Apache ssl
Sisukord
Sissejuhatus
Alustame siiski eesmärgist: miks seda üldse hea teha on?
Nagu öeldud on see seotud krüpteerimisega. Täpsemine, liiklus veebiserveri ja teine browseri vahel saab olema krüpteeritud. Antud juhul on selle tegemiseks vaja vähemalt veebiserveril omada public ja private keyd. Antud kontekstis nimetatakse serveri public key'd ka serveri sertifikaadiks. Niisiis, kui firefox külstab seda serverit, siis
- antakse talle serveri avalik võti (mille sisu pole põhimõtteliselt kellegile saladus)
- seejärel loob browser ilmselt midagi session key sarnast ning saadab servery public key'ga krüpreetirult session key serverile
- seda saadetist ei saa keegi peale vastava private key lahti võtta - st .ainult server
Tulemusena on mõlemad pooled kokku leppinud sümmeetrilise võtme millega edaspidi andmevahetust krüpteeritakse.
Sertifikaatide juures on kaks võimalust. Üks on luua isesigneeritud ehk self-signed sertifikaat. Sellisel juhul tekitab kasutaja ise nii sertifikaadi taotluse kui ka signeerib selle ise.
Teine võimalus on tekitada sertifikaadi taotlus ja lasta see allkirjastada mõnel tunnustatud teenusepakkujal. Sedalaadi sertifikaate nimetatakse ka popup-free sertifikaatideks, seda kuna browserid ei kuva nende sertifikaatide juures hoiatavaid tekste enne veebile sisenemist, nii nagu nad teevad seda self-signed sertidega.
Ühe sellise 'instansi'ina tegutseb näiteks organisatsioon Verysign. Haridus, teadus ja kultuuriasutused saavad lasta enda taotlusi signeerida EENetil http://www.eenet.ee/EENet/tcs_juhend juhendi alusel.
Lisaks on ametlike sertifikaatide puhul kaks plussi
- klient saab olla kindel, et server mida ta külastab on ikka see mis ta paistab olevat (nt. www.eyp.ee)
- server saab olla kindel, et klient on see kes ta ütleb end olevat
NB! Installitud peaks eelnevalt olema uusim openssl vesioon
Sertifikaatide tüübid ja väljastamise tingimused
Alates 1. veebruarist 2013 on kasutusel järgmised sertifikaatide tüübid ja nende väljastamise tingimused.
OV - Organization Validated Server Sertificate Enne sertifikaadi väljastamist kontrollitakse asutuse õigust (äri)nime kasutada - asutuse nimi peab olema kontrollitav avalikest ja piisavalt autoriteetsetest allikatest. Taotleva asutuse nimi sertifikaaditaotluses peab olema asutuse ametlik nimi, selle ingliskeelne tõlge või nime transkriptsioon 7-bit ASCII kodeeringus.
Kontrollitakse ka õigust domeeninime kasutada (vt. altpoolt).
DV - Domain Validated Server Sertificate NB! DV sertifikaat ei sisalda asutuse nime.
Kontrollitakse taotluses oleva(te) domeeninime(de) kasutamisõigust. Domeeni valideerimine (DCV - Domain Control Verification) toimub ühel järgnevatest meetoditest:
- E-kiri Comodo serfitiseerimiskeskuse poolt aktsepteeritud aadressidele
- HTTP CSR räsi meetod (CSR kirje lisamine veebi räsisse)
- DNS CNAME räsi meetod (CNAME kirje lisamine nimeserverisse)
OV sertifikaadid on vajalikud kui asutuse nimi sertifikaadis on oluline (rahalised toimingud, teenuse kõrgem turvalisustase, vmt). Muudel juhtudel soovitaks kasutada DV sertifikaate.
