लिनक्स एडमिन - एसएसएल सर्टिफिकेट बनाएं

टीएलएस और एसएसएल पृष्ठभूमि

TLS सॉकेट लेयर सिक्योरिटी के लिए नया मानक है, SSL को आगे बढ़ाता है। TLS SSL को आगे बढ़ाने के साथ अन्य सुरक्षा और प्रोटोकॉल आवरण सुविधाओं के साथ बेहतर एन्क्रिप्शन मानक प्रदान करता है। अक्सर, TLS और SSL का उपयोग परस्पर विनिमय के लिए किया जाता है। हालांकि, एक पेशेवर CentOS प्रशासक के रूप में, प्रत्येक को अलग करने वाले मतभेदों और इतिहास को नोट करना महत्वपूर्ण है।

एसएसएल संस्करण 3.0 तक जाता है। एसएसएल को नेटस्केप के तहत उद्योग मानक के रूप में विकसित और प्रचारित किया गया। नेटस्केप द्वारा AOL द्वारा खरीदे जाने के बाद (90 के दशक में ISP के रूप में जाना जाने वाला ISP लोकप्रिय ऑनलाइन) AOL ने वास्तव में SSL में सुरक्षा सुधार के लिए आवश्यक परिवर्तन को बढ़ावा नहीं दिया।

संस्करण 3.1 में, एसएसएल तकनीक खुले सिस्टम मानकों में चली गई और इसे टीएलएस में बदल दिया गया । चूंकि SSL पर कॉपीराइट अभी भी AOL के पास था, इसलिए एक नया शब्द गढ़ा गया था:TLS - Transport Layer Security। इसलिए यह स्वीकार करना महत्वपूर्ण है कि टीएलएस वास्तव में एसएसएल से अलग है । विशेष रूप से, पुराने एसएसएल प्रौद्योगिकियों ने सुरक्षा मुद्दों को जाना है और कुछ को आज अप्रचलित माना जाता है।

Note- यह ट्यूटोरियल टीएलएस शब्द का उपयोग तब करेगा जब प्रौद्योगिकियों 3.1 और उससे अधिक की बात हो। तब एसएसएल जब एसएसएल प्रौद्योगिकियों 3.0 और कम करने के लिए विशिष्ट टिप्पणी।

एसएसएल बनाम टीएलएस संस्करण

निम्न तालिका से पता चलता है कि टीएलएस और एसएसएल संस्करण एक दूसरे से कैसे संबंधित होंगे। मैंने सुना है कुछ लोगों को एसएसएल संस्करण 3.2 के संदर्भ में बोलते हैं । हालाँकि, उन्हें संभवतः एक ब्लॉग पढ़ने से शब्दावली मिली। एक पेशेवर प्रशासक के रूप में, हम हमेशा मानक शब्दावली का उपयोग करना चाहते हैं। इसलिए, एसएसएल बोलते समय पिछली तकनीकों का संदर्भ होना चाहिए। साधारण चीजें एक CentOS नौकरी चाहने वाले एक अनुभवी सीएस मेजर की तरह कर सकते हैं।

टीएलएस एसएसएल
- 3.0
1.0 3.1
1.1 3.2
1.2 3.3

टीएलएस आज इंटरनेट के उपयोगकर्ताओं के लिए दो मुख्य कार्य करता है: एक, यह सत्यापित करता है कि पार्टी कौन है, के रूप में जाना जाता हैauthentication। दो, यह प्रदान करता हैend-to-end encryption ऊपरी स्तर के प्रोटोकॉल के लिए ट्रांसपोर्ट लेयर पर जिसमें इस देशी फीचर (ftp, http, ईमेल प्रोटोकॉल और बहुत कुछ) का अभाव है।

पहला, सत्यापित करता है कि कौन पार्टी है और एंड-टू-एंड एन्क्रिप्शन के रूप में सुरक्षा के लिए महत्वपूर्ण है। यदि किसी उपभोक्ता के पास उस वेबसाइट का एन्क्रिप्टेड कनेक्शन है जो भुगतान लेने के लिए अधिकृत नहीं है, तो वित्तीय डेटा अभी भी जोखिम में है। यह वही है जो हर फ़िशिंग साइट के लिए विफल होगा:a properly signed TLS certificate verifying website operators are who they claim to be from a trusted CA

