RH358配置Web服务器–使用 Apache HTTPD 配置 HTTPS
介绍Https和证书如何配置实现Https访问。
RH358专栏地址:https://blog.csdn.net/qq_41765918/category_11532281.html
1. 描述 TLS 协议:
-
TLS (Transport Layer Security)是HTTPS协议中用来保护web流量的真实性、保密性和完整性免遭攻击的协议。
-
TLS使用公钥加密建立安全的TLS会话。一个密钥能加密的,只有它匹配的密钥才能解密。
-
每个服务器都必须安装TLS证书。该证书包含关于该证书属于哪个服务器、过期时间以及密钥对的一半的信息;公共密钥。它还由证书颁发机构**(CA)进行数字签名**,该签名可用于验证服务器证书的真实性。服务器还必须安装与证书的公钥相匹配的私钥。
-
当客户端连接到服务器并请求TLS会话时,它们执行一次初始握手,以就双方都可以支持的一组加密密码达成一致。服务器提供客户端客户机使用证书中的信息和CA的签名对其进行验证。然后客户端使用公钥与服务器进行安全通信,并使用它建立一个更快的会话密钥,该会话密钥可用于快速加密和解密数据,然后用于实际的安全会话。
2. 获取服务器证书
要获得新的服务器证书,通常需要创建一个未签名的证书签名请求(CSR)和匹配的私钥。然后,您需要向用户信任的CA提供该CSR,让用户满意地验证您控制该服务器,并安排他们签署CSR,将其转换为有效的证书。有许多商业ca对这种服务收费。Web浏览器通常预先配置为信任商业ca的签名。
出于测试目的,可以创建自签名证书。这是一个包含身份信息和公钥的证书,但它是由自己的私钥签名的。它可以用来建立加密的TLS连接,但是客户端将不能正确地验证证书,他们可能会拒绝连接到使用它们的站点,并显示其他错误和警告消息。
创建证书签名请求
可以使用Ansible生成私钥和匹配的CSR或匹配的自签名证书。您还可以使用openssl包中的工具来检查这些文件,并作为生成它们的另一种方法。
openssl_privatekey 模块用于创建 TLS 私钥,使用以下两种算法:RSA 或 ECDSA
RSA 支持更广泛,密钥较大,且较旧。
ECDSA 密钥较小并提供相似的安全性,较旧的 web 浏览器可能不支持。
为了安全起见,web服务器的私钥通常保存在/etc/pki/tls/private中,您应该确保它们只有根用户可读,并且具有SELinux类型cert_t。
下例创建 2048 位 RSA 私钥和 256 位 ECDSA:
- name: Make sure a RSA private key was generated
openssl_privatekey:
path: /etc/pki/tls/private/ansible.rsa.key
- name: Make sure an ECDSA private key was generated
openssl_privatekey:
path: /etc/pki/tls/private/ansible.ecdsa.key
type: ECC
curve: secp256r1
生成私钥后,可使用 openssl_csr 模块来创建证书签名请求:
- name: CSR exists and is correct
openssl_csr:
path: /root/ansible.csr
privatekey_path: /etc/pki/tls/private/ansible.key
subject_alt_name: "DNS:demo.example.com,DNS:www.example.com"
common_name: demo.example.com
C: US
ST: North Carolina
L: Raleigh
O: Example, Inc.
backup: yes
- subject_alt_name 是⼀个逗号分隔的列表,列出虚拟主机的 ServerName 及其所有 ServerAlias 名称,名称以 DNS: 开头,表示它们是 DNS 名称。也可以使用 IP:172.25.0.10 指定 IP 地址
- 其他字段 C、ST、L 和 O 键代表所在国家/地区(双字符 ISO3166 格式)、州或省、所在地(城市)和组织
- common_name 是证书所属服务器的名称
可以使用以下命令检查CSR的内容:
[root@host ~]# openssl req -in ansible.csr -noout -text
当生成CSR并将其提交给CA进行签名时,不应该向CA提供您的私钥副本。当CA签署了你的CSR后,他们会给你一个完成的服务器证书,你可以把它安装到你的web服务器上。
还可以使用openssl_certificate Ansible模块创建一个用于测试的自签名证书。
- name: Make sure self-signed certificate is correct
openssl_certificate:
path: /etc/pki/tls/certs/ansible.crt
privatekey_path: /etc/pki/tls/private/ansible.key
csr_path: /root/ansible.csr
provider: selfsigned
selfsigned_not_after: +90d
selfsigned_not_after: +90d变量和值表示该证书在签署后90天内有效
**注意:**自签名证书需要使用自己的私钥来进行自签名。这与 CA所做的操作不同。证书颁发机构使用自己的私钥对用户的证书进行签名,不需要也不应为其提供私钥
可以用下面的命令检查这个TLS证书:
[root@host ~]# openssl x509 -in ansible.crt -noout -text
**注意:**为您的网站获得TLS证书的一种方法是使用非营利的LetsEncrypt CA服务。LetsEncrypt基于您控制DNS域或特定web服务器的证明来验证您的身份,并颁发短期TLS证书。
3. 配置基于 TLS 虚拟主机
Apache HTTP Server需要安装一个扩展模块来激活TLS支持。在Red Hat Enterprise Linux 8上,可以使用mod_ssl包安装该模块。
[root@host ~]# yum install mod_ssl
这个包自动启用httpd,默认虚拟主机监听端口443/TCP。这个默认的虚拟主机配置在/etc/httpd/conf.d/ssl.conf中。
使用TLS的虚拟主机与常规虚拟主机的配置方式相同,只是有一些附加参数。
<VirtualHost *:443>
ServerName demo.example.com
SSLEngine on # 为虚拟主机启用 TLS
SSLCertificateFile /etc/pki/tls/certs/demo.example.com.crt #指定虚拟主机的证书的位置
SSLCertificateKeyFile /etc/pki/tls/private/demo.example.com.key #指定虚拟主机的私钥的位置
</VirtualHost>
这个例子缺少一些重要的指令,比如DocumentRoot,但是这些设置是从主配置继承的。
有许多设置可用来优化启用tls的虚拟主机的行为。它们可能控制TLS协议的版本以及支持什么会话加密协议。更详细的虚拟主机块如下所示:
<VirtualHost _default_:443>
ErrorLog logs/ssl_error_log
