TLS,全称为传输层安全,及其前身SSL,全称为安全嵌套层,都属于将普通流量打包为受保护加密封装的Web协议。
使用这项技术,服务器能够在服务器与客户间安装传输数据,而无需担心消息为外部所截获。其证书系统还能够帮助用户核实其所连接站点的身份。
在本教程中,我们将探讨如何在Ubuntu 16.04服务器上为Apache Web服务器设置一份自签名SSL证书。
注意:自签名证书将对服务器与客户端间的通信内容进行加密。然而,由于其签名并非来自受信证书中心,因此用户无法使用该证书自动验证服务器身份。
自签名证书适用于那些服务器不具备相关域名的情况,特别是那些不面向用户的加密Web接口实例。如果大家拥有域名,那么一般来说最好是使用CA签名证书。
先决条件
在开始之前,大家首先应该拥有一个具备sudo权限的非root用户。
另外,大家还需要安装一套Apache Web服务器。如果各位希望在服务器上安装LAMP(即Linux、Apache、MySQL与PHP)堆栈。
第一步:创建SSL证书
TLS/SSL采用公共证书与私钥的结合体。SSL密钥在服务器上进行安全保存,用于对发送至客户端的内容进行加密。SSL证书则由任何请求该内容的用户共享,可用于解密对应SSL密钥所签署的内容。
大家可以使用以下命令利用OpenSSL创建一条自签名密钥与证书:
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt
下面来看命令中的各部分内容:
openssl: 基本命令行工具,用于创建并管理OpenSSL证书、密钥与其它文件。
req: 此子命令指定我们希望使用X.509证书签名请求(简称CSR)管理。其中X.509是一项公钥基础设施标准,SSL与TLS将其指定为密钥与证书管理机制。
-x509: 进一步修改前一条子命令,告知工具我们需要的是自签名证书,而非生成普通的证书签名请求。
-nodes: 告知OpenSSL跳过利用密码保护证书的选项。我们的Apache需要在服务器启动时能够在不经用户许可的情况下读取该文件,而密码会影响到这一流程。
-days 365: 此选项选定证书的有效时限。我们将其设定为一年。
-newkey rsa:2048: 指定我们希望同时生成一份新证书与新密钥。我们在上一步设定中无需创建密钥即可签署证书,因此这里需要将密钥与证书一同创建。其中rsa:2048部分指定生成RSA密钥,长度为2048位。
-keyout: 此行告知OpenSSL将生成的密钥文件保存在何处。
-out: 告知OpenSSL将我们创建的证书保存在何处。
以上各选项将同时创建密钥文件与证书。我们还需要回答几个与服务器相关的问题以在证书中添加正确的信息。
正确填写提示内容。最重要的一行就是Common Name(例如服务器FQDN或者域名)。大家需要填写服务器相关域名或者公共IP地址。
完整的提示内容如下:
Output
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:New York
Locality Name (eg, city) []:New York City
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Bouncy Castles, Inc.
Organizational Unit Name (eg, section) []:Ministry of Water Slides
Common Name (e.g. server FQDN or YOUR name) []:server_IP_address
Email Address []:admin@your_domain.com
创建完成的两个文件都将保存在/etc/ssl目录中的对应子目录内。
在使用OpenSSL时,大家应当创建一个强Diffie-Hellman组,用于同客户端谈判时的完全正向保密。
具体实现方式如下:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
整个过程可能耗时几分钟,但完成后即可在/etc/ssl/certs/dhparam.pem处生成可用于配置的强DH组。
第二步:配置Apache以使用SSL
我们在/etc/ssl目录下创建了密钥与证书文件,现在修改Apache配置以使用这些文件。
我们需要在配置中进行以下调整:
创建一个配置片段以指定强默认SSL设置。
修改其中的SSL Apache Virtual Host文件以指向我们生成的SSL证书。
(建议) 修改未加密Virtual Host文件以将请求自动指向至加密Virtual Host。
完成后,安全SSL配置即大功告成。
利用强加密设置创建Apache配置片段
首先创建一条Apache配置片段以定义部分SSL设置。首先在/etc/apache2/conf-available目录内创建一个新片段。我们将使用ssl-params.conf作为文件名:
sudo nano /etc/apache2/conf-available/ssl-params.conf
在本示例中,我们可以直接复制以上站点提供的设置。不过,我们还需要将其中的SSLOpenSSLConfCmd DHParameters设置为指定我们刚刚生成的Diffie-Hellman文件:
/etc/apache2/conf-available/ssl-params.conf
# from https://cipherli.st/
# and https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off
SSLSessionTickets Off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"
完成后保存并退出。
修改默认Apache SSL Virtual Host文件
接下来,修改/etc/apache2/sites-available/default-ssl.conf文件,即默认Apache SSL Virtual Host文件。如果大家使用其它服务器块文件,则注意替换以下命令中的对应部分:
在进行之前,首先备份初始SSL Virtual Host文件:
sudo cp /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-available/default-ssl.conf.bak
现在打开SSL Virtual Host文件并进行调整:
sudo nano /etc/apache2/sites-available/default-ssl.conf
取消其中的大部分注释,调整前的内容如下:
/etc/apache2/sites-available/default-ssl.conf
<IfModule mod_ssl.c>
<VirtualHost _default_:443>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
SSLEngine on
SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
<FilesMatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
<Directory /usr/lib/cgi-bin>
SSLOptions +StdEnvVars
</Directory>