एक ठीक से हस्ताक्षरित प्रमाण पत्र नहीं होने के आसपास केवल दो तरीके हैं: उपयोगकर्ता को स्वयं-हस्ताक्षरित प्रमाण पत्र के लिए वेब-ब्राउज़र के विश्वास की अनुमति दें या आशा करें कि उपयोगकर्ता तकनीक प्रेमी नहीं है और एक विश्वसनीय प्रमाणपत्र के महत्व को नहीं जानेंगे प्राधिकरण (या एक सीए)।

इस ट्यूटोरियल में, हम स्व-हस्ताक्षरित प्रमाणपत्र के रूप में जाना जाता है । इसका मतलब है, इस प्रमाण पत्र को स्पष्ट रूप से वेब-साइट पर आने वाले प्रत्येक वेब ब्राउज़र में विश्वसनीय होने की स्थिति के बिना, उपयोगकर्ताओं को साइट पर जाने से हतोत्साहित करने के लिए एक त्रुटि प्रदर्शित की जाएगी। फिर, यह उपयोगकर्ता को स्वयं-हस्ताक्षरित प्रमाण पत्र के साथ साइट तक पहुंचने से पहले कुछ कार्यों के लिए कूद देगा। सुरक्षा के लिए याद रखें यह एक अच्छी बात है।

Opensl स्थापित और कॉन्फ़िगर करें

ओपनएसएल टीएलएस के ओपन-सोर्स कार्यान्वयन के लिए मानक है। खुलता है लिनक्स, बीएसडी वितरण, ओएस एक्स, और यहां तक ​​कि विंडोज का समर्थन करता है जैसे सिस्टम पर।

खुलता महत्वपूर्ण है, क्योंकि यह परिवहन परत सुरक्षा प्रदान करता है और एक डेवलपर के लिए प्रमाणीकरण और एंड-टू-एंड एन्क्रिप्शन की विस्तृत प्रोग्रामिंग को अमूर्त करता है। यही कारण है कि ओपनएसएल का उपयोग टीएलएस का उपयोग करके लगभग हर एक ओपन-सोर्स एप्लिकेशन के साथ किया जाता है। यह लिनक्स के हर आधुनिक संस्करण पर डिफ़ॉल्ट रूप से स्थापित है।

डिफ़ॉल्ट रूप से, ओपनएसएल को कम से कम 5 संस्करण से CentOS पर स्थापित किया जाना चाहिए। बस आश्वस्त करने के लिए, चलो स्थापित करने की कोशिश करते हैं openssl YUM के माध्यम से। बस रन स्थापित करें, क्योंकि YUM पर्याप्त बुद्धिमान है जो हमें बताए कि क्या पैकेज पहले से स्थापित है। अगर हम संगतता कारणों से CentOS का पुराना संस्करण चला रहे हैं, तो yum -y इंस्टॉल करने से यह सुनिश्चित होता है कि सेमी-हाल की हार्ट-ब्लीड भेद्यता के खिलाफ खुलता है।

इंस्टॉलर को चलाते समय, यह पाया गया कि वास्तव में ओपेनस्ले का अपडेट था ।

[root@centos]# yum -y install openssl
Resolving Dependencies
--> Running transaction check
---> Package openssl.x86_64 1:1.0.1e-60.el7 will be updated
---> Package openssl.x86_64 1:1.0.1e-60.el7_3.1 will be an update
--> Processing Dependency: openssl-libs(x86-64) = 1:1.0.1e-60.el7_3.1 for 
package: 1:openssl-1.0.1e-60.el7_3.1.x86_64
--> Running transaction check
---> Package openssl-libs.x86_64 1:1.0.1e-60.el7 will be updated
---> Package openssl-libs.x86_64 1:1.0.1e-60.el7_3.1 will be an update
--> Finished Dependency Resolution 
Dependencies Resolved

===============================================================================
=============================================================================== 
 Package                               Arch
 Version                            Repository                        Size 
=============================================================================== 
=============================================================================== 
Updating: 
openssl                               x86_64                          
1:1.0.1e-60.el7_3.1                 updates                           713 k
Updating for dependencies:

OpenLDAP के लिए स्व-हस्ताक्षरित प्रमाणपत्र बनाएं

यह हमारी पिछली OpenLDAP स्थापना के लिए एक स्व-हस्ताक्षरित बनाने की एक विधि है ।

एक स्व-हस्ताक्षरित OpenLDAP प्रमाणपत्र बनाने के लिए।

openssl req -new -x509 -nodes -out /etc/openldap/certs/myldaplocal.pem -keyout
/etc/openldap/certs/myldaplocal.pem -days 365

