໃໝ່ ເຂົ້າໃນເວບໄຊທ໌ SSL ຂອງທ່ານ, ເປີດເອກະສານການຕັ້ງຄ່າເວບໄຊທ໌ຂອງທ່ານແລະປ່ຽນແທນ ຄຳ ສັ່ງ SSLCertificateFile ແລະ SSLCertificateKeyFile ພ້ອມກັບ ຕຳ ແໜ່ງ ຄູ່ ໃໝ່ ແລະຊື່ຕາມຄວາມ ເໝາະ ສົມ.

    9. ຖ້າໃບຢັ້ງຢືນບໍ່ໄດ້ຖືກອອກໂດຍ CA ທີ່ເຊື່ອຖືໄດ້ - ອົງການຢັ້ງຢືນຫຼືຊື່ໂຮດຈາກໃບຢັ້ງຢືນບໍ່ກົງກັບຊື່ໂຮດທີ່ສ້າງການເຊື່ອມຕໍ່, ຂໍ້ຜິດພາດຄວນຈະປາກົດຢູ່ໃນໂປຣແກຣມທ່ອງເວັບຂອງທ່ານແລະທ່ານຕ້ອງຍອມຮັບໃບຢັ້ງຢືນດ້ວຍຕົນເອງ.

    ນັ້ນແມ່ນມັນ! ດຽວນີ້ທ່ານສາມາດໃຊ້ apache_ssl ເປັນເສັ້ນ ຄຳ ສັ່ງໃນ RHEL/CentOS 7.0 ເພື່ອຜະລິດໃບຢັ້ງຢືນທີ່ໄດ້ເຊັນດ້ວຍຕົນເອງເປັນ ຈຳ ນວນຫຼາຍຄູ່ແລະທີ່ທ່ານຕ້ອງການ, ແລະມັນຈະຖືກເກັບຮັກສາໄວ້ຢູ່ /etc/httpd/ssl/ ເສັ້ນທາງດ້ວຍແຟ້ມ Key ທີ່ຖືກປົກປ້ອງດ້ວຍສິດ 700 .