Настройка Apache SSL для Windows

Обновлено: 03.07.2024

Создайте CSR с помощью OpenSSL и установите сертификат SSL на свой сервер Apache

Используйте инструкции на этой странице, чтобы использовать OpenSSL для создания запроса на подпись сертификата (CSR), а затем для установки сертификата SSL на сервере Apache.

Перезапуск. Примечание. После того, как вы установили сертификат SSL/TLS и настроили сервер для его использования, необходимо перезапустить экземпляр Apache.

Эти инструкции можно использовать для создания CSR OpenSSL и установки всех типов SSL-сертификатов DigiCert на сервере Apache: стандартного SSL, EV SSL, многодоменного SSL, EV многодоменного SSL и Wildcard SSL.

Чтобы создать запрос на подпись сертификата (CSR), см. статью Apache: создание CSR с помощью OpenSSL.

Для руководства на испанском языке посетите страницу Apache Crear CSR.

Посетите nuestras instrucciones en español для Apache Instalar Certificado SSL.

Я. Apache: создание CSR с помощью OpenSSL

Используйте инструкции в этом разделе, чтобы создать свои собственные команды оболочки для создания CSR Apache с OpenSSL.

Рекомендуется: сэкономьте время. Используйте мастер DigiCert OpenSSL CSR, чтобы сгенерировать команду OpenSSL для создания CSR Apache. Просто заполните форму, нажмите «Создать», а затем вставьте настроенную команду OpenSSL в свой терминал.


Как сгенерировать CSR для Apache с помощью OpenSSL

Если вы предпочитаете создавать собственные команды оболочки для создания CSR Apache, следуйте приведенным ниже инструкциям.

Войдите на свой сервер через терминальный клиент (ssh).

Выполнить команду

В командной строке введите следующую команду:

Примечание: обязательно замените server на имя вашего сервера.

Создать файлы

Теперь вы начали процесс создания следующих двух файлов:

  • Файл закрытого ключа: используется для создания CSR, а затем для защиты и проверки соединений с использованием сертификата.
  • Файл запроса на подпись сертификата (CSR): используется для заказа сертификата SSL, а затем для шифрования сообщений, которые может расшифровать только соответствующий закрытый ключ.

При появлении запроса на ввод общего имени (доменного имени) введите полное доменное имя (FQDN) сайта, который вы собираетесь защитить.

При появлении запроса введите информацию о своей организации, начиная с географической информации.

Примечание. Возможно, вы уже установили информацию по умолчанию.

Теперь ваш файл OpenSSL .csr создан.

Закажите сертификат SSL/TLS

Откройте созданный файл .csr в текстовом редакторе.

Скопируйте текст, включая теги -----НАЧАТЬ НОВЫЙ ЗАПРОС НА СЕРТИФИКАТ----- и -----КОНЕЦ НОВОГО ЗАПРОСА НА СЕРТИФИКАТ-----, и вставьте его в форму заказа DigiCert.

Сохранить закрытый ключ

Сохраните (создайте резервную копию) сгенерированного файла .key. Он понадобится вам позже, чтобы установить SSL-сертификат.

Установить сертификат

После того, как вы получите сертификат SSL от DigiCert, вы можете установить его на свой сервер.

II. Apache: установка и настройка SSL-сертификата

Если вам по-прежнему необходимо создать запрос на подпись сертификата (CSR) и заказать сертификат, см. раздел Apache: создание CSR с помощью OpenSSL.

После того, как мы проверим и выдадим ваш SSL-сертификат, вы можете установить его на свой сервер Apache (где был создан CSR) и настроить сервер для использования сертификата.

Как установить и настроить сертификат SSL на сервере Apache

Скопируйте файлы сертификатов на свой сервер.

Войдите в свою учетную запись DigiCert и загрузите файлы промежуточного (DigiCertCA.crt) и основного сертификата (your_domain_name.crt).

Скопируйте эти файлы вместе с файлом .key, который вы создали при создании CSR, в каталог на сервере, где вы храните сертификат и файлы ключей.

Примечание. Сделайте их доступными для чтения только пользователю root для повышения безопасности.

Расположение и имя файла конфигурации могут различаться на разных серверах, особенно если вы используете специальный интерфейс для управления конфигурацией сервера.

Один из способов найти конфигурацию SSL в дистрибутивах Linux — выполнить поиск с помощью команды grep, как показано в примере ниже.

Выполните следующую команду:

Определите блок SSL, который необходимо настроить.

