Администратор Linux - Создание сертификатов SSL

Фон TLS и SSL

TLS - это новый стандарт безопасности на уровне сокетов, использующий SSL. TLS предлагает лучшие стандарты шифрования с другими функциями безопасности и оболочки протокола, продвигающими SSL. Часто термины TLS и SSL используются как синонимы. Однако, как профессиональный администратор CentOS, важно отметить различия и историю, разделяющую каждого.

SSL идет до версии 3.0. SSL был разработан и продвигался как промышленный стандарт в компании Netscape. После того, как Netscape был куплен AOL (популярным в 90-х интернет-провайдером, также известным как America Online), AOL так и не продвинула изменений, необходимых для улучшения безопасности SSL.

В версии 3.1 технология SSL перешла в стандарты открытых систем и была заменена на TLS . Поскольку авторские права на SSL все еще принадлежали AOL, был придуман новый термин:TLS - Transport Layer Security. Поэтому важно признать, что TLS на самом деле отличается от SSL . Тем более, что старые технологии SSL имеют проблемы с безопасностью, и некоторые из них сегодня считаются устаревшими.

Note- В этом руководстве термин TLS будет использоваться, когда речь идет о технологиях 3.1 и выше. Затем SSL при комментировании, относящемся к технологиям SSL 3.0 и ниже.

SSL против версионирования TLS

В следующей таблице показано, как управление версиями TLS и SSL связано друг с другом. Я слышал, как некоторые люди говорят о версии SSL 3.2. Однако, вероятно, они получили терминологию, читая блог. Как профессиональный администратор, мы всегда хотим использовать стандартную терминологию. Следовательно, говоря, SSL следует ссылаться на прошлые технологии. Из-за простых вещей соискатель CentOS может выглядеть как опытный специалист по CS.

TLS SSL
- 3.0
1.0 3.1
1.1 3.2
1.2 3.3

TLS выполняет две основные функции, важные для пользователей Интернета сегодня: во-первых, он проверяет, кто является стороной, известной какauthentication. Во-вторых, он предлагаетend-to-end encryption на транспортном уровне для протоколов верхнего уровня, в которых отсутствует эта встроенная функция (ftp, http, протоколы электронной почты и т. д.).

Первый проверяет, кто является стороной , и это важно для безопасности как сквозное шифрование. Если у потребителя есть зашифрованное соединение с веб-сайтом, который не авторизован для приема платежей, финансовые данные все еще находятся под угрозой. Вот чего не будет на каждом фишинговом сайте:a properly signed TLS certificate verifying website operators are who they claim to be from a trusted CA.

Есть только два способа обойти отсутствие должным образом подписанного сертификата: обмануть пользователя, разрешив доверять веб-браузеру самозаверяющему сертификату, или надеяться, что пользователь не разбирается в технологиях и не будет знать важность доверенного сертификата. Власть (или ЦС).

В этом руководстве мы будем использовать так называемый самозаверяющий сертификат. Это означает, что без явного присвоения этому сертификату статуса доверенного в каждом веб-браузере, посещающем веб-сайт, будет отображаться ошибка, препятствующая посещению этого сайта пользователями. Затем он заставит пользователя выполнить несколько действий, прежде чем получить доступ к сайту с самоподписанным сертификатом. Помните, что ради безопасности это хорошо.

Установить и настроить openssl

openssl - это стандарт для реализаций TLS с открытым исходным кодом. openssl используется в таких системах, как Linux, дистрибутивы BSD, OS X и даже поддерживает Windows.

openssl важен, поскольку он обеспечивает безопасность транспортного уровня и абстрагирует подробное программирование аутентификации и сквозного шифрования для разработчика. Вот почему openssl используется почти во всех приложениях с открытым исходным кодом, использующих TLS. Он также установлен по умолчанию во всех современных версиях Linux.