Sertifikaadi taotlemine
Enne kuslil sertifikaaditeenuse pakkuja juures vormi täitmist tuleb oma arvutis genereerida avaliku/salajase võtme paar ja taotlus. OpenSSL-i abil näiteks:
$ openssl genrsa -out XYZ.key 2048 $ openssl req -new -key XYZ.key -out XYZ.csr
NB! Võtme pikkus peab olema vähemalt 2048 bitti.
Self-signed serfitikaadi loomine
Juhul kui me kas rahalistel või isiklikel põhjustel ei soovi endale ametlikku sertifikaati vaid soovime lihtsalt nt enda isikliku serveri ja lauaarvuti vahelist liiklust selleabil krüoteerida vms saame loodud taotluse ka ise signeerida.
Loome apache ssl ajutise self-signed sertifikaadi mis ei nõuaks parooli.
Teeme kõigepealt taotluse
$ openssl genrsa -out server.key 2048 $ openssl req -new -key server.key -out server.csr
Ja allkirjastame selle ka kohe ise ära
$ openssl x509 -req -days 300 -in server.csr -signkey server.key -out server.crt $ openssl rsa -in server.key -out server.key
Seadistame sertifikaadi õigused paika
$ chmod 0400 server.key $ chmod 0400 server.crt
Apache seadistus
Apache peab olema eelnevalt kompileeritud SSL toega. Näites on kasutatud versiooni apache 2.x versioonil 1.3 kasutamisel võib olla erinevusi.
FreeBSD
Paigaldame apache
# cd /usr/ports/www/apache22 && make install clean
Lisame FreeBSD's faili /etc/rc.conf rea
apache22_enable="YES"
Käivitame apache
# /usr/local/etc/rc.d/apache22.sh start
Kontrollime käsuga sockstat, kas kuulab?
# sockstat | grep 443 www httpd 20720 4 tcp46 *:443 *:* www httpd 20709 4 tcp46 *:443 *:* www httpd 20020 4 tcp46 *:443 *:* www httpd 20019 4 tcp46 *:443 *:*
kuulab :]
Gentoo
Failis /etc/conf.d/apache2
Lisame APACHE2_OPTS= reale lisaks -D SSL
näiteks nii
APACHE2_OPTS="-D PHP5 -D SSL
Käivitamiseks piisab
# /etc/init.d/apache2 start
selleks et peale rebooti automaatselt stardiks
# rc-update add apache2 default
httpd.conf
Kasutage kõige uuemat tarkvara, s.h. OpenSSL ja Apache viimaseid turvalisi versioone. Ebaturvalist SSLv2 protokolli tuleks vältida, samuti lühikeste võtmepikkustega (vähem kui 128 bitti) šifreid.
Apache httpd.conf võib luua sarnaselt. Näidiskonfiguratsioon Apache veebiserverile: Siin toodud seadistus on täiesti universaalne ja operatsioonisüsteemist sõltumatu
Listen 443 NameVirtualHost ip-aadress:443 <VirtualHost ip-aadress:443> ServerName www.nimi.ee DocumentRoot /home/nimi SSLSessionCache shmcb:/var/run/ssl_scache(512000) SSLSessionCacheTimeout 300 SSLProtocol All -SSLv2 SSLCipherSuite RC4-SHA:HIGH:MEDIUM:!ADH SSLCertificateFile /kataloog/arvuti.nimi.crt SSLCertificateKeyFile /kataloog/arvuti.nimi.key # Apache ver 2.2.0+: SSLHonorCipherOrder On # Apache ver 2.2.24+: SSLCompression Off </VirtualHost>
Erinevate namebased virtualhostide juures saab sertifikaate kasutada vaid siis kui sertifikaat Subject Alternative Name abil on defineeritud kõik domeenid sertifikaati!
http://www.onlamp.com/pub/a/apache/2005/02/17/apacheckbk.html
Lisaks: pkcs formaadis sert tuleb enne kasutama hakkamist ümber konvertida
$ openssl pkcs7 -print_certs -in servver.crt -outform DER -out serveruus.crt
