[4] Apache + SSL/TLS

2 lutego 2023 Wyłączono przez Adam [zicherka] Nogły

Cała konfiguracja SSL/TLS opiera się na wygenerowanych certyfikatach z auto podpisem, których opis jest zawarty w: OpenSSL-Testowanie. Aby włączyć połączenia HTTPS w Apache musimy zmodyfikować plik [/usr/local/etc/apache24/httpd.conf].

root@vfbsd01:~ # mcedit /usr/local/etc/apache24/httpd.conf
# linia 149: odkomentuj
LoadModule ssl_module libexec/apache24/mod_ssl.so

Dodatkowo musisz poinformować Apache, że ma wczytywać plik konfiguracyjny z podkatalogu [/extra] [httpd-ssl.conf].

root@vfbsd01:~ # mcedit /usr/local/etc/apache24/httpd.conf
# linia 527: odkomentuj
Include etc/apache24/extra/httpd-ssl.conf

Dodatkowo należy włączyć moduł mod_socache_shmcb w pliku [httpd.conf]. Czyli ponownie edytujemy ten plik.

root@vfbsd01:~ # mcedit /usr/local/etc/apache24/httpd.conf
#linia 92: odkomentuj
LoadModule socache_shmcb_module libexec/apache24/mod_socache_shmcb.so

Następnie skopiuj i zachowaj oryginalny plik [/usr/local/etc/apache24/extra/httpd-ssl.conf]

root@vfbsd01:~ # cp /usr/local/etc/apache24/extra/httpd-ssl.conf /usr/local/etc/apache24/extra/httpd-ssl.conf.old

Teraz przystąpmy do jego edycji:

root@vfbsd01:~ # mcedit /usr/local/etc/apache24/extra/httpd-ssl.conf
#linia 125: zmień
ServerName vfbsd01.zicher.lab:443
# linia 126: zmień
ServerAdmin root@zicher.lab
# linia 144: zmień
SSLCertificateFile "/usr/local/openssl/certs/vfbsd01.zicher.lab-cert.pem"
# linia 155: zmień
SSLCertificateKeyFile "/usr/local/openssl/certs/vfbsd01.zicher.lab-unencrypted-key.pem

Zapisujemy plik i sprawdzamy poprawność wpisów konfiguracyjnych Apache:

root@vfbsd01:~ # apachectl configtest
Performing sanity check on apache24 configuration:
Syntax OK

Jeśli wszystko jest OK, to restartujemy Apache:

root@vfbsd01:~ # apachectl restart
Performing sanity check on apache24 configuration:
Syntax OK
Stopping apache24.
Waiting for PIDS: 12908.
Performing sanity check on apache24 configuration:
Syntax OK
Starting apache24.

No to teraz nie pozostaje nic innego jak sprawdzić poprawność działania Apache z SSL/TLS:

Jak widać certyfikat nie jest zaufany dla przeglądarki, ale na razie sprawdzamy poprawność działania HTTPS dlatego klikamy na [Zaawansowane] > [Przejdź do witryny vfbsd01.zicher.lab (niebezpieczna)], aby zobaczyć ją w pełnej krasie.