Apache ssl
Sisukord
Sissejuhatus
Alustame siiski eesmärgist: miks seda üldse hea teha on?
Nagu öeldud on see seotud krüpteerimisega. Täpsemine, liiklus veebiserveri ja teine browseri vahel saab olema krüpteeritud. Antud juhul on selle tegemiseks vaja vähemalt veebiserveril omada public ja private keyd. Antud kontekstis nimetatakse serveri public key'd ka serveri sertifikaadiks. Niisiis, kui firefox külstab seda serverit, siis
- antakse talle serveri avalik võti (mille sisu pole põhimõtteliselt kellegile saladus)
- seejärel loob browser ilmselt midagi session key sarnast ning saadab servery public key'ga krüpteeritult session key serverile
- seda saadetist ei saa keegi peale vastava private key lahti võtta - st .ainult server
Tulemusena on mõlemad pooled kokku leppinud sümmeetrilise võtme millega edaspidi andmevahetust krüpteeritakse.
Sertifikaatide juures on kaks võimalust. Üks on luua isesigneeritud ehk self-signed sertifikaat. Sellisel juhul tekitab kasutaja ise nii sertifikaadi taotluse kui ka signeerib selle ise.
Teine võimalus on tekitada sertifikaadi taotlus ja lasta see allkirjastada mõnel tunnustatud teenusepakkujal. Sedalaadi sertifikaate nimetatakse ka popup-free sertifikaatideks, seda kuna browserid ei kuva nende sertifikaatide juures hoiatavaid tekste enne veebile sisenemist, nii nagu nad teevad seda self-signed sertidega.
Ühe sellise 'instansi'ina tegutseb näiteks organisatsioon Verysign. Haridus, teadus ja kultuuriasutused saavad lasta enda taotlusi signeerida EENetil http://www.eenet.ee/EENet/tcs_juhend juhendi alusel.
Lisaks on ametlike sertifikaatide puhul kaks plussi
- klient saab olla kindel, et server mida ta külastab on ikka see mis ta paistab olevat (nt. www.eyp.ee)
- server saab olla kindel, et klient on see kes ta ütleb end olevat
NB! Installitud peaks eelnevalt olema uusim openssl vesioon
Sertifikaatide tüübid ja väljastamise tingimused
Alates 1. veebruarist 2013 on kasutusel järgmised sertifikaatide tüübid ja nende väljastamise tingimused.
OV - Organization Validated Server Sertificate Enne sertifikaadi väljastamist kontrollitakse asutuse õigust (äri)nime kasutada - asutuse nimi peab olema kontrollitav avalikest ja piisavalt autoriteetsetest allikatest. Taotleva asutuse nimi sertifikaaditaotluses peab olema asutuse ametlik nimi, selle ingliskeelne tõlge või nime transkriptsioon 7-bit ASCII kodeeringus.
Kontrollitakse ka õigust domeeninime kasutada (vt. altpoolt).
DV - Domain Validated Server Sertificate NB! DV sertifikaat ei sisalda asutuse nime.
Kontrollitakse taotluses oleva(te) domeeninime(de) kasutamisõigust. Domeeni valideerimine (DCV - Domain Control Verification) toimub ühel järgnevatest meetoditest:
- E-kiri Comodo serfitiseerimiskeskuse poolt aktsepteeritud aadressidele
- HTTP CSR räsi meetod (CSR kirje lisamine veebi räsisse)
- DNS CNAME räsi meetod (CNAME kirje lisamine nimeserverisse)
OV sertifikaadid on vajalikud kui asutuse nimi sertifikaadis on oluline (rahalised toimingud, teenuse kõrgem turvalisustase, vmt). Muudel juhtudel soovitaks kasutada DV sertifikaate.
Sertifikaadi taotlemine
Enne kuslil sertifikaaditeenuse pakkuja juures vormi täitmist tuleb oma arvutis genereerida avaliku/salajase võtme paar ja taotlus. Vältda tasub lühikeste võtmepikkustega (vähem kui 128 bitti) šifreid. Võtme pikkus peab olema vähemalt 2048 bitti.
$ openssl genrsa -out server.key 2048 Generating RSA private key, 2048 bit long modulus ...................................+++ ......................................+++ e is 65537 (0x10001)
Taotluse genereerimine
$ openssl req -new -sha256 -key server.key -out server.csr
Taotluse loomise käigus küsitakse kasutajalt mitmeid küsimusi. Näiteks Country Name ja Locality name, milledel pikemalt ei peatuks ning seletaks ehk rohkem segadust tekitada võivaid välju.
Mis on CN? Väljale Common Name tuleb sisestada domeeninimi, millele sertifikaati taotletakse.
Mis on Subject Alternative Name?
Seda laiendust on soovitav kasutada juhul kui ühte sertifikaati on tarvis kasutada mitme domeeni jaoks. Ühele sertifikaadile saab taotlusvormi täitmisel lisada mitu domeeninime. (sertifikaaditaotlus genereerida ühele domeeninimele, ent taotluse esitamisel lisada juurde täiendavad domeeninimed)
PS: Kui sisestad challenge passwordi küsiakse seda iga kord kui apache stardib või server teeb reboodi.
