Kui olete süsteemiadministraator, kes vastutab veebiserveri hooldamise ja turvamise eest, ei saa te seda endale lubada ärge andke endast parima, et tagada teie serveri teenindatavate või selle kaudu käivate andmete kaitse korda.
Veebiklientide ja serverite vahelise turvalisema side tagamiseks on HTTPS protokoll sündis kombinatsioonina HTTP ja SSL (Turvaliste pistikupesade kiht) või hiljuti, TLS (Transpordikihi turvalisus).
Tõsiste turvarikkumiste tõttu SSL on aegunud tugevamate kasuks TLS. Sel põhjusel selgitame selles artiklis, kuidas kaitsta oma veebiserveri ja klientide vahelist ühendust TLS -i abil.
See õpetus eeldab, et olete oma Apache veebiserveri juba installinud ja konfigureerinud. Kui ei, siis vaadake enne edasist jätkamist selle saidi järgmist artiklit.
Kõigepealt veenduge selles Apache jookseb ja seda mõlemat http ja https on lubatud tulemüüri kaudu:
# systemctl käivitage http. # systemctl lubage http. # tulemüüri-cmd-alaline –- lisateenus = http. # tulemüüri-cmd-alaline –- lisateenus = https.
Seejärel installige vajalikud paketid:
# yum update && yum install openssl mod_nss crypto-utils.
Oluline: Pange tähele, et saate asendada mod_nss koos mod_ssl ülaltoodud käsus, kui soovite kasutada OpenSSL raamatukogud selle asemel NSS (Võrgu turvateenus) rakendada TLS (millist neist kasutada, jääb täielikult teie otsustada, kuid me kasutame selles artiklis NSS -i, kuna see on tugevam; näiteks toetab see hiljutisi krüptograafia standardeid nagu PKCS #11).
Lõpuks desinstallige mod_ssl kui otsustasid kasutada mod_nssvõi vastupidi.
# yum eemalda mod_ssl.
Pärast mod_nss on installitud, luuakse selle vaikimisi konfiguratsioonifail nimega /etc/httpd/conf.d/nss.conf. Seejärel peaksite veenduma, et kõik Kuulake ja VirtualHost direktiivid osutavad sadamale 443 (HTTPS -i vaikeport):
nss.conf - konfiguratsioonifail
Kuulake 443. VirtualHost _default_: 443.
Seejärel taaskäivitage Apache ja kontrollige, kas mod_nss moodul on laaditud:
# apachectl taaskäivitage. # httpd -M | grep nss.
Järgmisena tuleks teha järgmised muudatused /etc/httpd/conf.d/nss.conf
konfiguratsioonifail:
1. Märkige NSS andmebaasi kataloog. Võite kasutada vaikekataloogi või luua uue. Selles õpetuses kasutame vaikimisi:
NSSCertificateDatabase/etc/httpd/alias.
2. Vältige igal süsteemil parooli käsitsi sisestamist, salvestades parooli andmebaasi kataloogi /etc/httpd/nss-db-password.conf:
NSSPassPhraseDialog-fail: /etc/httpd/nss-db-password.conf.
Kus /etc/httpd/nss-db-password.conf sisaldab AINULT järgmist rida ja minu parool on parool, mille määrate hiljem NSS andmebaasi jaoks:
sisemine: minu parool.
Lisaks tuleks määrata selle õigused ja omandiõigus 0640 ja juur: apachevastavalt:
# chmod 640 /etc/httpd/nss-db-password.conf. # chgrp apache /etc/httpd/nss-db-password.conf.
3. Red Hat soovitab keelata SSL ja kõik versioonid TLS eelmine kuni TLSv1.0 tõttu POODLE SSLv3 haavatavus (rohkem teavet siin).
Veenduge, et iga eksemplar NSSP protokoll direktiiv kõlab järgmiselt (tõenäoliselt leiate ainult ühe, kui te ei majuta teisi virtuaalseid hoste):
NSSPprotokoll TLSv1.0, TLSv1.1.
4. Apache keeldub taaskäivitamisest, kuna see on ise allkirjastatud sertifikaat ega tunnista väljaandjat kehtivaks. Sel põhjusel peate sel juhul lisama:
NSSEnforceValidCerts välja lülitatud.
5. Kuigi see pole rangelt nõutav, on oluline NSS -i andmebaasi jaoks parool määrata:
# certutil -W -d/etc/httpd/alias.