摘要:原文閱讀部署數字證書及安全性設置作為最常見的一種服務器,其普及度易用性及穩定性都非常高��,也可以部署基于的安全服務器����,本文介紹如何在上部署簽發的數字證書。將提交給申請證書,將私鑰自行妥善保管����。
原文閱讀:Apache 部署SSL數字證書及安全性設置
Apache作為最常見的一種Web服務器,其普及度���、易用性及穩定性都非常高,Apache也可以部署基于HTTPS的安全Web服務器����,本文介紹如何在Apache上部署簽發的SSL數字證書����。
一��、準備材料
1. CSR證書請求文件和私鑰文件
私鑰通常是在準備CSR證書請求文件時生成����,使用openSSL生成存在CSR文件的同級目錄中 -?生成CSR證書請求文件?���,使用在線工具會將隨機生成的私鑰+CSR發送到郵箱中�,使用IIS生成CSR要求在完成證書請求后提取私鑰 -?SSL/TLS多種證書類型的轉換。將CSR提交給infiniSign申請證書��,將私鑰自行妥善保管����。
2. 簽發證書
簽發證書也就是經過CA驗證過域名或者企業信息后所簽發的域名證書,例如Web服務器會使用 www.yourdomain.com 作為主要網站�,那么該證書驗證的域名就是?www.yourdomain.com?�����,通過CA簽發的證書需要購買數字證書,最低¥39/年的Comodo PositiveSSL就是一款的入門級SSL數字證書���,立即前往購買
3. 證書鏈
一個完整的證書鏈應該由證書 + 中級證書A + 中級證書B + ... +根證書構成��,所以通常�,由CA簽發的證書壓縮包中會有1個或者多個中級證書����,另外多家CA的中級證書在官網上有下載,關于合并中級證書請參考:SSL證書鏈不完整導致瀏覽器不受信任
二���、安裝部署
1. 單主機
將第一部的私鑰 server.key、證書 server.crt���、證書鏈 server-chain.crt 三個文件放入服務器中任意目錄,編輯/etc/httpd/conf.d/ssl.conf文件,配置以下代碼(自行修改路徑)
# 簽發證書
SSLCertificateFile /etc/pki/tls/certs/server.crt
# 私鑰
SSLCertificateKeyFile /etc/pki/tls/private/server.key
# 合并后的證書鏈
SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt
保存后重啟httpd服務,使SSL配置生效
2. 多個虛擬主機
和Apache的80端口的Web虛擬主機配置類似���,將三個文件放入指定目錄后����,編輯/etc/httpd/conf.d/ssl.conf文件����,配置以下代碼(自行修改路徑)
? ? SSLEngine on
? ? SSLCertificateFile /etc/pki/tls/certs/server.crt
? ? SSLCertificateKeyFile /etc/pki/tls/private/server.key
SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt
? ?
? ? ? ? AllowOverride All
? ?
? ? ServerAdmin [email@example.com](mailto:email@example.com)
DocumentRoot /var/www/html/subhost
ServerName www.yourdomain.com
3. 安全性配置
關閉SSLv2和SSLv3的安全漏洞
目前已知的SSLv2和SSLv3安全漏洞需要關閉,可使用在線工具檢查服務器部署中的SSLv2和SSLv3是否關閉����,關閉方法如下:
Apache 2.2.22以前版本:SSLProtocol TLSv1
Apache 2.2.23及以后版本:SSLProtocol ALL -SSLv2 -SSLv3
Apache + mod_nss:NSSProtocol TLSv1.0,TLSv1.1
配置加密套件
推薦的簡單配置(滿足蘋果ATS對SSL/TLS的安全檢測要求)
SSLCipherSuite ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;
兼容性配置
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on
4. 注意事項
XP不支持SNI單服務器多虛擬主機下證書部署
中級證書通常會在簽發證書的郵件中提供
以上配置/etc/httpd/conf.d/ssl.conf中可以配置為全局��,也可以在虛擬主機中配置
參考文章:
https://blog.longwin.com.tw/2014/11/apache2-nginx-disabled-sslv2-sslv3-2014/
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為�����,您可以聯系管理員刪除���。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/35926.html
