[4] Apache + SSL/TLS
2 lutego 2023Cała konfiguracja SSL/TLS opiera się na wygenerowanych certyfikatach z auto podpisem, których opis jest zawarty w: OpenSSL-Testowanie. Aby włączyć połączenia HTTPS w Apache musimy zmodyfikować plik [/usr/local/etc/apache24/httpd.conf].
root@vfbsd01:~ # mcedit /usr/local/etc/apache24/httpd.conf # linia 149: odkomentuj LoadModule ssl_module libexec/apache24/mod_ssl.so
Dodatkowo musisz poinformować Apache, że ma wczytywać plik konfiguracyjny z podkatalogu [/extra] [httpd-ssl.conf].
root@vfbsd01:~ # mcedit /usr/local/etc/apache24/httpd.conf # linia 527: odkomentuj Include etc/apache24/extra/httpd-ssl.conf
Dodatkowo należy włączyć moduł mod_socache_shmcb w pliku [httpd.conf]. Czyli ponownie edytujemy ten plik.
root@vfbsd01:~ # mcedit /usr/local/etc/apache24/httpd.conf #linia 92: odkomentuj LoadModule socache_shmcb_module libexec/apache24/mod_socache_shmcb.so
Następnie skopiuj i zachowaj oryginalny plik [/usr/local/etc/apache24/extra/httpd-ssl.conf]
root@vfbsd01:~ # cp /usr/local/etc/apache24/extra/httpd-ssl.conf /usr/local/etc/apache24/extra/httpd-ssl.conf.old
Teraz przystąpmy do jego edycji:
root@vfbsd01:~ # mcedit /usr/local/etc/apache24/extra/httpd-ssl.conf #linia 125: zmień ServerName vfbsd01.zicher.lab:443 # linia 126: zmień ServerAdmin root@zicher.lab # linia 144: zmień SSLCertificateFile "/usr/local/openssl/certs/vfbsd01.zicher.lab-cert.pem" # linia 155: zmień SSLCertificateKeyFile "/usr/local/openssl/certs/vfbsd01.zicher.lab-unencrypted-key.pem
Zapisujemy plik i sprawdzamy poprawność wpisów konfiguracyjnych Apache:
root@vfbsd01:~ # apachectl configtest Performing sanity check on apache24 configuration: Syntax OK
Jeśli wszystko jest OK, to restartujemy Apache:
root@vfbsd01:~ # apachectl restart Performing sanity check on apache24 configuration: Syntax OK Stopping apache24. Waiting for PIDS: 12908. Performing sanity check on apache24 configuration: Syntax OK Starting apache24.
No to teraz nie pozostaje nic innego jak sprawdzić poprawność działania Apache z SSL/TLS:
Jak widać certyfikat nie jest zaufany dla przeglądarki, ale na razie sprawdzamy poprawność działania HTTPS dlatego klikamy na [Zaawansowane] > [Przejdź do witryny vfbsd01.zicher.lab (niebezpieczna)], aby zobaczyć ją w pełnej krasie.