Bii o ṣe Ṣẹda Iwe-ijẹrisi SSL ti Ara ẹni ti ara ẹni ni CentOS 8

SSL (Layer Socket Layer), ati ẹya ti o dara si, TLS (Layer Socket Layer), jẹ awọn ilana aabo ti o lo lati ni aabo ijabọ wẹẹbu ti a firanṣẹ lati aṣawakiri wẹẹbu alabara kan si olupin ayelujara kan.

Ijẹrisi SSL jẹ ijẹrisi oni-nọmba ti o ṣẹda ikanni ti o ni aabo laarin aṣàwákiri onibara ati olupin ayelujara kan. Ni ṣiṣe bẹ, ifura ati data igbekele gẹgẹbi data kaadi kirẹditi, awọn ijẹrisi iwọle, ati alaye ikọkọ ti o ga julọ ti wa ni ti paroko, ni idilọwọ awọn olosa lati gbọ ati jiji alaye rẹ.

Ijẹrisi SSL ti a fowo si ti ara ẹni, laisi awọn iwe-ẹri SSL miiran eyiti o fowo si ati igbẹkẹle nipasẹ Alaṣẹ Ijẹrisi kan (CA), jẹ ijẹrisi ti o fowo si nipasẹ ẹni kọọkan ti o ni.

O jẹ ominira ọfẹ lati ṣẹda ọkan ati ọna ti o din owo ti fifi ẹnọ kọ nkan ti olupin ayelujara ti o gbalejo ni agbegbe rẹ. Sibẹsibẹ, lilo ijẹrisi SSL ti a fowo si ti ara ẹni jẹ irẹwẹsi pupọ ni awọn agbegbe iṣelọpọ fun awọn idi wọnyi:

1. Niwọn igbati ko ti fowo si nipasẹ Alaṣẹ Ijẹrisi kan, ijẹrisi SSL ti a fowo si ti ara ẹni ṣe awọn itaniji lori awọn aṣawakiri wẹẹbu ti n kilọ fun awọn olumulo ti eewu ti o le wa niwaju ti wọn ba pinnu lati tẹsiwaju. Awọn itaniji wọnyi ko fẹ ati pe yoo da awọn olumulo loju lati ṣe abẹwo si oju opo wẹẹbu rẹ, eyiti o le ja si idinku ninu ijabọ oju opo wẹẹbu. Gẹgẹbi iṣẹ-ṣiṣe si awọn itaniji wọnyi, awọn ajo nigbagbogbo gba awọn oṣiṣẹ wọn niyanju lati foju foju wo awọn itaniji ki o tẹsiwaju siwaju. Eyi le ṣe ihuwasi ihuwasi ti o lewu laarin awọn olumulo ti o le pinnu lati tẹsiwaju aibikita awọn itaniji wọnyi lori awọn aaye ayelujara ori ayelujara miiran, ti o le ja si olufaragba si awọn aaye ayelujara ti ararẹ.
2. Awọn iwe-ẹri ti a fowo si ti ara ẹni ni ipele aabo kekere nitori wọn ṣe awọn imọ-ẹrọ cipher ipele-kekere ati awọn eefin. Nitorinaa ipele aabo ko le wa ni ipo pẹlu awọn ilana aabo bošewa.
3. Ni afikun, ko si atilẹyin fun awọn iṣẹ Amayederun Bọtini (PKI).

Ti o sọ pe, lilo ijẹrisi SSL ti o fowo si ti ara ẹni kii ṣe imọran buburu fun awọn iṣẹ idanwo ati awọn ohun elo lori ẹrọ agbegbe ti o nilo fifi ẹnọ kọ nkan TLS/SSL.

Ninu itọsọna yii, iwọ yoo kọ bi o ṣe le fi sori ẹrọ ijẹrisi SSL ti ara ẹni ti ara ẹni ti ara ẹni lori olupin ayelujara ti agbegbe local Apache lori eto olupin CentOS 8.

Ṣaaju ki o to bẹrẹ, rii daju pe o ni awọn ibeere ipilẹ wọnyi:

1. Apeere ti olupin CentOS 8.
2. Apache webserver ti fi sori ẹrọ lori olupin
3. Orukọ ogun ti tunto tẹlẹ ati ṣalaye ninu faili/ati be be/awọn ogun. Fun itọsọna yii, a yoo lo tecmint.local orukọ ile-iṣẹ fun olupin wa.

Igbesẹ 1: Fifi Mod_SSL sori CentOS

1. Lati bẹrẹ, o nilo lati ṣayẹwo pe olupin ayelujara Apache ti fi sii ati ṣiṣe.

$ sudo systemctl status httpd

Eyi ni iṣẹjade ti a reti.

Ti o ba jẹ pe oju-iwe ayelujara ko nṣiṣẹ, o le bẹrẹ ati mu u ṣiṣẹ lori gbigbe nipa lilo pipaṣẹ.

$ sudo systemctl start httpd
$ sudo systemctl enable httpd

O le jẹrisi lẹhinna ti Apache ba wa ni oke ati nṣiṣẹ.

2. Lati jẹki fifi sori ẹrọ ati iṣeto ti ijẹrisi SSL ti ara ẹni ti ara ẹni ti agbegbe, o nilo package mod_ssl.

$ sudo dnf install mod_ssl

Lọgan ti o fi sii, o le ṣayẹwo daju fifi sori ẹrọ rẹ nipasẹ ṣiṣiṣẹ.

$ sudo rpm -q mod_ssl

Pẹlupẹlu, rii daju pe a ti fi package OpenSSL sii (OpenSSL ti wa ni fifi sori ẹrọ nipasẹ aiyipada ni CentOS 8).

