摘要:原文閱讀部署數(shù)字證書(shū)及安全性設(shè)置作為最常見(jiàn)的一種服務(wù)器�,其普及度易用性及穩(wěn)定性都非常高,也可以部署基于的安全服務(wù)器�,本文介紹如何在上部署簽發(fā)的數(shù)字證書(shū)。將提交給申請(qǐng)證書(shū)����,將私鑰自行妥善保管。
原文閱讀:Apache 部署SSL數(shù)字證書(shū)及安全性設(shè)置
Apache作為最常見(jiàn)的一種Web服務(wù)器,其普及度��、易用性及穩(wěn)定性都非常高����,Apache也可以部署基于HTTPS的安全Web服務(wù)器,本文介紹如何在Apache上部署簽發(fā)的SSL數(shù)字證書(shū)��。
一��、準(zhǔn)備材料
1. CSR證書(shū)請(qǐng)求文件和私鑰文件
私鑰通常是在準(zhǔn)備CSR證書(shū)請(qǐng)求文件時(shí)生成�����,使用openSSL生成存在CSR文件的同級(jí)目錄中 -?生成CSR證書(shū)請(qǐng)求文件?����,使用在線工具會(huì)將隨機(jī)生成的私鑰+CSR發(fā)送到郵箱中,使用IIS生成CSR要求在完成證書(shū)請(qǐng)求后提取私鑰 -?SSL/TLS多種證書(shū)類(lèi)型的轉(zhuǎn)換�����。將CSR提交給infiniSign申請(qǐng)證書(shū)�����,將私鑰自行妥善保管。
2. 簽發(fā)證書(shū)
簽發(fā)證書(shū)也就是經(jīng)過(guò)CA驗(yàn)證過(guò)域名或者企業(yè)信息后所簽發(fā)的域名證書(shū)����,例如Web服務(wù)器會(huì)使用 www.yourdomain.com 作為主要網(wǎng)站,那么該證書(shū)驗(yàn)證的域名就是?www.yourdomain.com?����,通過(guò)CA簽發(fā)的證書(shū)需要購(gòu)買(mǎi)數(shù)字證書(shū)����,最低¥39/年的Comodo PositiveSSL就是一款的入門(mén)級(jí)SSL數(shù)字證書(shū),立即前往購(gòu)買(mǎi)
3. 證書(shū)鏈
一個(gè)完整的證書(shū)鏈應(yīng)該由證書(shū) + 中級(jí)證書(shū)A + 中級(jí)證書(shū)B(niǎo) + ... +根證書(shū)構(gòu)成���,所以通常���,由CA簽發(fā)的證書(shū)壓縮包中會(huì)有1個(gè)或者多個(gè)中級(jí)證書(shū),另外多家CA的中級(jí)證書(shū)在官網(wǎng)上有下載����,關(guān)于合并中級(jí)證書(shū)請(qǐng)參考:SSL證書(shū)鏈不完整導(dǎo)致瀏覽器不受信任
二、安裝部署
1. 單主機(jī)
將第一部的私鑰 server.key��、證書(shū) server.crt����、證書(shū)鏈 server-chain.crt 三個(gè)文件放入服務(wù)器中任意目錄����,編輯/etc/httpd/conf.d/ssl.conf文件���,配置以下代碼(自行修改路徑)
# 簽發(fā)證書(shū)
SSLCertificateFile /etc/pki/tls/certs/server.crt
# 私鑰
SSLCertificateKeyFile /etc/pki/tls/private/server.key
# 合并后的證書(shū)鏈
SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt
保存后重啟httpd服務(wù)����,使SSL配置生效
2. 多個(gè)虛擬主機(jī)
和Apache的80端口的Web虛擬主機(jī)配置類(lèi)似��,將三個(gè)文件放入指定目錄后�����,編輯/etc/httpd/conf.d/ssl.conf文件�,配置以下代碼(自行修改路徑)
? ? SSLEngine on
? ? SSLCertificateFile /etc/pki/tls/certs/server.crt
? ? SSLCertificateKeyFile /etc/pki/tls/private/server.key
SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt
? ?
? ? ? ? AllowOverride All
? ?
? ? ServerAdmin [email@example.com](mailto:email@example.com)
DocumentRoot /var/www/html/subhost
ServerName www.yourdomain.com
3. 安全性配置
關(guān)閉SSLv2和SSLv3的安全漏洞
目前已知的SSLv2和SSLv3安全漏洞需要關(guān)閉,可使用在線工具檢查服務(wù)器部署中的SSLv2和SSLv3是否關(guān)閉��,關(guān)閉方法如下:
Apache 2.2.22以前版本:SSLProtocol TLSv1
Apache 2.2.23及以后版本:SSLProtocol ALL -SSLv2 -SSLv3
Apache + mod_nss:NSSProtocol TLSv1.0,TLSv1.1
配置加密套件
推薦的簡(jiǎn)單配置(滿足蘋(píng)果ATS對(duì)SSL/TLS的安全檢測(cè)要求)
SSLCipherSuite ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;
兼容性配置
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on
4. 注意事項(xiàng)
XP不支持SNI單服務(wù)器多虛擬主機(jī)下證書(shū)部署
中級(jí)證書(shū)通常會(huì)在簽發(fā)證書(shū)的郵件中提供
以上配置/etc/httpd/conf.d/ssl.conf中可以配置為全局����,也可以在虛擬主機(jī)中配置
參考文章:
https://blog.longwin.com.tw/2014/11/apache2-nginx-disabled-sslv2-sslv3-2014/
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/35926.html