[root@centos]# openssl req -new -x509 -nodes -out /etc/openldap/certs/vmnet.pem 
-keyout /etc/openldap/certs/vmnet.pem -days 365 
Generating a 2048 bit RSA private key
.............................................+++
................................................+++
writing new private key to '/etc/openldap/certs/vmnet.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:US
State or Province Name (full name) []:Califonia
Locality Name (eg, city) [Default City]:LA
Organization Name (eg, company) [Default Company Ltd]:vmnet
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:centos
Email Address []:[email protected]
[root@centos]#

अब हमारे OpenLDAP प्रमाणपत्रों को / etc / openldap / certs / में रखा जाना चाहिए

[root@centos]# ls /etc/openldap/certs/*.pem 
/etc/openldap/certs/vmnetcert.pem  /etc/openldap/certs/vmnetkey.pem
[root@centos]#

जैसा कि आप देख सकते हैं, हमारे पास / etc / openldap / certs / निर्देशिका में स्थापित प्रमाणपत्र और कुंजी दोनों हैं । अंत में, हमें अनुमतियों को प्रत्येक में बदलना होगा, क्योंकि वे वर्तमान में मूल उपयोगकर्ता के स्वामित्व में हैं।

[root@centos]# chown -R  ldap:ldap /etc/openldap/certs/*.pem
[root@centos]# ls -ld /etc/openldap/certs/*.pem
-rw-r--r--. 1 ldap ldap 1395 Feb 20 10:00 /etc/openldap/certs/vmnetcert.pem 
-rw-r--r--. 1 ldap ldap 1704 Feb 20 10:00 /etc/openldap/certs/vmnetkey.pem
[root@centos]#

Apache Web Server के लिए स्व-हस्ताक्षरित प्रमाणपत्र बनाएं

इस ट्यूटोरियल में, हम यह मानेंगे कि Apache पहले से इंस्टॉल है। हमने अपाचे को दूसरे ट्यूटोरियल में स्थापित किया (सेंटोस फ़ायरवॉल को कॉन्फ़िगर करते हुए) और भविष्य के ट्यूटोरियल के लिए अपाचे की उन्नत स्थापना में जाएगा। इसलिए, यदि आपने पहले से ही अपाचे स्थापित नहीं किया है, तो कृपया साथ चलें।

एक बार Apache HTTPd को निम्न चरणों का उपयोग करके स्थापित किया जा सकता है -

Step 1 - Apache httpd सर्वर के लिए mod_ssl इंस्टॉल करें।

पहले हमें Apache को mod_ssl से कॉन्फ़िगर करना होगा। YUM पैकेज मैनेजर का उपयोग करना बहुत सरल है -

[root@centos]# yum -y install mod_ssl

फिर अपाचे डेमन को नए कॉन्फ़िगरेशन का उपयोग करने के लिए सुनिश्चित करने के लिए अपने अपाचे डेमन को फिर से लोड करें।

[root@centos]# systemctl reload httpd

इस बिंदु पर, अपाचे को स्थानीय होस्ट पर टीएलएस कनेक्शन का समर्थन करने के लिए कॉन्फ़िगर किया गया है।

Step 2 - स्व-हस्ताक्षरित एसएसएल प्रमाणपत्र बनाएं।

सबसे पहले, हम अपनी निजी TLS कुंजी निर्देशिका को कॉन्फ़िगर करते हैं।

[root@centos]# mkdir /etc/ssl/private 
[root@centos]# chmod 700 /etc/ssl/private/

Note- सुनिश्चित करें कि केवल रूट ने इस निर्देशिका तक पहुंच को पढ़ा / लिखा है। वर्ल्ड रीड / राइट एक्सेस के साथ, आपकी निजी कुंजी का उपयोग सूँघने वाले ट्रैफ़िक को डिक्रिप्ट करने के लिए किया जा सकता है।

प्रमाण पत्र और कुंजी फ़ाइलों को बनाना।

[root@centos]# sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout 
/etc/ssl/private/self-gen-apache.key -out /etc/ssl/certs/self-sign-apache.crt 
Generating a 2048 bit RSA private key
..........+++
....+++
-----
Country Name (2 letter code) [XX]:US
State or Province Name (full name) []:xx
Locality Name (eg, city) [Default City]:xxxx
Organization Name (eg, company) [Default Company Ltd]:VMNET
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:centos.vmnet.local
Email Address []:

