మీ SSL ధృవపత్రాల సంతకం సాధారణంగా అంతర్గత సమాచార మార్పిడి లేదా గుప్తీకరణ అవసరమయ్యే వినియోగదారు-కాని-ఎదుర్కొంటున్న సైట్ల కోసం ధృవీకరణ అధికారులకు సాధారణ ప్రత్యామ్నాయంగా జరుగుతుంది. అపాచీతో ఒకదాన్ని ఎలా సెటప్ చేయాలో ఇక్కడ ఉంది.

SSL ప్రమాణపత్రాన్ని రూపొందించండి మరియు స్వీయ సంతకం చేయండి

మేము ఉపయోగిస్తాము openssl సర్టిఫికేట్ మరియు సంబంధిత ప్రైవేట్ కీని రూపొందించడానికి యుటిలిటీ. ఇది అపాచీ డిపెండెన్సీ కాబట్టి మీరు దీన్ని ఇప్పటికే ఇన్‌స్టాల్ చేసి ఉండవచ్చు, కానీ అది తప్పిపోయినట్లయితే మీరు మీ డిస్ట్రో యొక్క ప్యాకేజీ మేనేజర్ నుండి ఇన్‌స్టాల్ చేయవచ్చు. ఉబుంటు వంటి డెబియన్ ఆధారిత వ్యవస్థల కోసం, ఇది ఇలా ఉంటుంది:

sudo apt-get install openssl

తరువాత openssl వ్యవస్థాపించబడింది, మీరు ఈ క్రింది ఆదేశంతో ప్రమాణపత్రాన్ని రూపొందించవచ్చు:

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/apache.key -out /etc/ssl/certs/apache.crt

openssl మీ సంస్థ గురించి కొంత సమాచారం అడుగుతుంది. మీరు ఈ స్థలాన్ని చాలా ఖాళీగా ఉంచవచ్చు, కానీ మీరు పూరించాల్సిన ముఖ్యమైన విషయం “కామన్ నేమ్”, ఇది మీ సర్వర్ యొక్క IP చిరునామా లేదా డొమైన్ పేరుపై మీరు సెట్ చేయాలి.

Country Name (2 letter code) []:State or Province Name (full name) []:Locality Name (eg, city) []:Organization Name (eg, company) []:Organizational Unit Name (eg, section) []:Common Name (eg, fully qualified host name) []: your_ip_addressEmail Address []:

openssl క్రొత్త ప్రైవేట్ RSA కీని అమలు చేయడానికి మరియు ఉత్పత్తి చేయడానికి ఇది సెకను పడుతుంది, ఇది సర్టిఫికెట్‌పై సంతకం చేయడానికి మరియు నిల్వ చేయడానికి ఉపయోగించబడుతుంది /etc/ssl/private/apache.key. సర్టిఫికేట్ కూడా నిల్వ చేయబడుతుంది /etc/ssl/certs/apache.crtమరియు ఒక సంవత్సరానికి చెల్లుతుంది.

మేము డిఫ్ఫీ-హెల్మాన్ సమూహాన్ని కూడా సృష్టించాలనుకుంటున్నాము. ఇది ఖచ్చితమైన ఫార్వర్డ్ రహస్యం కోసం ఉపయోగించబడుతుంది, ఇది సెషన్ కీ రాజీపడితే గత కమ్యూనికేషన్లను డీక్రిప్ట్ చేయలేదని నిర్ధారించడానికి అశాశ్వత సెషన్ కీలను ఉత్పత్తి చేస్తుంది. అంతర్గత సమాచార మార్పిడికి ఇది పూర్తిగా అవసరం లేదు, కానీ మీరు వీలైనంత సురక్షితంగా ఉండాలనుకుంటే మీరు ఈ దశను దాటవేయకూడదు. గమనిక, దీనికి మీకు అపాచీ వెర్షన్ 2.4.8 లేదా అంతకన్నా ఎక్కువ అవసరం, కాబట్టి మీరు తాజాగా ఉన్నారని నిర్ధారించుకోండి.

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096

మీ సర్వర్ వేగాన్ని బట్టి దీనికి కొంత సమయం పడుతుంది. అపాచీని సెటప్ చేయడానికి కొంచెం భోజనం చేసి మీ టెర్మినల్‌కు తిరిగి వెళ్లండి.

మీ స్వీయ సంతకం చేసిన ప్రమాణపత్రాన్ని ఉపయోగించడానికి అపాచీని కాన్ఫిగర్ చేయండి

విషయాలను సరళీకృతం చేయడానికి, మేము మా కాన్ఫిగరేషన్‌ను స్నిప్పెట్ ఫైల్‌లో చేస్తాము. అపాచీలో క్రొత్తదాన్ని సృష్టించండి sites-available డైరెక్టరీ:

sudo touch /etc/apache2/conf-available/ssl-params.conf

మీకు ఇష్టమైన టెక్స్ట్ ఎడిటర్‌లో తెరిచి కింది కాన్ఫిగరేషన్‌లో అతికించండి:

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDHSSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1SSLHonorCipherOrder OnHeader always set X-Frame-Options DENYHeader always set X-Content-Type-Options nosniffSSLCompression offSSLUseStapling onSSLStaplingCache "shmcb:logs/stapling-cache(150000)"SSLSessionTickets OffSSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

మొదటి బ్లాక్ కొన్ని డిఫాల్ట్ SSL పారామితులను సెట్ చేస్తుంది మరియు చివరి పంక్తి అపాచీని డిఫి-హెల్మాన్ సమూహాన్ని ఉపయోగించడానికి కాన్ఫిగర్ చేస్తుంది. మీరు ఆ దశను దాటవేస్తే మీరు ఈ పంక్తిని వదిలివేయవచ్చు.