По умолчанию openssl должен быть установлен на CentOS начиная с версии 5 и выше. На всякий случай попробуем установить openssl через YUM. Просто запустите установку, поскольку YUM достаточно умен, чтобы сообщить нам, установлен ли уже пакет. Если мы запускаем старую версию CentOS по соображениям совместимости, выполнение yum -y install гарантирует, что openssl будет обновлен от недавней уязвимости Heart-bleed.

При запуске установщика выяснилось, что на самом деле есть обновление для openssl .

[root@centos]# yum -y install openssl
Resolving Dependencies
--> Running transaction check
---> Package openssl.x86_64 1:1.0.1e-60.el7 will be updated
---> Package openssl.x86_64 1:1.0.1e-60.el7_3.1 will be an update
--> Processing Dependency: openssl-libs(x86-64) = 1:1.0.1e-60.el7_3.1 for 
package: 1:openssl-1.0.1e-60.el7_3.1.x86_64
--> Running transaction check
---> Package openssl-libs.x86_64 1:1.0.1e-60.el7 will be updated
---> Package openssl-libs.x86_64 1:1.0.1e-60.el7_3.1 will be an update
--> Finished Dependency Resolution 
Dependencies Resolved

===============================================================================
=============================================================================== 
 Package                               Arch
 Version                            Repository                        Size 
=============================================================================== 
=============================================================================== 
Updating: 
openssl                               x86_64                          
1:1.0.1e-60.el7_3.1                 updates                           713 k
Updating for dependencies:

Создать самоподписанный сертификат для OpenLDAP

Это метод создания самозаверяющей копии для нашей предыдущей установки OpenLDAP .

Чтобы создать самоподписанный сертификат OpenLDAP.

openssl req -new -x509 -nodes -out /etc/openldap/certs/myldaplocal.pem -keyout
/etc/openldap/certs/myldaplocal.pem -days 365

[root@centos]# openssl req -new -x509 -nodes -out /etc/openldap/certs/vmnet.pem 
-keyout /etc/openldap/certs/vmnet.pem -days 365 
Generating a 2048 bit RSA private key
.............................................+++
................................................+++
writing new private key to '/etc/openldap/certs/vmnet.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:US
State or Province Name (full name) []:Califonia
Locality Name (eg, city) [Default City]:LA
Organization Name (eg, company) [Default Company Ltd]:vmnet
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:centos
Email Address []:[email protected]
[root@centos]#

Теперь наши сертификаты OpenLDAP должны быть помещены в / etc / openldap / certs /

[root@centos]# ls /etc/openldap/certs/*.pem 
/etc/openldap/certs/vmnetcert.pem  /etc/openldap/certs/vmnetkey.pem
[root@centos]#

Как видите, у нас есть и сертификат, и ключ, установленные в каталогах / etc / openldap / certs / . Наконец, нам нужно изменить разрешения для каждого, поскольку в настоящее время они принадлежат пользователю root.

[root@centos]# chown -R  ldap:ldap /etc/openldap/certs/*.pem
[root@centos]# ls -ld /etc/openldap/certs/*.pem
-rw-r--r--. 1 ldap ldap 1395 Feb 20 10:00 /etc/openldap/certs/vmnetcert.pem 
-rw-r--r--. 1 ldap ldap 1704 Feb 20 10:00 /etc/openldap/certs/vmnetkey.pem
[root@centos]#

Создать самозаверяющий сертификат для веб-сервера Apache

В этом руководстве мы предполагаем, что Apache уже установлен. Мы установили Apache в другом руководстве (настройка брандмауэра CentOS) и перейдем к расширенной установке Apache для будущего руководства. Итак, если вы еще не установили Apache, следуйте инструкциям.

После того, как Apache HTTPd можно установить, выполнив следующие действия:

Step 1 - Установите mod_ssl для httpd-сервера Apache.