[root@centos]#

Note - यदि आपके पास पंजीकृत डोमेन नाम नहीं है, तो आप सर्वर के सार्वजनिक आईपी पते का उपयोग कर सकते हैं।

आइए एक नजर डालते हैं हमारे सर्टिफिकेट पर -

[root@centos]# openssl x509 -in self-sign-apache.crt -text -noout
Certificate:
   Data:
      Version: 3 (0x2)
      Serial Number: 17620849408802622302 (0xf489d52d94550b5e)
   Signature Algorithm: sha256WithRSAEncryption
   Issuer: C=US, ST=UT, L=xxxx, O=VMNET, CN=centos.vmnet.local
   Validity
      Not Before: Feb 24 07:07:55 2017 GMT
      Not After : Feb 24 07:07:55 2018 GMT
   Subject: C=US, ST=UT, L=xxxx, O=VMNET, CN=centos.vmnet.local
   Subject Public Key Info:
      Public Key Algorithm: rsaEncryption
         Public-Key: (2048 bit)
            Modulus:
               00:c1:74:3e:fc:03:ca:06:95:8d:3a:0b:7e:1a:56:
               f3:8d:de:c4:7e:ee:f9:fa:79:82:bf:db:a9:6d:2a:
               57:e5:4c:31:83:cf:92:c4:e7:16:57:59:02:9e:38:
               47:00:cd:b8:31:b8:34:55:1c:a3:5d:cd:b4:8c:b0:
               66:0c:0c:81:8b:7e:65:26:50:9d:b7:ab:78:95:a5:
               31:5e:87:81:cd:43:fc:4d:00:47:5e:06:d0:cb:71:
               9b:2a:ab:f0:90:ce:81:45:0d:ae:a8:84:80:c5:0e:
               79:8a:c1:9b:f4:38:5d:9e:94:4e:3a:3f:bd:cc:89:
               e5:96:4a:44:f5:3d:13:20:3d:6a:c6:4d:91:be:aa:
               ef:2e:d5:81:ea:82:c6:09:4f:40:74:c1:b1:37:6c:
               ff:50:08:dc:c8:f0:67:75:12:ab:cd:8d:3e:7b:59:
               e0:83:64:5d:0c:ab:93:e2:1c:78:f0:f4:80:9e:42: 
               7d:49:57:71:a2:96:c6:b8:44:16:93:6c:62:87:0f:
               5c:fe:df:29:89:03:6e:e5:6d:db:0a:65:b2:5e:1d:
               c8:07:3d:8a:f0:6c:7f:f3:b9:32:b4:97:f6:71:81:
               6b:97:e3:08:bd:d6:f8:19:40:f1:15:7e:f2:fd:a5:
               12:24:08:39:fa:b6:cc:69:4e:53:1d:7e:9a:be:4b:

यहाँ प्रत्येक विकल्प के लिए एक स्पष्टीकरण दिया गया है जिसका उपयोग हम ओपनस् कमांड के साथ करते हैं -

आदेश कार्य
req -X509 कुंजी प्रबंधन के लिए X.509 CSR प्रबंधन PKI मानक का उपयोग करें।
-nodes पासफ़्रेज़ के साथ हमारे प्रमाणपत्र को सुरक्षित न करें। अपाचे पासफ़्रेज़ को बाधित किए बिना प्रमाणपत्र का उपयोग करने में सक्षम होना चाहिए।
-दिसंबर 2555 प्रमाण पत्र की वैधता को 7 वर्ष या 2555 दिन बताता है। समय अवधि को आवश्यकतानुसार समायोजित किया जा सकता है।
-नवज रास: २०४sa 2048 बिट्स की लंबाई में RSA का उपयोग करके कुंजी और प्रमाणपत्र दोनों उत्पन्न करने के लिए निर्दिष्ट किया गया है।

इसके बाद, हम ग्राहकों के साथ PFS पर बातचीत के लिए एक डिफ-हेलिमन समूह बनाना चाहते हैं।