$ sudo rpm -q openssl 

Igbesẹ 2: Ṣẹda Iwe-ijẹrisi SSL ti Ara ẹni ti ara ẹni fun Apache

3. Pẹlu olupin ayelujara Apache ati gbogbo awọn ohun ti o nilo ni ayẹwo, o nilo lati ṣẹda itọsọna kan ninu eyiti awọn bọtini cryptographic yoo wa ni fipamọ.

Ninu apẹẹrẹ yii, a ti ṣẹda itọsọna ni/ati be be/ssl/ikọkọ.

$ sudo mkdir -p /etc/ssl/private

Bayi ṣẹda bọtini ijẹrisi SSL agbegbe ati faili nipa lilo pipaṣẹ:

$ sudo openssl req -x509 -nodes -newkey rsa:2048 -keyout tecmint.local.key -out tecmint.local.crt

Jẹ ki a wo kini diẹ ninu awọn aṣayan ninu aṣẹ naa duro gangan:

• req -x509 - Eyi tọka si pe a nlo x509 Ibere Ijẹrisi Ijẹrisi (CSR).
• -awọn apa - Aṣayan yii n kọ OpenSSL lati foju fifi ẹnọ kọ nkan ti ijẹrisi SSL nipa lilo ọrọ igbaniwọle kan. Ero ti o wa nibi ni lati gba laaye Apache lati ni anfani lati ka faili laisi eyikeyi iru ilowosi olumulo eyiti kii yoo ṣee ṣe ti o ba ti pese ọrọ kukuru.
• -newkey rsa: 2048 - Eyi tọka pe a fẹ lati ṣẹda nigbakanna bọtini tuntun ati ijẹrisi tuntun kan. Apa rsa: 2048 tumọ si pe a fẹ lati ṣẹda bọtini RSA 2048-bit.
• -iṣeto - Aṣayan yii ṣalaye ibiti o ti tọju faili bọtini ikọkọ ti o ṣẹda lori ẹda.
• -out - Aṣayan naa ṣalaye ibiti o le gbe ijẹrisi SSL ti o ṣẹda.

Igbesẹ 3: Fi Ijẹrisi SSL-Ti ara ẹni ti ara ẹni sii lori Apache

4. Lehin ti o ti ipilẹṣẹ faili ijẹrisi SSL, O to akoko lati fi ijẹrisi sii nipa lilo awọn eto olupin ayelujara Apache. Ṣii ati satunkọ faili iṣeto /etc/httpd/conf.d/ssl.conf.

$ sudo vi /etc/httpd/conf.d/ssl.conf

Rii daju pe o ni awọn ila wọnyi laarin awọn taagi alejo gbigba foju.

<VirtualHost *:443>
    ServerAdmin [email 
    ServerName www.tecmint.local
    ServerAlias tecmint.local
 
    DocumentRoot /var/www/html
 
    SSLEngine on
    SSLCertificateFile /etc/ssl/private/tecmint.local.crt
    SSLCertificateKeyFile /etc/ssl/private/tecmint.local.key
</VirtualHost>

Fipamọ ki o jade kuro ni faili naa. Fun awọn ayipada lati ṣee ṣe, tun bẹrẹ Apache ni lilo pipaṣẹ:

$ sudo systemctl restart httpd

5. Fun awọn olumulo ita lati wọle si olupin rẹ, o nilo lati ṣii ibudo 443 nipasẹ ogiriina bi o ti han.

$ sudo firewall-cmd --add-port=443 --zone=public --permanent
$ sudo firewall-cmd --reload

Igbesẹ 3: Idanwo Ijẹrisi SSL ti ara ẹni ti ara ẹni ti agbegbe lori Apache

Pẹlu gbogbo awọn atunto ti o wa ni ibi, ṣe ina aṣawakiri rẹ ki o lọ kiri lori adirẹsi olupin rẹ nipa lilo adirẹsi IP olupin tabi orukọ ìkápá nipa lilo ilana https.

Lati ṣe awopọ awọn idanwo naa, o le ronu ṣiṣipopada ilana HTTP si HTTPS lori apamọ wẹẹbu Apache. Eyi jẹ pe nigbakugba ti o ba lọ kiri lori agbegbe ni HTTP pẹtẹlẹ, yoo darí ni adaṣe si ilana HTTPS.

Nitorinaa lọ kiri lori ibi ipamọ olupin rẹ tabi IP

https://domain_name/

Iwọ yoo gba itaniji ti o sọ fun ọ pe asopọ naa ko ni aabo bi o ti han. Eyi yoo yato si aṣawakiri kan si ekeji. Bi o ṣe le gboju, gbigbọn jẹ nitori otitọ pe SSL ijẹrisi ko ni ibuwolu nipasẹ Alaṣẹ Ijẹrisi ati aṣàwákiri n forukọsilẹ pe ati awọn ijabọ pe ijẹrisi ko le gbẹkẹle.

Lati tẹsiwaju si oju opo wẹẹbu rẹ, tẹ lori taabu ‘To ti ni ilọsiwaju’ bi a ti han loke:

Nigbamii, ṣafikun iyasọtọ si ẹrọ aṣawakiri naa.

Lakotan, tun gbe aṣawakiri rẹ wọle ki o ṣe akiyesi pe o le wọle si olupin bayi, botilẹjẹpe, ikilọ yoo wa lori ọpa URL pe aaye ko ni aabo ni kikun fun idi kanna ti ijẹrisi SSL jẹ iforukọsilẹ ara ẹni ati pe ko fowo si nipasẹ Alaṣẹ Ijẹrisi.

Ireti wa ni pe o le tẹsiwaju bayi ati ṣẹda ati fi sori ẹrọ ijẹrisi SSL ti ara ẹni ti o fowo si lori olupin ayelujara ti agbegbe local Apache lori CentOS 8.