Сначала нам нужно настроить Apache с помощью mod_ssl. Используя менеджер пакетов YUM, это довольно просто -

[root@centos]# yum -y install mod_ssl

Затем перезагрузите демон Apache, чтобы убедиться, что Apache использует новую конфигурацию.

[root@centos]# systemctl reload httpd

На этом этапе Apache настроен для поддержки TLS-соединений на локальном хосте.

Step 2 - Создайте самозаверяющий сертификат ssl.

Во-первых, давайте настроим наш личный каталог ключей TLS.

[root@centos]# mkdir /etc/ssl/private 
[root@centos]# chmod 700 /etc/ssl/private/

Note- Убедитесь, что только корень имеет доступ для чтения / записи к этому каталогу. Имея общий доступ для чтения / записи, ваш закрытый ключ можно использовать для расшифровки перехваченного трафика.

Создание файлов сертификата и ключей.

[root@centos]# sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout 
/etc/ssl/private/self-gen-apache.key -out /etc/ssl/certs/self-sign-apache.crt 
Generating a 2048 bit RSA private key
..........+++
....+++
-----
Country Name (2 letter code) [XX]:US
State or Province Name (full name) []:xx
Locality Name (eg, city) [Default City]:xxxx
Organization Name (eg, company) [Default Company Ltd]:VMNET
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:centos.vmnet.local
Email Address []:

[root@centos]#

Note - Вы можете использовать публичный IP-адрес сервера, если у вас нет зарегистрированного доменного имени.

Взглянем на наш сертификат -

[root@centos]# openssl x509 -in self-sign-apache.crt -text -noout
Certificate:
   Data:
      Version: 3 (0x2)
      Serial Number: 17620849408802622302 (0xf489d52d94550b5e)
   Signature Algorithm: sha256WithRSAEncryption
   Issuer: C=US, ST=UT, L=xxxx, O=VMNET, CN=centos.vmnet.local
   Validity
      Not Before: Feb 24 07:07:55 2017 GMT
      Not After : Feb 24 07:07:55 2018 GMT
   Subject: C=US, ST=UT, L=xxxx, O=VMNET, CN=centos.vmnet.local
   Subject Public Key Info:
      Public Key Algorithm: rsaEncryption
         Public-Key: (2048 bit)
            Modulus:
               00:c1:74:3e:fc:03:ca:06:95:8d:3a:0b:7e:1a:56:
               f3:8d:de:c4:7e:ee:f9:fa:79:82:bf:db:a9:6d:2a:
               57:e5:4c:31:83:cf:92:c4:e7:16:57:59:02:9e:38:
               47:00:cd:b8:31:b8:34:55:1c:a3:5d:cd:b4:8c:b0:
               66:0c:0c:81:8b:7e:65:26:50:9d:b7:ab:78:95:a5:
               31:5e:87:81:cd:43:fc:4d:00:47:5e:06:d0:cb:71:
               9b:2a:ab:f0:90:ce:81:45:0d:ae:a8:84:80:c5:0e:
               79:8a:c1:9b:f4:38:5d:9e:94:4e:3a:3f:bd:cc:89:
               e5:96:4a:44:f5:3d:13:20:3d:6a:c6:4d:91:be:aa:
               ef:2e:d5:81:ea:82:c6:09:4f:40:74:c1:b1:37:6c:
               ff:50:08:dc:c8:f0:67:75:12:ab:cd:8d:3e:7b:59:
               e0:83:64:5d:0c:ab:93:e2:1c:78:f0:f4:80:9e:42: 
               7d:49:57:71:a2:96:c6:b8:44:16:93:6c:62:87:0f:
               5c:fe:df:29:89:03:6e:e5:6d:db:0a:65:b2:5e:1d:
               c8:07:3d:8a:f0:6c:7f:f3:b9:32:b4:97:f6:71:81:
               6b:97:e3:08:bd:d6:f8:19:40:f1:15:7e:f2:fd:a5:
               12:24:08:39:fa:b6:cc:69:4e:53:1d:7e:9a:be:4b:

Вот объяснение для каждого варианта мы использовали с OpenSSL команды -

Команда Действие
req -X509 Используйте стандарт PKI управления CSR X.509 для управления ключами.
-узлы Не защищайте наш сертификат парольной фразой. Apache должен иметь возможность использовать сертификат без прерывания парольной фразы.
-дней 2555 Сообщает срок действия справки 7 лет или 2555 дней. Период времени может быть изменен по мере необходимости.
-newkey rsa: 2048 Предназначен для генерации ключа и сертификата с использованием RSA длиной 2048 бит.