[centos#] openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

इसमें 5 से 15 मिनट का समय लगेगा।

Perfect Forward Secrecy- निजी कुंजी के साथ समझौता किए जाने की स्थिति में सत्र डेटा को सुरक्षित करने के लिए उपयोग किया जाता है। यह क्लाइंट और सर्वर के बीच उपयोग की जाने वाली कुंजी उत्पन्न करेगा जो प्रत्येक सत्र के लिए अद्वितीय है।

अब, हमारे प्रमाणपत्र में परफेक्ट फ़ॉरवर्ड सेक्रेसी कॉन्फ़िगरेशन जोड़ें।

[root@centos]# cat /etc/ssl/certs/dhparam.pem | tee -a /etc/ssl/certs/self-sign-apache.crt

कुंजी और प्रमाणपत्र फ़ाइलों का उपयोग करने के लिए अपाचे को कॉन्फ़िगर करें

हम /etc/httpd/conf.d/ssl.conf में परिवर्तन कर रहे हैं -

हम ssl.conf में निम्नलिखित परिवर्तन करेंगे । हालाँकि, इससे पहले कि हम ऐसा करें कि हमें मूल फ़ाइल को वापस करना चाहिए। Vi या emcas जैसे उन्नत टेक्स्ट एडिटर में प्रोडक्शन सर्वर में बदलाव करते समय , संपादन करने से पहले हमेशा कॉन्फ़िगरेशन फाइल का बैकअप लेना सबसे अच्छा अभ्यास है।

[root@centos]# cp /etc/httpd/conf.d/ssl.conf ~/

अब हमारे घर फ़ोल्डर की जड़ में ssl.conf की एक ज्ञात-कार्य प्रतिलिपि की प्रतिलिपि बनाने के बाद हमारे संपादन जारी रखें।

  • Locate
  • इस प्रकार DocumentRoot और ServerName दोनों को संपादित करें।
\\# General setup for the virtual host, inherited from global configuration
DocumentRoot "/var/www/html"
ServerName centos.vmnet.local:443

DocumentRootयह आपकी डिफ़ॉल्ट अपाचे निर्देशिका का मार्ग है। इस फ़ोल्डर में एक डिफ़ॉल्ट पृष्ठ होना चाहिए जो आपके वेब सर्वर या साइट के डिफ़ॉल्ट पृष्ठ के लिए पूछते हुए एक HTTP अनुरोध प्रदर्शित करेगा।

ServerNameसर्वर नाम है जो या तो एक आईपी पते या सर्वर का होस्ट नाम हो सकता है। टीएलएस के लिए, मेजबान नाम के साथ एक प्रमाण पत्र बनाना सबसे अच्छा अभ्यास है। हमारे ओपनलैप ट्यूटोरियल से, हमने स्थानीय उद्यम डोमेन पर सेंटोस का एक होस्टनाम बनाया: vmnet.local

अब हम निम्नलिखित पंक्तियों पर टिप्पणी करना चाहते हैं।

SSLProtocol

#   SSL Protocol support:
# List the enable protocol levels with which clients will be able to
# connect.  Disable SSLv2 access by default:
 ~~~~> #SSLProtocol all -SSLv2
 
#   SSL Cipher Suite:
#   List the ciphers that the client is permitted to negotiate.
#   See the mod_ssl documentation for a complete list.
 ~~~~> #SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA

फिर अपाचे को बताएं कि हमारे प्रमाण पत्र और निजी / सार्वजनिक कुंजी जोड़ी को कहां ढूंढना है।

हमारे स्व-हस्ताक्षरित प्रमाणपत्र फ़ाइल का पथ निर्दिष्ट करें

#   Server Certificate:
# Point SSLCertificateFile at a PEM encoded certificate.  If
# the certificate is encrypted, then you will be prompted for a
# pass phrase.  Note that a kill -HUP will prompt again.  A new
# certificate can be generated using the genkey(1) command.
~~~~> SSLCertificateFile /etc/ssl/certs/self-sign-apache.crt
specify path to our private key file
#   Server Private Key:
#   If the key is not combined with the certificate, use this
#   directive to point at the key file.  Keep in mind that if
#   you've both a RSA and a DSA private key you can configure
#   both in parallel (to also allow the use of DSA ciphers, etc.)
~~~~> SSLCertificateKeyFile /etc/ssl/private/self-gen-apache.key

अंत में, हमें पोर्ट 443 पर https इनबाउंड कनेक्शन की अनुमति देने की आवश्यकता है ।