Механизмы аутентификации и обмена реализуются с использованием защищенных протоколов аутентификации. При хранении и передаче конфиденциальность паролей обеспечивается шифрованием или хешированием с применением стойких криптографических алгоритмов. Веб-протокол TLS используются для помещения трафика в защищенную оболочку с шифрованием.

Настройка

SSL-сертификат – это цифровой сертификат, удостоверяющий подлинность веб-сайта и позволяющий использовать зашифрованное соединение.

Шаг 1 — Создание тестового сертификата

Для быстрого тестирования можно применять самоподписанный сертификат или сертификат

Как создать самоподписанный сертификат SSL для использования с веб-сервером Apache в AlterOS

Используйте надежное хранилище для корневого сертификата! Здесь просто создадим каталог без рассмотрения надежности хранения:

   sudo mkdir -p /etc/ssl/private

   sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt

Вам будет предложено ответить на ряд вопросов. Что делает отправляемая нами команда:

• openssl: системная команда для создания и управления сертификатами OpenSSL, ключами и другими файлами.
• req: стандартная команда OpenSSL управления запросом на подпись сертификата (CSR) X.509. X.509 стандарт ITU-T для инфраструктуры открытого ключа.
• -x509: параметр для создания самоподписанного сертификата, вместо генерации запроса на подпись сертификата удостоверяющему центру.
• -nodes: параметр OpenSSL для пропуска защиты сертификата с помощью пароля.
• -days 365: параметр устанавливает срок действия сертификата в днях. Обычно срок действия один год.
• -newkey rsa:4096: генерируем новый сертификат и новый ключ одновременно. У нас нет требуемого ключа для подписи сертификата с предыдущего шага, нам нужно создать его вместе с сертификатом. Для ключа используем шифрование RSA длиной 4096 бит.
• -keyout: эта строка указывает OpenSSL, где сохраняем создаваемый закрытый ключ.
• -out: данный параметр указывает OpenSSL, куда кладем создаваемый сертификат.

Будет задано несколько вопросов о нашем сервере, чтобы правильно внести информацию в сертификат.

   Country Name (2 letter code) [XX]:RU
   State or Province Name (full name):Moscow
   Locality Name (eg, city) [Default City]:Moscow
   Organization Name (eg, company) [Default Company Ltd]:MyCompany.
   Organizational Unit Name (eg, section) []:IT
   Common Name (eg, your name or your server's hostname) []:localhost
   Email Address []:admin@localhost

Certbot

Есть тестовый способ выпуска сертификата с помощью клиента Certbot компании Let’s Encrypt из Сан-Франциско.

Для этого понадобится:

• подключение к сети Интернет.
• опенсорсные скрипты клиента.
• зарегистрированный домен.

Примеры команд

Запуск генерации сертификата командой letsencrypt-auto certonly, используя плагин webroot:

   letsencrypt-auto certonly -a webroot --webroot-path=/web/path -d domain.com -d www.domain.com

Чтобы запустить процесс обновления для всех установленных доменов, выполните следующую команду:

   letsencrypt-auto renew

Пример автоматического ежененедельного обновления сертификата с помощью добавления в crontab.

   sudo crontab -e

Пример ввода строк для создания расписания:

   30 2 * * 1 letsencrypt-auto renew >> /var/log/letsencrypt-renew.log
   35 2 * * 1 systemctl reload httpd

Официально AlterOS не осуществляет техническую поддержку.

Шаг 2 — Настройка Apache

Сертификат Certbot подключается из других каталогов:

   SSLCertificateFile /etc/letsencrypt/live/domain.com/cert.pem
   SSLCertificateKeyFile /etc/letsencrypt/live/domain.com/privkey.pem
   SSLCertificateChainFile /etc/letsencrypt/live/domain.com/chain.pem

Сертификат для сервера

Рекомендуется использовать сертификаты принадлежащие вашей организации, с помощью которых выполняется:

• Проверка (OV) существования организации или Расширенная (EV) проверка организации
• Шифрование всех передаваемых данных
• Wildcard (защита поддоменов)
• Сертификат доступен только юридическим лицам

Следует использовать сертификаты, которые выдает Национальный удостоверяющий центр (НУЦ), работающий под эгидой Минцифры.

Рекомендуется ежегодно перевыпускать сертификат.