Konfigurace Apache pomocí SSL
Následující pokyny předpokládají, že chcete spustit jak zabezpečený server (na portu 443) a běžný server (na portu 80). Nejprve musíte nakonfigurovat server tak, aby naslouchal na obou portech. Buď upravte /etc/apache2/ports.conf (v Debianu; toto je zahrnuto v apache2.conf) nebo upravit /etc/apache2/apache2.conf přímo zahrnout řádky:
Poslouchejte 80 Poslouchejte 443
Dále upravte /etc/apache2/sites-enabled/yoursite použít nastavení SSL. Oddělení pravidelných a bezpečných nastavení serveru pomocí VirtualHosts je nejjednodušší možností, pokud jde o údržbu. Jakákoli konfigurace mimo oddíly VirtualHosts (jako je nastavení ServerAdmin) se bude vztahovat na (i na všechny) VirtualHosts.
Verze Apache 2.4.8 a vyšší očekávají, že váš serverový certifikát bude spojen s jakýmikoli zprostředkujícími certifikáty v jednom souboru. Chcete-li stáhnout zřetězený soubor z webu SSL.com, vyberte Nginx odkaz ke stažení na vašem portálovém účtu:
Případně můžete zřetězit existující certifikát a prostřední soubory příkazem, jako je následující:
$ cat /etc/ssl/private/ca-bundle-client.crt >> /etc/ssl/private/yourdomain.crt
Přidejte do svého konfiguračního souboru následující sekci:
# ================================================== # SSL /TLS nastavení # ================================================= = NameVirtualHost *: 443 DocumentRoot "/ var / www / yoursite" SSLEngine na SSLCertificateFile /etc/ssl/private/yourdomain.chained.crt SSLCertificateKeyFile /etc/ssl/private/myserver.key
Několik poznámek k této konfiguraci:
SSLEnginemusí být povoleno, aby server používal SSL.DocumentRootnastaví kořenový adresář tohoto virtuálního hostitele. To znamená, že zabezpečený obsah můžete zcela oddělit od běžného obsahu.SSLCertificateFileby měla být nastavena na místo, kam jste soubor vložili pomocí certifikátu serveru a přechodného řetězce.SSLCertificateKeyFileby měla být nastavena na místo, kam umístíte soubor soukromého klíče.
Přidejte do svého konfiguračního souboru následující sekci:
# ================================================== # SSL /TLS nastavení # ================================================= = NameVirtualHost *: 443 DocumentRoot "/ var / www / yoursite" SSLEngine na SSLCertificateFile /etc/ssl/private/yourdomain.crt SSLCertificateKeyFile /etc/ssl/private/myserver.key SSLCertificateChainFile / etc / ssl / private / client.crt
Několik poznámek k této konfiguraci:
SSLEnginemusí být povoleno, aby server používal SSL.DocumentRootnastaví kořenový adresář tohoto virtuálního hostitele. To znamená, že zabezpečený obsah můžete zcela oddělit od běžného obsahu.SSLCertificateFile, SSLCertificateChainFile,aSSLCertificateKeyFileby měla být nastavena na umístění, kam vložíte soubory certifikátů, prostředních a soukromých klíčů.
Chcete-li spustit běžný server na portu 80, přidejte do konfiguračního souboru následující část:
NameVirtualHost *: 80 DocumentRoot "/ var / www / yoursite" # Nastavení adresáře specifické pro hostitele, možnosti atd. # Většina z těchto možností bude pravděpodobně nastavena mimo sekce VirtualHosts #.
Po uložení upraveného konfiguračního souboru restartujte webový server. Pokud jste při generování certifikátu použili přístupovou frázi, budete ji po výzvě muset zadat.
Testování
Vytvořte základní stránku index.html kdekoli se nachází kořenový adresář vašeho webového serveru, pokud tam ještě nemáte obsah.
Poté nasměrujte svůj webový prohlížeč na https://www.yoursite.com. Mělo by se zobrazit připojení SSL otevřené a stránka doručena. Pokud používáte certifikát podepsaný svým držitelem, váš prohlížeč zobrazí okno s varováním, že identitu serveru nelze ověřit. Můžete si vybrat, zda chcete certifikát zobrazit a přijmout. Pokud používáte externí certifikát, mělo by se to všechno stát bez zásahu.
Ujistěte se také, že nemáte přístup k chráněnému obsahu pomocí protokolu http: //. Pokud to zkusíte, měla by se zobrazit chybová zpráva.
Řešení problémů
Pokud nefunguje podle očekávání, nejprve zkontrolujte, zda je váš server skutečně spuštěn, pomocí ps -a | grep apache. Pokud to nic nevrátí, zkuste to restartovat a zkontrolujte chybové zprávy na terminálu.
Zkontrolujte také, zda jsou správně nastavena oprávnění k souborům s klíči a certifikáty (viz výše), jakož i oprávnění k testovanému souboru HTML a jeho nadřazenému adresáři.
Dále zkontrolujte protokoly. Měli byste zkontrolovat jak hlavní protokoly serveru, tak také protokoly SSL, které jste nastavili v konfiguračním souboru výše. Pokud nedostanete nic užitečného, zkuste změnit hodnotu LogLevel v konfiguračním souboru Apache2 na „debug“, restartujte Apache2 a proveďte test znovu. To by mělo poskytnout více dat logfile.
Pokud používáte také běžný webový server na portu 80, zkuste načíst testovací stránku přes http: // místo https: //, abyste zjistili, zda je problém s webovým serverem nebo s připojením SSL. Ve výše uvedeném nastavení je kořenový adresář webového serveru odlišný pro http: // a https: //, takže nebudete (nebo neměli!) Mít přístup ke stejnému obsahu. Pokud však vaše testovací stránka v kořenovém adresáři http: // funguje dobře a testovací stránka v kořenovém adresáři https: // nefunguje, může vám to pomoci problém přesně určit.
Pokud je problémem připojení SSL, je užitečným nástrojem s_client, což je diagnostický nástroj pro odstraňování problémů TLS/ SSL připojení. Základní použití je: /usr/bin/openssl s_client -connect localhost:443. Existuje také řada dalších možností, u kterých si můžete dokumentaci prohlédnout. Pokud se zobrazí chybové zprávy, mělo by to pomoci při hledání problému.
