Управление SSL в Apache HTTP Server в CentOS 7
Рет қаралды 6,559
Күн бұрынКомпания system-admins.ru предлагает услуги по установке, настройке, администрированию операционных систем семейства Linux (таких как CentOS, Debian, Ubuntu и многие другие), в том числе услуги по настройке файловых систем, кластеров, построению отказоустойчивых систем, и серверов под определенные нужды (почтовый сервер, веб сервер, контроллер домена, ip-телефония и т.д.) А также, услуги по настройке безопасности, защите от вирусов, оптимизации производительности и многое другое для обеспечения стабильной работы серверов.
Веб-каст рассказывает о возможностях предоставления доступа к веб-сайтам с использованием шифрования SSL по протоколу HTTPS в Apache HTTP Server 2.4 в CentOS 7, отдельное внимание в веб-касте уделено созданию самозаверенных и доверенных сертификатов.
В веб-касте вы найдете:
Описание принципа работы SSL сервера.
Описание принципа использования доверенного центра выдачи сертификатов (Certificate Authority, CA).
Установку и настройку SSL сервера.
Создание новых ключей и сертификатов.
Автор: sites.google.c...
Блог: lebedevum.blogs...
Комплексное обучение: edu.softline.ru/
@mind_traveller 9 жыл бұрын
Юрий, давно смотрю ваши ролики и считаю очень важным и полезным то, что вы делаете. Всегда все доступно и понятно. Просмотрев данный ролик я очередной раз задумался о том, что как я ни пытаюсь, так и не могу понять принципов работы сертификатов и шифрования в котором они участвуют. Быть может вы планируете сделать ролик по этой тематике..? Спасибо!
@YuriyLebedev 9 жыл бұрын
Su Suum Если речь идет про Active Directory Certificate Services, то ближайшее время не планирую, так как тема очень большая и достаточно хорошо представлена в официальном курсе Microsoft 20412D. Вот по другим реализациям PKI, планы есть.
@allanstark1584 5 жыл бұрын
Для объяснения принципа работы SSL автором было допущено упрощение. С помощью сертификатов (ключей) SSL шифруется не весь трафик, а только первичный обмен между клиентом и сервером, в ходе которого создается т.наз. сеансовый ключ, с помощью которого и происходит шифрование всего трафика
@YuriyLebedev 4 жыл бұрын
С этим никто и не спорит, что здесь представлено очень сильное упрощение, так как веб-каст не про цифровые сертификаты, принципы симметричного и асимметричного шифрования, установление и разрыв HTTPS соединений, мажорные и минорные версии SSL/TLS, а всего на всего про настройку Apache HTTP Server на работу по протоколу SSL(TLS), кстати, здесь также проигнорировано использование виртуальных хостов httpd с SSL, возможности использования lighthttpd и NGINEX, а также Oracle Application Server. Одним словом, список умолчаний данного ролика можно продолжать бесконечно.
@DmitryMalyshok 9 жыл бұрын
То что надо Юрий! Спасибо за Ваш нелегкий труд! Вопрос во втором варианте когда сертификат подписывался CA, необходимо же его добавлять тоже на локальных компьютерах в центры выдачи сертификатов или в доверенные? Чтобы компьютеры сразу доверяли ему без предупреждения?
@YuriyLebedev 9 жыл бұрын
Dmitry Malyshok Если вы не используете публичный CA, которому уже доверяет система, то публичный сертификат CA нужно добавить в доверенные, если говорить про пример из веб-каста, то в CentOS 7 можно обойтись добавлением сертификата от CA в Certificate Manager браузера Firefox.
@installingprogramsonlinux6158 6 жыл бұрын
А можно замутить центр выдачи сертификатов на лвс на линуксе, если ад samba
@YuriyLebedev 9 жыл бұрын
4-ый и на данный момент последний по httpd.
