PHP min. 5.6.8MySQL min. 5.1Apache min. 2.0
GitHub
Přidejte kódy
PHP-Fusion 9 Jádro
v9.0
Český překlad
Pravidelně aktualizovaný
Demo
Testovat PHP-Fusion

Technologie

Používáme technologii SNI (díl 3.)

Jak jsme slíbili v předcházejícím díle, v tomto článku budeme instalovat a konfigurovat protokol SSL, jako nutný předpoklad podpory rozšíření SSL a TLS, které se jmenují SNI (Server Name Indicationsystému). Je o něj stále větší zájem, neboť (znovu opakuji) použitím SNI (Apache mod_ssl) lze na jedné IP adrese sdílet více VirtualHostů a pro každý mít vlastní SSL certifikát.

Jak jsme slíbili v předcházejícím díle, v tomto článku budeme instalovat a konfigurovat protokol SSL, jako nutný předpoklad podpory rozšíření SSL a TLS, které se jmenují SNI (Server Name Indicationsystému). Je o něj stále větší zájem, neboť (znovu opakuji) použitím SNI (Apache mod_ssl) lze na jedné IP adrese sdílet více VirtualHostů a pro každý mít vlastní SSL certifikát.

V minulosti musela mít každá zabezpečená doména svojivlastní IP adresu. To bylo složité hlavně pro poskytovatelé hostingových služeb, kteří museli přiřadit vlastní IP adresu pro každý VirtualHost, který chtěl zákazník zabezpečit SSL certifikátem. Rovněž uživatel tro měl nepraktické, protože musel na požadovanou webovou stránku přistupovat pouze s konkrétním číslem portu (například https://www.ssls.cz:xxxxx/). Nyní se systémem SNI je to procházka po zelené louce...

SNI vyžaduje

Pouze výchozí nastavení nejnovějších verzí Apache a OpenSSL. Tedy od OpenSSL verze 0.9.8k, která má ve výchozí konfiguraci povolené TLS rozšíření. Podpora protokolu TLS je u OpenSSL od verze 0.9.8f s ruční konfigurací. Verzi OpenSSL zjistíte jednoduchým příkazem openssl version. A k tomu ještě poznámka, Apache server musí být nakofigurován s podporou mod_ssl a běžet jako run-time (init.d) proces. To je dnes samozřejmost.

Instalace SSL certifikátu na server Apache

  • Instalaci podepsaného SSL certifikátu vám může provést, většinou zdarma, technická podpora poskytovatele hostingových služeb.
  • Obdržíte váš SSL certifikát.
  • Máte nainstalovaný Apache web server s Virtual Host a podporou SSL (OpenSSL).
  • Nyní pro testování použijeme SSL certifikát vystavený pro doménu www.ssls.cz a ssls.cz (SAN).
  • SSL certifikát uložíme do souboru www.ssls.cz.crt,
  • privátní klíč uložíme do souboru www.ssls.cz.key,
  • Certifikát, který podepisuje certifikační autority (CA) uložíme do souboru ca_intermediate.crt.
  • Konfigurace Apache Virtual Host bez SSL

    Nyní následuje nastavení klasickým způsoben, tedy bez podpory SSL. Uvedena IP adresa 1.2.3.4:80 (80 je číslo portu pro službu WWW) je pro doménu ssls.cz a www.ssls.cz nastavena v DNS.:

  • 
     ServerName www.ssls.cz
     ServerAlias ssls.cz
     DocumentRoot /cesta/k/dokumentum
    
    
  • Konfigurace Apache Virtual Host s protokolem SSL

    Pozor! Soubor ca_intermediate.crt obsahuje certifikáty certifikační autority (CA), která certifikát podepsala. Pro přístup k webovým stránkám prostřednictvím zabezpečeného protokolu https://, upravíme nyní horní zápis konfigurace bez SSL následovně:

  • 
    
     ServerName www.ssls.cz
     ServerAlias ssls.cz
     DocumentRoot //cesta/k/dokumentum
     RewriteEngine on
     RewriteCond %{HTTPS} != on
     RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]
    
    
    
     ServerName www.ssls.cz
     ServerAlias ssls.cz
     DocumentRoot //cesta/k/dokumentum
     SSLEngine on
     SSLProtocol all -SSLv3 -SSLv2
     SSLCertificateFile //cesta/k/www.ssls.cz.crt
     SSLCertificateKeyFile //cesta/k/www.ssls.cz.key
     SSLCACertificateFile //cesta/k/ca_intermediate.crt
     SSLCipherSuite //Zde budou zakodované znaky na několika řádcích
     SSLHonorCipherOrder on
     SSLCompression off
     Header always set Strict-Transport-Security "max-age=15768000"
    
    
  • Na závěr restart webového server

    $ apache2ctl stop
    $ apache2ctl start
    

Resumé

Po restartu by vám mělo běžet vše standardně, bez varovné hlášky o zabezpečení. Přesto je dobré proěřit nastavení všech VirtualHostů příkazem apache2ctl -S. Poté otevřete přístup na URL adresu zabezpečené domény přímo z webového prohlížeče. Správnost instalace SSL na vašem serveru Apache si můžete ověřit rovněž na adrese: SSLS.cz/ssites. V příštím díle dokončíme instalaci systému SNI (velmi snadné) a rozebereme ověření její podpory.

  • Připravil: Vícha Květoslav (Kvido)
  • PC-politika.cz
  • Zdroj:SSLS.cz
  • Stupeň znalosti - expert

Kvido 13.06.2016 05:38 330 0 komentářů

0 komentářů

Zanechat komentář

Přihlaste se, abyste mohli zveřejnit komentář.
  • Žádné komentáře byly zveřejněny.
Nejnovější témata fóra
  Vlákno Zobrazení Odpovědi Poslední příspěvek
obrázky v news
v PHP - Fusion 9.0.3
25 0 Balin50
21-05-2018 12:12
Gist
v Administrace obsahu
68 2 Kvido
19-05-2018 07:12
Token
v PHP - Fusion 9.0.3
77 2 Balin50
18-05-2018 12:52
Chyba - DatabaseSetup.inc
v PHP - Fusion 9.0.3
61 3 RobiNN
17-05-2018 17:46
tagy vo fóre
v PHP - Fusion 9.0.3
51 0 Balin50
16-05-2018 19:42
Code v news [Vyřešeno]
v PHP - Fusion 9.0.3
93 5 RobiNN
16-05-2018 18:52