התקנת תעודת אבטחה ב Apache

מאמרים קשורים:

הסבר על תקשורת מאובטחת SSL \ TLS הצפנה RSA ומנגנון החלפת מפתחות Diffie Hellman
הסבר על תעודות אבטחה SSL Certificate
הסבר על Public Key Infrastructure
יצירת תעודת אבטחה דיגטלית והתקנת התעודה ב Apache
Certificate Authority, Enterprise,Standalone והסבר על תעודות
מאמרים ישנים יותר
הסבר על תעודות אבטחה ויצירתם דרך Linux

באתר קיימים מאמרים והסברים על מדוע צריך תעודות אבטחה, בהסבר מהיר: על מנת שהתקשורת בין מחשב א' לשרת ב' תהיה מאובטחת יש להשתמש בתעודות אבטחה, על ידי תעודות אבטחה לא יכול תוקף להאזין למידע והמידע אינו נשלח ב Clear Text ברשת.

מאמר זה משלב מאמר 1: התקנת מערכת תוכן WordPress ושרת Apache, MySql, PhpMyAdmin ומאמר 2: Linux Apache2 אשר נמצאים באתר

הנחת היסוד למאמר זה שמותקן לכם שרת LAMP (המאמר הראשון שהזכרתי למעלה) ואתר וורדפרס או כל אתר אחר שבו נבדוק שהתעודה תקינה.

התעודה שאנו נשתמש היא תעודת Self-Sign Cetificate זאת אומרת שהתעודה חתומה על ידי השרת עצמו ולכן לא מוכרת במחשבים אחרים. המטרה כאן להציג כיצד מגדירים

• תוכלו לרכוש תעודה משלכם לאתר שלכם שמוכרת כ- Trusted Root ולהגדיר בדיוק כמו במדריך רק ללא יצירת התעודה שלנו: כמו חברת Comodo
• יצירת תעודה Self Sign Certificate ואת זה נגדיר במדריך

לאחר שיש לנו אתר והכל מותקן נתקין תחילה Mod_SSL שחיוני על מנת שתעודת האבטחה תעבוד

[root@localhost ~]# sudo yum install mod_ssl

כעת נגדיר  Virtual Host לאתר שלנו

אם זה מעבדה והאתר אינו קיים בDNS יש להגדיר תחילה במחשב שלכם:

אפתח את קובץ הHosts בווינדוס אצלי בנתיב

C:\Windows\System32\drivers\etc\hosts

ולהכניס לתוך הקובץ

192.168.1.115 tal.com

כעת נבצע זאת בשרת

[root@localhost ~]# vi /etc/hosts

נכניס בסוף השורה

192.168.1.115 tal.com

נמשיך

נגדיר לשרת ה Apache שלנו לטעון כל פעם שהוא עולה קובץ הגדרות חדש

[root@localhost ~]# vi /etc/httpd/conf/httpd.conf

בסוף המסמך בשורה האחרונה הוסיפו את השורה

IncludeOptional sites-enabled/*.conf

כעת ניצור 2 תיקיות

[root@localhost httpd]# mkdir /etc/httpd/sites-enabled

[root@localhost httpd]# mkdir /etc/httpd/sites-available

נערוך את הקובץ ההגדרות של ה Virtual Host

[root@localhost ~]# vi /etc/httpd/sites-available/tal.com.conf

נכניס את ההגדרות הבאות, יש לשנות אותם לפי כתובת האתר שלכם

<VirtualHost *:80>

ServerName www.tal.com

ServerAlias tal.com

DocumentRoot /var/www/html/

</VirtualHost>

כעת ניצור Symbolic Link מהתיקייה available ל enabled בכדי שה Appache יטען את הקובץ הזה

[root@localhost ~]# ln -s /etc/httpd/sites-available/tal.com.conf /etc/httpd/sites-enabled/tal.com.conf

בצעו ריסטרט לשרת

[root@localhost ~]# systemctl restart httpd

כעת בדקו אם הכתובת של האתר עובדת לכם

הגדרת תעודת אבטחה

כעת ניצור תעודה:

נתקין את open-ssl

[root@localhost ~]# yum install openssl

כעת ניכנס לנתיב ונערוך את הקובץ

/etc/pki/tls/openssl.cnf

עדיף לבצע את זה מ WinScp אך לא חייב

נוסיף את השורות הבאות:

*כמובן שיש לשנות את הכתובות לאתר שלכם

[ alternate_names ]

DNS.1 = tal.com

DNS.2 = www.tal.com

DNS.3 = mail.tal.com

DNS.4 = ftp.tal.com

כעת נחפש את השורה

[ v3_ca ]

ומתחת נוסיף את השורה

subjectAltName = @alternate_names

כעת נחפש את השורה

# Extension copying option: use with caution.

#copy_extensions = copy

ונסיר את # מהשורה כך:

# Extension copying option: use with caution.

copy_extensions = copy

כעת ניצור Public Certificate המכילה את ה Public Key ובנוסף את ה Private Key

[root@localhost ~]# sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/certs/shushan.key -out /etc/ssl/certs/shushan.crt

נזין את הפרטים לפי מה שרשום עד שאתם מגיעים ל:

Common Name

שם אתם מזינים את כתובת האתר שלכם

 VirtualHost For Https

כעת נערוך את קובץ ה VirtualHost

<VirtualHost *:443>

SSLEngine On

SSLCertificateFile /etc/pki/tls/certs/shushan.crt

SSLCertificateKeyFile /etc/pki/tls/certs/shushan.key

#SSLCACertificateFile /etc/pki/tls/certs/localhost.crt #If using a self-signed certificate or a root certificate provided by ca-certificates, omit this line

ServerAdmin info@example.com

ServerName tal.com

DocumentRoot /var/www/html

#ErrorLog /var/www/example.com/logs/error.log

#CustomLog /var/www/example.com/logs/access.log combined

</VirtualHost>

נבצע ריסטארט לאפאצ'י

[root@localhost ~]# systemctl restart httpd

לאחר הריסטארט לא סיימנו, יש להגדיר למחשב שלנו לסמוך על התעודה שיצרנו, כיוון שהתעודה Seld Sigend Certificate המחשב שלנו לא יסמוך עליה

אנחנו נקבל את השגיאה

אישור הבסיס של רשות האישורים אינו אמין.

ניכנס ב Winscp אל התיקייה

/etc/pki/tls/certs

ניקח את התעודה שיצרנו ונעביר אותה למחשב

כעת נלך לתיקייה שאליה העברנו אותה ונלחץ פעמיים על התעודה

כעת לחצו על התקנת אישור

הבא

סמנו מקם את כל האישורים במאגר הבא

ובחרו ברשויות אישורים עליונות מהימנות

הבא ואז סיום

כעת הוא יזהיר אותנו שהוא לא מכיר את ה CA הזה, לחצו כן והמשיכו

מעולה, כעת ניכנס לאתר שלנו ונבדוק שהכל תקין!

מעולה הכל תקין!

WordPress

אם מוגדר לכם WordPress אז לא סיימתן, יש לשנות את כתובת האתר בהגדרות ה WordPress

ניכנס ללוח הבקרה

בנתיב

http://domain.com/wp-admin

הגיעו להגדרות

כעת שנו את הכתובת לכתובת שלכם בתוספת https

https://tal.com

גם ב URL של וורדפרס וגם ב URL של האתר כמו בתמונה