@dimashulk9592 5 жыл бұрын
Добрый день, Юрий. Попал к Вам на канал ища подсказки в моей проблеме, есть веб-сервер на centos 7, стоит за натом микротика, где прокинут порт на него, но в упор не хочет работать (пакеты бегают к нему, в локалке работает, порт прокинут правильно, поскольку при направлении на виндовую машину - всё работает, а здесь хоть разбей голову о стену). Подскажите пожалуйста на какое хоть дерево лаять))), уже перепробовал всё
@SsergeySav 9 жыл бұрын
Доброго времени!!! Юрий, я продолжаю разбираться с CENTOS, но возникла маленькая проблемка с iptables (v1.4.21), Упорно е желает хавать конструкцию вида $IPT -A INPUT -i $WAN -p tcp --dport ssh -m state --state NEW -m connlimit --connlimit-above 2 -j ACCEPT синтаксис правила проходит, но достучаться до хоста не получается. Пытался гуглить, но натыкаюсь упорно на темы относительно старых версий ОС. Лечилось это сборкой модулей (по одной из версий), по другой патчем и пересборкой ядра Если не затруднит, поясните что происходит?
@gazonzaseyan6056 5 жыл бұрын
Юрий, добрый день! Смотрю Ваш урок и все тоже самое делаю у себя на тестовой среде, я выбрал второй вариант подпись от доверенного центра выдачи сертификатов, сделал genkey на имя моего сервера, и я выбираю вариант с отправкой в центр выдачи сертификатов, файлик создался. И вы отправляете на (какой то адрес выдачи сертификатов), и я не пойму что это за адрес подскажите пожалуйста!! :)
@YuriyLebedev 5 жыл бұрын
У меня в окружении был развернут двух уровневый центр выдачи сертификатов (CA), это видно на схеме [ 1:16 ]. У adcs02 есть компонент выдачи сертификатов через веб-интерфейс (Web Enrollment), именно к нему я и подключался - [ 20:54 ]. Можно было бы точно также использовать любой другой CA, в том числе публичный за деньги или бесплатно на месяц.
@avosluck 3 жыл бұрын
Сделал второй способ через CA, но при переходе на сайт через хром пишет NET::ERR_CERT_COMMON_NAME_INVALID, через ИЕ все ок
@YuriyLebedev 3 жыл бұрын
Соответственно, Chrome не доверяет вашему корневому центру выдачи сертификатов.
@avosluck 3 жыл бұрын
@@YuriyLebedev Второй день этим вопросом занимаюсь, выяснил, что хром не доверяет из-за отсутствия поля Subject Alternative Names . Я нашел целый топик описывающий данную проблему stackoverflow.com/questions/10175812/how-to-create-a-self-signed-certificate-with-openssl/27931596#27931596 Но я новичек в юниксе и не совсем понимаю как применить те решения которые там указаны
@PiligriM2K 5 жыл бұрын
Подскажите как воткнуть в centos ssl сертификат Wildcard на домен?
@YuriyLebedev 5 жыл бұрын
Уточните вопрос, в чем заключается сложность?
@PiligriM2K 5 жыл бұрын
Yuriy Lebedev просто на видео у вас получение сертификата через команды и бесплатные варианты как я понял! Ноу меня уже лежел на руках готовый wildcard, нужно было его как то заюзать. Но я уже разобрался, оказалось все банально, установить ssl: sudo yum install mod_ssl open_ssl, нужно положить сертификаты private.key и *.domen.ru.crt(__domen_ru.crt) в директорию /etc/pki/tls/private выдать права: chcon -t cert_t /etc/pki/tls/private/private.key и chcon -t cert_t /etc/pki/tls/private/__domen_ru.crt . Далее в файлике /etc/httpd/conf/httpd.conf прописать пути в нашем SslCertificateFile /etc/pki/tls/private/__domen_ru.crt SslCertificatKeyFilr /etc/pki/tls/private/private_ru.key
@YuriyLebedev 5 жыл бұрын
@@PiligriM2K Собственно, это же было показано в веб-касте.
حرف إبداعية للمنزل في 5 دقائق
Рет қаралды 55 МЛН