Если к вашему сайту нужен только безопасный доступ, настройте существующий виртуальный хост для SSL, как описано в шаге 4.

Настройте блокировку для сайта с поддержкой SSL

Ниже приведен очень простой пример виртуального хоста, настроенного для SSL. Части, перечисленные синим цветом, — это части, которые необходимо добавить для настройки SSL.

Обязательно настройте имена файлов в соответствии с вашими файлами сертификатов.

SSLCertificateFile – это ваш файл сертификата DigiCert (например, your_domain_name.crt).

SSLCertificateKeyFile — это файл .key, сгенерированный при создании CSR (например, your_private.key).

SSLCertificateChainFile — это файл промежуточного сертификата DigiCert (например, DigiCertCA.crt)

Примечание. Если директива SSLCertificateChainFile не работает, попробуйте вместо нее использовать директиву SSLCACertificateFile.

Проверьте файл конфигурации Apache перед перезапуском.

Рекомендуется проверить файл конфигурации Apache на наличие ошибок перед перезапуском Apache.

Внимание: Apache не запустится снова, если в файлах конфигурации есть синтаксические ошибки.

Выполните следующую команду, чтобы проверить файл конфигурации (в некоторых системах это apache2ctl):

Перезапустите Apache.

Вы можете использовать команды apachectl для остановки и запуска Apache с поддержкой SSL.

Примечания к перезапуску:

Если Apache не перезапускается с поддержкой SSL, попробуйте использовать apachectl openssl вместо apachectl start. Если поддержка SSL загружается только при запуске apachectl, мы рекомендуем изменить конфигурацию запуска apache, включив поддержку SSL в обычную команду запуска apachectl. В противном случае ваш сервер может потребовать ручного перезапуска Apache с помощью apachectl openssl в случае перезагрузки сервера. Обычно для этого нужно удалить теги и , которые окружают вашу конфигурацию SSL.

Поздравляем! Вы успешно установили сертификат SSL.

Проверка установки сертификата SSL/TLS

Тест браузера

Для достижения наилучших результатов сначала закройте веб-браузер, а затем снова запустите его.

Обязательно протестируйте свой сайт не только в Internet Explorer. IE загружает отсутствующие промежуточные сертификаты; тогда как другие браузеры выдают ошибку, если все сертификаты в цепочке сертификатов установлены неправильно.

Инструмент диагностики установки DigiCert® SSL

Если ваш сайт общедоступен, используйте наш тестер сертификатов сервера, чтобы проверить установку сертификата SSL/TLS; он обнаруживает распространенные проблемы установки.

Устранение неполадок

Если ваш веб-сайт общедоступен, наш инструмент проверки SSL-сертификатов поможет вам диагностировать распространенные проблемы.

Если вы получили предупреждение о том, что не доверяете, просмотрите сведения о сертификате, чтобы убедиться, что это именно тот сертификат, который вы ожидаете. Проверьте поля Тема, Издатель и Действительно до.

Если это именно тот сертификат, который вы ожидаете, и SSL-сертификат выдан DigiCert, значит, ваш SSLCertificateChainFile настроен неправильно.

Если вы не видите ожидаемый сертификат, возможно, у вас есть другой блок SSL перед тем, который вы недавно настроили.

Чтобы получить помощь по переносу сертификатов на дополнительные серверы или между серверными платформами, см. наши инструкции по экспорту OpenSSL.

Если вам нужно отключить совместимость с SSL версии 2, чтобы соответствовать требованиям PCI Compliance, добавьте следующую директиву в файл конфигурации Apache:

Если директива уже существует, вам может потребоваться изменить ее, чтобы отключить SSL версии 2.

Инструкции по устранению распространенных ошибок и дополнительные советы см. в разделе Устранение ошибок SSL-сертификата Apache.

Конфигурация сервера Apache

Информацию о конфигурациях сервера Apache, которые могут усилить вашу среду SSL, см. в следующих ресурсах:

Инструкции по отключению протокола SSL v3 см. в разделе Apache: отключение протокола SSL v3.

Информацию о включении полной секретности пересылки см. в разделе Включение совершенной секретности пересылки.