TransferLog logs/ssl_access_log
LogLevel warn
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
# 指定httpd可以用来与客户端通信的协议列表。您至少应该禁用已知安全问题的SSLV2和SSLV3。
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
# 列出httpd在与客户端通信时可以使用的加密密码。密码的选择会严重影响性能和安全性。
SSLHonorCipherOrder on
# 确保服务器选择ssLciphersuite列表中前面出现的密码。因此,应该首先列出最安全的密码。
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
CustomLog logs/ssl_request_log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>
4. 将HTTP客户端重定向到HTTPS站点
通常,当HTTPS站点可用时,用户使用HTTP连接到一个网站。这不必要地降低了连接的安全性。
如果你关闭了站点的HTTP版本,这将提高安全性,但这样HTTP用户将无法连接到你的站点。一种更复杂的方法是使用HTTPS自动将任何通过HTTP连接到同一资源的客户机重定向。
要设置这些重定向,请为与TLS保护的虚拟主机相同的ServerName和serverAlias配置一个HTTP虚拟主机。得到的虚拟主机可能看起来像这样:
<VirtualHost *:80>
ServerName www.lab.example.com
Redirect "/" "https://www.lab.example.com"
</VirtualHost>
<VirtualHost *:443>
ServerName www.lab.example.com
SSLEngine On
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite HIGH:MEDIUM:!aNull:!MD5
SSLHonorCipherOrder on
SSLCertificateFile /etc/pki/tls/certs/www.lab.example.com.crt
SSLCertificateKeyFile /etc/pki/tls/private/www.lab.example.com.key
DocumentRoot /srv/www/www.lab.example.com
</VirtualHost>
5. 课本练习
[student@workstation ~]$ lab web-https start
1. 同时安装httpd和mod_ssl包。
[root@servera ~]# yum -y install httpd mod_ssl
2. 创建内容目录,识别内容和适当的SELinux上下文。
[root@servera ~]# mkdir -p /srv/{www-a,servera}/www
[root@servera ~]# echo 'www-a' > /srv/www-a/www/index.html
[root@servera ~]# echo 'servera' > /srv/servera/www/index.html
[root@servera ~]# restorecon -Rv /srv/
3. 配置SSL虚拟主机
[root@servera ~]# vim /etc/httpd/conf.d/www-a.conf
<VirtualHost *:80>
ServerName www-a.lab.example.com
Redirect "/" "https://www-a.lab.example.com"
</VirtualHost>
<VirtualHost *:443>
ServerName www-a.lab.example.com
SSLEngine On
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite HIGH:MEDIUM:!aNull:!MD5
SSLHonorCipherOrder on
SSLCertificateFile /etc/pki/tls/certs/www-a.lab.example.com.crt
SSLCertificateKeyFile /etc/pki/tls/private/www-a.lab.example.com.key
SSLCertificateChainFile /etc/pki/tls/certs/cacert.crt
DocumentRoot /srv/www-a/www
</VirtualHost>
<Directory /srv/www-a/www>
Require all granted
</Directory>
[root@servera ~]# cp /etc/httpd/conf.d/{www-a,servera}.conf
[root@servera ~]# sed -i 's/www-a/servera/g' /etc/httpd/conf.d/servera.conf
4. 复制已配置好的证书
[root@servera ~]# cd /etc/pki/tls/certs
[root@servera certs]# scp workstation:/home/student/www-a.lab.example.com.crt ./
root@workstation's password: redhat
[root@servera certs]# scp workstation:/home/student/servera.lab.example.com.crt ./
root@workstation's password:redhat
[root@servera certs]# scp workstation:/home/student/cacert.crt ./
root@workstation's password:redhat
[root@servera certs]# cd /etc/pki/tls/private
[root@servera private]# scp workstation:/home/student/www-a.lab.example.com.key ./
root@workstation's password: redhat
[root@servera private]# scp workstation:/home/student/servera.lab.example.com.key ./
root@workstation's password:redhat
5. 启动并启用httpd服务并打开相应的防火墙端口。
[root@servera ~]# systemctl enable --now httpd
[root@servera ~]# firewall-cmd --permanent --add-service=http --add-service=https
[root@servera ~]# firewall-cmd --reload
完成实验
[student@workstation ~]$ lab web-https finish
总结
- 描述TLS协议。
- 配置证书实现Https。
- 将HTTP客户端重定向到HTTPS。
- 若喜欢金鱼哥的文章,顺手点个赞。也可点个关注,因为后续会不断上干货。