Защищенные протоколы AlterOffice-cloud
Механизмы аутентификации и обмена реализуются с использованием защищенных протоколов аутентификации. При хранении и передаче конфиденциальность паролей обеспечивается шифрованием или хешированием с применением стойких криптографических алгоритмов. Веб-протокол TLS используются для помещения трафика в защищенную оболочку с шифрованием.
Содержание
Настройка
SSL-сертификат – это цифровой сертификат, удостоверяющий подлинность веб-сайта и позволяющий использовать зашифрованное соединение.
Шаг 1 — Создание тестового сертификата
Для быстрого тестирования можно применять самоподписанный сертификат или сертификат
Как создать самоподписанный сертификат SSL для использования с веб-сервером Apache в AlterOS
Используйте надежное хранилище для корневого сертификата! Здесь просто создадим каталог без рассмотрения надежности хранения:
sudo mkdir -p /etc/ssl/private
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt
Вам будет предложено ответить на ряд вопросов. Что делает отправляемая нами команда:
- openssl: системная команда для создания и управления сертификатами OpenSSL, ключами и другими файлами.
- req: стандартная команда OpenSSL управления запросом на подпись сертификата (CSR) X.509. X.509 стандарт ITU-T для инфраструктуры открытого ключа.
- -x509: параметр для создания самоподписанного сертификата, вместо генерации запроса на подпись сертификата удостоверяющему центру.
- -nodes: параметр OpenSSL для пропуска защиты сертификата с помощью пароля.
- -days 365: параметр устанавливает срок действия сертификата в днях. Обычно срок действия один год.
- -newkey rsa:4096: генерируем новый сертификат и новый ключ одновременно. У нас нет требуемого ключа для подписи сертификата с предыдущего шага, нам нужно создать его вместе с сертификатом. Для ключа используем шифрование RSA длиной 4096 бит.
- -keyout: эта строка указывает OpenSSL, где сохраняем создаваемый закрытый ключ.
- -out: данный параметр указывает OpenSSL, куда кладем создаваемый сертификат.
Будет задано несколько вопросов о нашем сервере, чтобы правильно внести информацию в сертификат.
Country Name (2 letter code) [XX]:RU State or Province Name (full name):Moscow Locality Name (eg, city) [Default City]:Moscow Organization Name (eg, company) [Default Company Ltd]:MyCompany. Organizational Unit Name (eg, section) []:IT Common Name (eg, your name or your server's hostname) []:localhost Email Address []:admin@localhost
Certbot
Есть тестовый способ выпуска сертификата с помощью клиента Certbot компании Let’s Encrypt из Сан-Франциско.
Для этого понадобится:
- подключение к сети Интернет.
- опенсорсные скрипты клиента.
- зарегистрированный домен.
Примеры команд
Запуск генерации сертификата командой letsencrypt-auto certonly, используя плагин webroot:
letsencrypt-auto certonly -a webroot --webroot-path=/web/path -d domain.com -d www.domain.com
Чтобы запустить процесс обновления для всех установленных доменов, выполните следующую команду:
letsencrypt-auto renew
Пример автоматического ежененедельного обновления сертификата с помощью добавления в crontab.
sudo crontab -e
Пример ввода строк для создания расписания:
30 2 * * 1 letsencrypt-auto renew >> /var/log/letsencrypt-renew.log 35 2 * * 1 systemctl reload httpd
Официально AlterOS не осуществляет техническую поддержку.
Шаг 2 — Настройка Apache
Сертификат Certbot подключается из других каталогов:
SSLCertificateFile /etc/letsencrypt/live/domain.com/cert.pem SSLCertificateKeyFile /etc/letsencrypt/live/domain.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/domain.com/chain.pem
Сертификат для сервера
Рекомендуется использовать сертификаты принадлежащие вашей организации, с помощью которых выполняется:
- Проверка (OV) существования организации или Расширенная (EV) проверка организации
- Шифрование всех передаваемых данных
- Wildcard (защита поддоменов)
- Сертификат доступен только юридическим лицам
Следует использовать сертификаты, которые выдает Национальный удостоверяющий центр (НУЦ), работающий под эгидой Минцифры.
Рекомендуется ежегодно перевыпускать сертификат.