Наличие Веб-сервер больше не ограничивается большим бизнесом». /><br /></p> <p>Apache Hypertext Transport Protocol Server, один из наиболее часто используемых веб-серверов, был впервые выпущен для широкой публики в 1995 году. С годами проект Apache развивался, но по-прежнему стремится оставаться бесплатным — отличная новость для любого бизнеса. хочет установить веб-сервер. С небольшим количеством времени и правильными командами ваша компания может разместить собственный веб-сайт и настроить OpenSSL для безопасной связи с использованием технологии Secure Sockets Layer для зашифрованных транзакций в Интернете.</p> <h2>Проблемы с openssl.cnf</h2> <p>Перейдите в каталог конфигурации Apache,

Откройте "Панель управления", затем "Свойства папки".

Перейдите на вкладку "Типы файлов" и просмотрите список вниз до ассоциации .cnf.

Нажмите "Изменить", чтобы связать файл с Блокнотом или другим текстовым редактором.

Ключи и конфигурация

Откройте командную строку.Нажмите клавишу Windows и «R» одновременно, чтобы открыть диалоговое окно «Выполнить». Введите «cmd» в текстовое поле и нажмите «Ввод», чтобы запустить командную строку Windows.

Введите "cd C:\Program Files\Apache Software Foundation\Apache \bin" в командной строке, заменив "," на номер версии, чтобы перейти в каталог bin.

Введите «set OPENSSL_CONF=C:\Program Files\Apache Software Foundation\Apache \conf\openssl.cnf», чтобы указать расположение файла openssl.cnf. Возможно, вам потребуется изменить команду, чтобы она соответствовала вашей отдельной установке сервера.

Введите 'openssl req -config "C:\Program Files\Apache Software Foundation\Apache2.2\conf\openssl.cnf" -new -out mysite.csr -keyout mysite.pem' и следуйте инструкциям, чтобы создать сертификат. Парольная фраза PEM — это пароль вашего закрытого ключа; запишите его и храните в надежном месте. Обратите внимание, что команда создает ключи в текущем рабочем каталоге терминала, которым должен быть /bin.

Введите "openssl rsa -in mysite.pem -out mysite.key", чтобы создать незащищенный ключ для сервера Apache.

Введите "openssl x509 -in mysite.csr -out mysite.cert -req -signkey mysite.key -days 365", чтобы сгенерировать сертификат x509.

Откройте файл httpd-ssl.conf в папке "C:\Program Files\Apache Software Foundation\Apache \conf\extra\" и измените эти настройки в соответствии с вашей установкой:

VirtualHost по умолчанию: 443 ServerAdmin DocumentRoot ServerName ErrorLog CustomLog SSLCertificateFile SSLCertificateKeyFile

Одним из редких сценариев установки является установка SSL-сертификата для веб-сервера Apache 2.4 в Windows. Хотя всегда рекомендуется запускать Apache в Linux, установка SSL-сертификатов для веб-сервера Apache 2.4, работающего в Windows, также проста.

Предпосылки/предположения

  1. У вас есть файл цепочки сертификатов SSL (сертификат SSL и сертификат ЦС) и файл закрытого ключа, готовые к настройке.
  2. Вы установили веб-сервер Apache в папку C:\Apache24 в Windows.
  3. Вы настроили Apache для работы в качестве службы в Windows.

содержимое каталога apache 2.4

Шаг 1. Поместите файлы в нужное место

Скопируйте файл цепочки сертификатов SSL (называемый здесь server.crt) и файл закрытого ключа (называемый здесь server.key) в следующий каталог в Windows:

Шаг 2. Отредактируйте файл конфигурации Apache SSL

Найдите основной файл конфигурации Apache в Windows:

Раскомментируйте следующие строки, где бы они ни встречались в файле:

Теперь отредактируйте следующий файл:

Изменить директиву VirtualHost_default. Оставьте все параметры по умолчанию без изменений, но обязательно измените следующие строки:

Вы можете оставить порт по умолчанию 443 и убедиться, что путь к SSL-сертификату правильный.

Шаг 3. Перезапустите веб-сервер Apache

Вы почти закончили! Теперь откройте исключение в брандмауэре Windows для TCP-порта 443.

Затем перезапустите службу Apache 2.4 из служб Windows.

Пробная настройка SSL-сертификата для веб-сервера Apache 2.4 в Windows

Проверить конфигурацию SSL несложно. После выполнения шага 3 просто откройте следующий URL-адрес в веб-браузере:

Если вы видите веб-страницу в браузере, значит, вам удалось настроить SSL на веб-сервере Apache 2.4 в Windows.