Затем мы хотим создать группу Диффи-Хелимана для согласования PFS с клиентами.

[centos#] openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Это займет от 5 до 15 минут.

Perfect Forward Secrecy- Используется для защиты данных сеанса в случае взлома закрытого ключа. Это сгенерирует ключ, используемый между клиентом и сервером, уникальный для каждого сеанса.

Теперь добавим в наш сертификат конфигурацию Perfect Forward Secrecy.

[root@centos]# cat /etc/ssl/certs/dhparam.pem | tee -a /etc/ssl/certs/self-sign-apache.crt

Настройте Apache для использования файлов ключей и сертификатов

Мы будем вносить изменения в /etc/httpd/conf.d/ssl.conf -

Мы внесем следующие изменения в ssl.conf . Однако, прежде чем мы это сделаем, мы должны создать резервную копию исходного файла. При внесении изменений в рабочий сервер в расширенном текстовом редакторе, таком как vi или emcas , рекомендуется всегда создавать резервные копии файлов конфигурации перед внесением изменений.

[root@centos]# cp /etc/httpd/conf.d/ssl.conf ~/

Теперь продолжим редактирование после копирования заведомо рабочей копии ssl.conf в корень нашей домашней папки.

  • Locate
  • Измените как DocumentRoot, так и ServerName следующим образом.
\\# General setup for the virtual host, inherited from global configuration
DocumentRoot "/var/www/html"
ServerName centos.vmnet.local:443

DocumentRootэто путь к вашему каталогу apache по умолчанию. В этой папке должна быть страница по умолчанию, которая будет отображать HTTP-запрос, запрашивающий страницу по умолчанию вашего веб-сервера или сайта.

ServerName- это имя сервера, которое может быть либо IP-адресом, либо именем хоста сервера. Для TLS рекомендуется создать сертификат с именем хоста. В нашем руководстве по OpenLdap мы создали имя хоста centos в локальном корпоративном домене: vmnet.local

Теперь мы хотим закомментировать следующие строки.

SSLProtocol

#   SSL Protocol support:
# List the enable protocol levels with which clients will be able to
# connect.  Disable SSLv2 access by default:
 ~~~~> #SSLProtocol all -SSLv2
 
#   SSL Cipher Suite:
#   List the ciphers that the client is permitted to negotiate.
#   See the mod_ssl documentation for a complete list.
 ~~~~> #SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA

Затем сообщите Apache, где найти наш сертификат и пару закрытого / открытого ключей.

Укажите путь к нашему файлу самоподписанного сертификата

#   Server Certificate:
# Point SSLCertificateFile at a PEM encoded certificate.  If
# the certificate is encrypted, then you will be prompted for a
# pass phrase.  Note that a kill -HUP will prompt again.  A new
# certificate can be generated using the genkey(1) command.
~~~~> SSLCertificateFile /etc/ssl/certs/self-sign-apache.crt
specify path to our private key file
#   Server Private Key:
#   If the key is not combined with the certificate, use this
#   directive to point at the key file.  Keep in mind that if
#   you've both a RSA and a DSA private key you can configure
#   both in parallel (to also allow the use of DSA ciphers, etc.)
~~~~> SSLCertificateKeyFile /etc/ssl/private/self-gen-apache.key

Наконец, нам нужно разрешить входящие подключения к https через порт 443.