Apache 部署SSL數字證書及安全性設定

Apache 部署SSL數字證書及安全性設定
1 Star2 Stars3 Stars4 Stars5 Stars 給文章打分!
Loading...

原文閱讀:Apache 部署SSL數字證書及安全性設定

Apache作為最常見的一種Web伺服器,其普及度、易用性及穩定性都非常高,Apache也可以部署基於HTTPS的安全Web伺服器,本文介紹如何在Apache上部署簽發的SSL數字證書。

一、準備材料

1. CSR證書請求檔案和私鑰檔案

私鑰通常是在準備CSR證書請求檔案時生成,使用openSSL生成存在CSR檔案的同級目錄中 – 生成CSR證書請求檔案 ,使用線上工具會將隨機生成的私鑰 CSR傳送到郵箱中,使用IIS生成CSR要求在完成證書請求後提取私鑰 – SSL/TLS多種證書型別的轉換。將CSR提交給infiniSign申請證書,將私鑰自行妥善保管。

2. 簽發證書

簽發證書也就是經過CA驗證過域名或者企業資訊後所簽發的域名證書,例如Web伺服器會使用 www.yourdomain.com 作為主要網站,那麼該證書驗證的域名就是 www.yourdomain.com ,通過CA簽發的證書需要購買數字證書,最低¥39/年的Comodo PositiveSSL就是一款的入門級SSL數字證書,立即前往購買

3. 證書鏈

一個完整的證書鏈應該由證書 中級證書A 中級證書B … 根證書構成,所以通常,由CA簽發的證書壓縮包中會有1個或者多箇中級證書,另外多家CA的中級證書在官網上有下載,關於合併中級證書請參考:SSL證書鏈不完整導致瀏覽器不受信任

二、安裝部署

1. 單主機

將第一部的私鑰 server.key、證書 server.crt、證書鏈 server-chain.crt 三個檔案放入伺服器中任意目錄,編輯/etc/httpd/conf.d/ssl.conf

儲存後重啟httpd服務,使SSL配置生效

2. 多個虛擬主機

和Apache的80埠的Web虛擬主機配置類似,將三個檔案放入指定目錄後,編輯/etc/httpd/conf.d/ssl.conf

3. 安全性配置

關閉SSLv2和SSLv3的安全漏洞

目前已知的SSLv2和SSLv3安全漏洞需要關閉,可使用線上工具檢查伺服器部署中的SSLv2和SSLv3是否關閉,關閉方法如下:

Apache 2.2.22以前版本:SSLProtocol TLSv1

相容性配置

SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on

4. 注意事項

XP不支援SNI單伺服器多虛擬主機下證書部署
中級證書通常會在簽發證書的郵件中提供
以上配置/etc/httpd/conf.d/ssl.conf中可以配置為全域性,也可以在虛擬主機中配置

參考文章:

https://blog.longwin.com.tw/2014/11/apache2-nginx-disabled-sslv2-sslv3-2014/

相關文章

程式語言 最新文章