PHP min. 5.6.8MySQL min. 5.1Apache min. 2.0
PHP-Fusion 9 Jádro
v9.0
Český překlad
Pravidelně aktualizovaný

Technologie

Používáme technologii SNI (díl 3.)

Jak jsme slíbili v předcházejícím díle, v tomto článku budeme instalovat a konfigurovat protokol SSL, jako nutný předpoklad podpory rozšíření SSL a TLS, které se jmenují SNI (Server Name Indicationsystému). Je o něj stále větší zájem, neboť (znovu opakuji) použitím SNI (Apache mod_ssl) lze na jedné IP adrese sdílet více VirtualHostů a pro každý mít vlastní SSL certifikát.

Jak jsme slíbili v předcházejícím díle, v tomto článku budeme instalovat a konfigurovat protokol SSL, jako nutný předpoklad podpory rozšíření SSL a TLS, které se jmenují SNI (Server Name Indicationsystému). Je o něj stále větší zájem, neboť (znovu opakuji) použitím SNI (Apache mod_ssl) lze na jedné IP adrese sdílet více VirtualHostů a pro každý mít vlastní SSL certifikát.

V minulosti musela mít každá zabezpečená doména svojivlastní IP adresu. To bylo složité hlavně pro poskytovatelé hostingových služeb, kteří museli přiřadit vlastní IP adresu pro každý VirtualHost, který chtěl zákazník zabezpečit SSL certifikátem. Rovněž uživatel tro měl nepraktické, protože musel na požadovanou webovou stránku přistupovat pouze s konkrétním číslem portu (například https://www.ssls.cz:xxxxx/). Nyní se systémem SNI je to procházka po zelené louce...

SNI vyžaduje

Pouze výchozí nastavení nejnovějších verzí Apache a OpenSSL. Tedy od OpenSSL verze 0.9.8k, která má ve výchozí konfiguraci povolené TLS rozšíření. Podpora protokolu TLS je u OpenSSL od verze 0.9.8f s ruční konfigurací. Verzi OpenSSL zjistíte jednoduchým příkazem openssl version. A k tomu ještě poznámka, Apache server musí být nakofigurován s podporou mod_ssl a běžet jako run-time (init.d) proces. To je dnes samozřejmost.

Instalace SSL certifikátu na server Apache

  • Instalaci podepsaného SSL certifikátu vám může provést, většinou zdarma, technická podpora poskytovatele hostingových služeb.
  • Obdržíte váš SSL certifikát.
  • Máte nainstalovaný Apache web server s Virtual Host a podporou SSL (OpenSSL).
  • Nyní pro testování použijeme SSL certifikát vystavený pro doménu www.ssls.cz a ssls.cz (SAN).
  • SSL certifikát uložíme do souboru www.ssls.cz.crt,
  • privátní klíč uložíme do souboru www.ssls.cz.key,
  • Certifikát, který podepisuje certifikační autority (CA) uložíme do souboru ca_intermediate.crt.
  • Konfigurace Apache Virtual Host bez SSL

    Nyní následuje nastavení klasickým způsoben, tedy bez podpory SSL. Uvedena IP adresa 1.2.3.4:80 (80 je číslo portu pro službu WWW) je pro doménu ssls.cz a www.ssls.cz nastavena v DNS.:

  • 
     ServerName www.ssls.cz
     ServerAlias ssls.cz
     DocumentRoot /cesta/k/dokumentum
    
    
  • Konfigurace Apache Virtual Host s protokolem SSL

    Pozor! Soubor ca_intermediate.crt obsahuje certifikáty certifikační autority (CA), která certifikát podepsala. Pro přístup k webovým stránkám prostřednictvím zabezpečeného protokolu https://, upravíme nyní horní zápis konfigurace bez SSL následovně:

  • 
    
     ServerName www.ssls.cz
     ServerAlias ssls.cz
     DocumentRoot //cesta/k/dokumentum
     RewriteEngine on
     RewriteCond %{HTTPS} != on
     RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]
    
    
    
     ServerName www.ssls.cz
     ServerAlias ssls.cz
     DocumentRoot //cesta/k/dokumentum
     SSLEngine on
     SSLProtocol all -SSLv3 -SSLv2
     SSLCertificateFile //cesta/k/www.ssls.cz.crt
     SSLCertificateKeyFile //cesta/k/www.ssls.cz.key
     SSLCACertificateFile //cesta/k/ca_intermediate.crt
     SSLCipherSuite //Zde budou zakodované znaky na několika řádcích
     SSLHonorCipherOrder on
     SSLCompression off
     Header always set Strict-Transport-Security "max-age=15768000"
    
    
  • Na závěr restart webového server

    $ apache2ctl stop
    $ apache2ctl start
    

Resumé

Po restartu by vám mělo běžet vše standardně, bez varovné hlášky o zabezpečení. Přesto je dobré proěřit nastavení všech VirtualHostů příkazem apache2ctl -S. Poté otevřete přístup na URL adresu zabezpečené domény přímo z webového prohlížeče. Správnost instalace SSL na vašem serveru Apache si můžete ověřit rovněž na adrese: SSLS.cz/ssites. V příštím díle dokončíme instalaci systému SNI (velmi snadné) a rozebereme ověření její podpory.

  • Připravil: Vícha Květoslav (Kvido)
  • PC-politika.cz
  • Zdroj:SSLS.cz
  • Stupeň znalosti - expert

Kvido 13.06.2016 05:38 367 0 komentářů

0 komentářů

Zanechat komentář

Přihlaste se, abyste mohli zveřejnit komentář.
  • Žádné komentáře byly zveřejněny.
Nejnovější témata fóra
  Vlákno Zobrazení Odpovědi Poslední příspěvek
FAQ chyba
v Administrace obsahu
7 0 Balin50
22-09-2018 22:15
Vývoj - ako pokračuje
v PHP-Fusion 9.0.3
73 1 Kvido
18-09-2018 12:59
Blogs na HP [Vyřešeno]
v PHP-Fusion 9.0
89 2 Kvido
15-09-2018 17:12
Tenisový portál [Vyřešeno]
v Obecná diskuse
171 3 jany
08-09-2018 08:06
Prihlásenie [Vyřešeno]
v Administrace systému
152 7 Balin50
05-09-2018 15:36
FAQ formátovanie [Vyřešeno]
v Administrace obsahu
223 8 RobiNN
05-09-2018 15:09
Token [Vyřešeno]
v Administrace systému
164 1 RobiNN
05-09-2018 15:05
Přihlášení
Ještě nejste členem? Klikněte zde a zaregistrujte se.
Shoutbox
Chcete-li odeslat zprávu, musíte se přihlásit.
Kvido
před 18 dny
Jj. Zbytečné moc ne, pač tu u jejich reg. e-mailem nepustím zahraniční, nejčastěji ru., com., org.
RobiNN
před 18 dny
Kvido spammerov musíš vymazať a zablokovať ich IP. Inak je to zbytočne.
Kvido
před 19 dny
Protože se ve Fóru objevilo několik SPAMů, je nyní registrace nových členů zapnuta přes e-mail a povolení hlavního administratora.
RobiNN
před 1 měsícem
4 témy sú v základnej inštalácii (na 4. téme robím) Ďalšie sú tu https://github.co...ion/Themes a tu https://github.co...ion-Themes
F
před 1 měsícem
Kdy bude více vzhledů, módů a všeho možného do php fusion 9? :-)