Kas taotleda tasub ka wildcard sertifikaate?
wildcard (*.domeen) SSL sertifikaate saab taotleda, kuid enne taotlemist tuleks kindlasti läbi kaaluda tekkida võivad turvariskid - privaatne võti peab sellisel juhul asuma ainult ühes masinas, aga kui see häkkerite kätte satub, saab võltsida kõiki selle domeeniga seotud sertifikaate. wildcard SSL sertifikaatide kohta on kirjutatud näiteks siin: http://helpdesk.wisc.edu/page.php?id=18924 Juhul kui on mingi teadaolev hulk domeeninimesid, millele ühte sertifikaati vaja on, võib kasutada Subject Alternative Name laiendust
Olles sertifikaadi taotluse edukalt loonud võime selle edastada enda teenusepakkujale, kes edasi juba tekitab selle alusel seritifikaadi. Või siis allkirjastame taotluse ise ja tekitame nn self-signed sertifikaadi.
Self-signed serfitikaadi loomine
Juhul kui me kas rahalistel või isiklikel põhjustel ei soovi endale ametlikku sertifikaati vaid soovime lihtsalt nt enda isikliku serveri ja lauaarvuti vahelist liiklust selleabil krüoteerida vms saame loodud taotluse ka ise signeerida.
Võtame juba ülal äratoodud käskudega loodud taotluse ja allkirjastame selle ise ära
$ openssl x509 -req -days 300 -in server.csr -signkey server.key -out server.crt $ openssl rsa -in server.key -out server.key
Võimalus on luua ka päris oma isiklik sertifitseerimiskeskus sellest pikemalt http://kuutorvaja.eenet.ee/wiki/Sertifikaadid
Apache seadistus
Apache peab olema eelnevalt kompileeritud SSL toega. Näites on kasutatud versiooni apache 2.x versioonil 1.3 kasutamisel võib olla erinevusi.
Seadistame esmalt sertifikaadi õigused paika, seda tuleb teha sõltumata operatsioonisüsteemist.
$ chmod 0400 server.key $ chmod 0400 server.crt
FreeBSD
Paigaldame apache
# cd /usr/ports/www/apache22 && make install clean
Lisame FreeBSD's faili /etc/rc.conf rea
apache22_enable="YES"
Käivitame apache
# /usr/local/etc/rc.d/apache22.sh start
Kontrollime käsuga sockstat, kas apache kuulab 443 pordil?
# sockstat | grep 443 www httpd 20720 4 tcp46 *:443 *:* www httpd 20709 4 tcp46 *:443 *:* www httpd 20020 4 tcp46 *:443 *:* www httpd 20019 4 tcp46 *:443 *:*
kuulab :]
Gentoo
Failis /etc/conf.d/apache2
Lisame APACHE2_OPTS= reale lisaks -D SSL
näiteks nii
APACHE2_OPTS="-D PHP5 -D SSL
Käivitamiseks piisab
# /etc/init.d/apache2 start
selleks et peale rebooti automaatselt stardiks
# rc-update add apache2 default
httpd.conf
Kasutage kõige uuemat tarkvara, s.h. OpenSSL ja Apache viimaseid turvalisi versioone. Ebaturvalist SSLv2 protokolli tuleks vältida, samuti lühikeste võtmepikkustega (vähem kui 128 bitti) šifreid.
Apache httpd.conf võib luua sarnaselt. Näidiskonfiguratsioon Apache veebiserverile: Siin toodud seadistus on täiesti universaalne ja operatsioonisüsteemist sõltumatu
Turvalisuse tõstmiseks saab alates Apache 2.2.24 versioonist välja lülitada ka SSL pakkimise: SSLCompression Off. Ebaturvalist SSLv2 on mõistlik samuti vältida.
Listen 443 NameVirtualHost ip-aadress:443 <VirtualHost ip-aadress:443> ServerName www.nimi.ee DocumentRoot /home/nimi SSLEngine on SSLSessionCache shmcb:/var/run/ssl_scache(512000) SSLSessionCacheTimeout 300 SSLProtocol All -SSLv2 SSLCipherSuite <<ciphers>> SSLCertificateFile /kataloog/arvuti.nimi.crt SSLCertificateKeyFile /kataloog/arvuti.nimi.key # Apache ver 2.2.0+: SSLHonorCipherOrder On # Apache ver 2.2.24+: SSLCompression Off </VirtualHost>
Siin tuleb <<ciphers>> asendada šifriloeteluga, mis annab antud serverile vajaliku turvataseme. Soovitusi selleks leiab näiteks Mozilla veebilehelt https://wiki.mozilla.org/Security/Server_Side_TLS
NB! pkcs formaadis sert tuleb enne kasutama hakkamist ümber konvertida
$ openssl pkcs7 -print_certs -in servver.crt -outform DER -out serveruus.crt
Lingid
https://www.ssllabs.com/ssltest/analyze.html?d=zoo.tartu.ee Testida saab nt tulemust siit lingilt
https://wiki.mozilla.org/Security/Server_Side_TLS Tänapäevase SSL/TLS kasutamise soovitused
https://ssl-config.mozilla.org/ Ja siin on suisa generaator, mis väidetavalt teeb parima konfi