అప్పుడు, డిఫాల్ట్ SSL వర్చువల్ హోస్ట్ ఫైల్ను తెరవండి, సాధారణంగా ఇది ఉంటుంది /etc/apache2/sites-available/default-ssl.conf. మీ సర్టిఫికేట్ మరియు కీ ఫైల్‌కు సూచించడానికి క్రింది పంక్తులను సవరించండి:

SSLCertificateFile /etc/ssl/certs/apache.crtSSLCertificateKeyFile /etc/ssl/private/apache.key

SSL ఇప్పుడు పని చేయాలి, కానీ మీరు మీ ప్రస్తుత కాన్ఫిగరేషన్ ఫైల్ నుండి కొంత భాగాన్ని కాపీ చేయవలసి ఉంటుంది, ఎందుకంటే మీరు ఖాళీగా ఉన్నదాన్ని సవరించారు. మీరు దానిని నిర్ధారించుకోవాలి ServerName , ServerAdmin , ఉంది DocumentRoot ఆదేశాలు సరైన స్థానాలను సూచిస్తాయి.

అదనంగా, HTTP ట్రాఫిక్‌ను గుప్తీకరించిన HTTPS కి ఫార్వార్డ్ చేయడానికి దారిమార్పును ఏర్పాటు చేయాలని మేము సిఫార్సు చేస్తున్నాము. డిఫాల్ట్ అపాచీ కాన్ఫిగరేషన్‌ను తెరవండి /etc/apache2/apache2.conf మరియు HTTP ట్రాఫిక్‌ను తిరిగి వ్రాయడానికి క్రింది పంక్తులను జోడించండి:

RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://www.yourdomain.com/$1 [R,L]

ఫైర్‌వాల్ తెరిచి ఉందని మీరు నిర్ధారించుకోవాలని మేము సిఫార్సు చేస్తున్నాము. పోర్ట్ 80 కు బదులుగా HTTPS పోర్ట్ 443 ను ఉపయోగిస్తుంది, కాబట్టి మీరు సర్వర్‌కు కనెక్ట్ అవ్వడానికి దాన్ని తెరవాలి. మీరు iptables లేదా UFW ఉపయోగిస్తుంటే, మీరు కమాండ్ లైన్ నుండి పోర్టులను తెరవవచ్చు. మీరు AWS వంటి సేవలో మీ సర్వర్‌ను హోస్ట్ చేస్తుంటే, మీ ప్రొవైడర్ మీకు వెబ్ ఇంటర్‌ఫేస్‌ను అందించవచ్చు, దాని నుండి మీరు తలుపులు తెరవగలరు.

AWS ఫైర్‌వాల్ ఇంటర్ఫేస్

స్వీయ-సంతకం చేసిన ధృవపత్రాలు సాధారణంగా ప్రైవేట్ సర్వర్‌ల కోసం ఉపయోగించబడతాయి, కాబట్టి మీ ప్రైవేట్ LAN కి ప్రాప్యతను అధికారం చేయడం మరియు దానికి కనెక్ట్ చేయడానికి VPN సర్వర్‌ను ఉపయోగించడం చెడ్డ ఆలోచన కాదు.

తలుపులు తెరిచిన తర్వాత, బ్రౌజర్‌లోని సైట్‌ను యాక్సెస్ చేయడం ద్వారా SSL సెట్టింగులను తనిఖీ చేయడం సాధ్యపడుతుంది. ప్రతిదీ సరిగ్గా పనిచేస్తే, మీరు ఈ హెచ్చరికను చూడాలి:

SSL క్రోమ్ హెచ్చరిక

ఇది సాధారణం, కాబట్టి చింతించకండి. మీరు ఈ ప్రమాణపత్రాన్ని విశ్వసిస్తున్నారని మీరు మానవీయంగా ఎన్నుకోవాలి, అందువల్ల మీరు పబ్లిక్ సైట్ల కోసం స్వీయ సంతకం చేసిన ప్రమాణపత్రాలను ఉపయోగించలేరు.

మీ సైట్ సురక్షితం కాదని హెచ్చరిక కాదు: SSL ఇప్పటికీ చురుకుగా ఉంది మరియు ట్రాఫిక్‌ను గుప్తీకరిస్తుంది. మీ ప్రైవేట్ కీ రాజీపడితే, కమ్యూనికేషన్ డీక్రిప్ట్ చేయబడవచ్చు, కానీ మీరు డిఫ్ఫీ-హెల్మాన్ ఫార్వర్డ్ సీక్రెట్‌ను సెట్ చేస్తే అది ఖచ్చితంగా సురక్షితం అవుతుంది, ఇది దాడి చేసే వెక్టర్‌ను రద్దు చేస్తుంది. ఇక్కడ సమస్య గుర్తింపుతో ఉంది. మీరు ఎవరో లేదా మీరు డొమైన్ స్వంతం అని క్రోమ్ ధృవీకరించలేదు, దీని కోసం మీకు “నిజమైన” CA అవసరం.

Source link