# BrowserMatch "MSIE [2-6]" \
# nokeepalive ssl-unclean-shutdown \
# downgrade-1.0 force-response-1.0
</VirtualHost>
</IfModule>
我们需要对VIrtual Host文件中的常规变更内容进行调整(ServerAdmin邮箱地址、ServerName等)、将SSL命令指向我们的证书与密钥文件,同时取消早期浏览器兼容性部分的注释。
变更完成后,文件内容如下:
/etc/apache2/sites-available/default-ssl.conf
<IfModule mod_ssl.c>
<VirtualHost _default_:443>
ServerAdmin your_email@example.com
ServerName server_domain_or_IP
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
SSLEngine on
SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt
SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.key
<FilesMatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
<Directory /usr/lib/cgi-bin>
SSLOptions +StdEnvVars
</Directory>
BrowserMatch "MSIE [2-6]" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
</VirtualHost>
</IfModule>
完成后保存并退出。
(建议) 修改未加密VIrtual Host文件以重新定向至HTTPS
到这里,服务器将同时提供未加密HTTP与加密HTTPS流量。为了提升安全性,最好将HTTP流量自动定向至HTTPS。如果大家不需要这项功能,请直接跳过此节。
为了将未加密Virtual Host文件重新定向至SSL加密流量,我们打开/etc/apache2/sites-available/000-default.conf文件:
sudo nano /etc/apache2/sites-available/000-default.conf
在其中的VirtualHost配置部分,我们添加Redirect指令将全部流量指向该站点的SSL版本:
/etc/apache2/sites-available/000-default.conf
<VirtualHost *:80>
. . .
Redirect "/" "https://your_domain_or_IP/"
. . .
</VirtualHost>
完成后保存并退出。
第三步:调整防火墙
如果大家启用了ufw防火墙,则需要调整设置以允许SSL流量通过。幸运的是,Apache注册表已经预告安装了部分ufw配置。
通过以下命令查看可用配置:
sudo ufw app list
返回列表如下:
Output
Available applications:
Apache
Apache Full
Apache Secure
OpenSSH
查看当前设置:
sudo ufw status
如果之前只允许常规HTTP流量输入,则输出结果如下:
Output
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
Apache ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Apache (v6) ALLOW Anywhere (v6)
要允许HTTPS流量接入,我们可以允许“Apache Full”配置而后删除多余的“Apache”配置:
sudo ufw allow ‘Apache Full’
sudo ufw delete allow ‘Apache’
调整后的状态如下:
sudo ufw status
Output
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
Apache Full ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Apache Full (v6) ALLOW Anywhere (v6)
第四步:在Apache中应用变更
现在各项变更已经完成,接下来重启Apache即可将其付诸使用。
我们可以通过a2enmod命令启用Apache SSL模块mod_ssl,外加SSL片段设置所必需的mod_headers:
sudo a2enmod ssl
sudo a2enmod headers
接下来,利用a2ensite命令启用SSL Virtual Host:
sudo a2ensite default-ssl
现在,我们的站点及必要模块都已经启用。接下来进行检查以确保文件中不存在语法错误:
sudo apache2ctl configtest
如果一切顺利,则返回结果如下:
Output
AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this message
Syntax OK
第一行信息提示我们ServerName指令未被设定为全局。如果大家希望忽略该信息,则可在/etc/apache2/apache2.conf中将ServerName设定为服务器域名或者IP地址。当然,放着不管也没问题。
在输出结果为Syntax OK后,我们就能够重启Apache以应用变更了:
sudo systemctl restart apache2
第五步:测试加密
下面打开浏览器并输入服务器域名或者IP:
https://server_domain_or_IP
由于我们创建的证书并非由浏览器信任的证书中心颁发,因此其中可能显示警告:
大家不用紧张。我们关心的是证书是否进行了正确加密。点击“ADVANCED”而后点击链接继续访问主机:
站点应该可以成功访问了。可以看到,浏览器地址栏中有一个“X”标记,这意味着该证书无法验证。不过可以确定的是,我们的连接仍然得到了加密。
如果在配置中将HTTP定向至HTTPS,则可检查其重新定向功能是否正确:
http://server_domain_or_IP
如果浏览结果相同,则功能正确无误。
第六步:更改为永久重新定向
若重新定向机制正常起效,那么大家可以对未加密Apache Virtual Host进行永久重新定向。
再次打开服务器配置文件:
sudo nano /etc/apache2/sites-available/000-default.conf
找到其中的Redirect行,添加permanent,其会将302临时重新定向变更为301永久重新定向:
/etc/apache2/sites-available/000-default.conf
<VirtualHost *:80>
. . .
Redirect permanent "/" "https://your_domain_or_IP/"
. . .
</VirtualHost>
保存并退出。
检查配置文件中是否存在语法错误:
sudo apache2ctl configtest
完成后,重启Apache以应用变更:
sudo systemctl restart apache2
总结
大家已经对Apache服务器进行了配置,要求其使用强加密处理客户端连接。如此一来,我们能够更为安全地处理请求,从而避免外部人士读取我们的流量。