ТЕКУЩИЕ ПРЕДЛОЖЕНИЯ

Автоматическая начальная скидка 10 % на ЛЮБОЙ SSL-сертификат. Единовременная скидка для новых пользователей, размещающих свой первый платный заказ SSL-сертификата для доменного имени, для которого мы никогда не выпускали сертификат. Код скидки не требуется. Начните здесь

Купите и активируйте сертификат PositiveSSL или Essential SSL и получите скидку 10 % на любую новую подписку SiteLock Website Malware Scanner.
*Купон действителен для одноразового использования в первый год подписки.

Активируйте подписку на план CodeGuard Premium и получите скидку 10 % на покупку сертификата PositiveSSL Wildcard.

ИНФОРМАЦИЯ

getSSL от iWebz® — это нишевый реселлер решений для обеспечения безопасности веб-сайтов, предлагающий самые низкие цены на сертификаты Top SSL и сервис Sectigo CodeGuard. более.

Нажмите, чтобы отправить запрос/отзыв
Мы на расстоянии одного электронного письма!
Ответ в тот же день до 18:30 с понедельника по субботу, кроме воскресенья и праздничных дней

ПРОДУКТЫ

ЗАРАБАТЫВАЙТЕ С НАМИ

БЕСПЛАТНЫЕ ОНЛАЙН-ИНСТРУМЕНТЫ

iWebz Retail Private Limited OPC
Govt. Заказной. CIN: U74999MH2014OPC258990
GST Regd. GSTIN: 27AADCI6743G1ZH

С жалобами обращайтесь к специалисту по рассмотрению жалоб по адресу жалоб @ iwebzretail . ком

Invicti Web Application Security Scanner — единственное решение, обеспечивающее автоматическую проверку уязвимостей с помощью Proof-Based Scanning™.

Наша аудитория поддерживает Geekflare. Мы можем получать партнерские комиссионные за покупку ссылок на этом сайте.


Обеспечьте безопасность приложений правильно! Обнаружение, защита, мониторинг, ускорение и многое другое…

Давайте защитим Apache сертификатом SSL/TLS.

Приступим.

На высоком уровне мы сделаем следующее.

Установите Apache с SSL из исходного кода

  • Войдите на сервер Linux с правами root и загрузите последнюю версию Apache

Примечание: последнюю версию можно найти здесь.

Примечание. Если вы делаете это на совершенно новом сервере, у вас могут возникнуть проблемы, связанные с APR, PCRE, OpenSSL, и вы можете обратиться к руководству по устранению неполадок.

Убедитесь, что указанная выше команда configure не вызывает ошибок, а затем выполните установку с помощью команд make.

Как обычно, убедитесь, что приведенные выше команды не привели к ошибкам. Это означает, что вы установили веб-сервер Apache с поддержкой SSL.

Получение сертификата SSL

Существует несколько способов создания и получения SSL-сертификата, подписанного центром сертификации.

Если вы хотите внедрить SSL на веб-сервере интрасети, то в большинстве организаций есть внутренняя группа по выпуску сертификатов, поэтому вам следует проконсультироваться с ними. Но вам все равно нужно сгенерировать CSR (запрос на подпись сертификата), и вы можете сделать это с помощью OpenSSL.

Однако, если вы хотите защитить URL-адрес с выходом в Интернет, вы можете либо купить сертификат у VeriSign, GoDaddy, Namecheap, ZeroSSL и т. д., либо получить БЕСПЛАТНЫЙ сертификат от Let’s Encrypt.

Let’s Encrypt — это совместный проект Linux Foundation, предлагающий БЕСПЛАТНЫЙ сертификат SSL/TLS. Я буду использовать Let’s Encrypt, чтобы получить один сертификат для своего домена — Chandan.io

Существует несколько способов создания CSR, но самый простой из них, который я нашел, — это использование онлайн-инструмента «SSL бесплатно».

Введите URL, который вы хотите защитить


Подтвердите право собственности на домен одним из перечисленных способов и загрузите файлы сертификатов домена.


Вы получите три файла, которые мы будем использовать для настройки веб-сервера Apache.

  1. key – это ваш ключевой файл, и его нельзя никому раскрывать.
  2. Сертификат — актуальный SSL-сертификат для вашего домена
  3. Ca_bundle — корневой/промежуточный сертификат подписывающей стороны.

Перенесите загруженный файл на веб-сервер. Они нам скоро понадобятся.

Конфигурация Apache SSL

  1. SSLCertificateFile – путь к файлу сертификата CRT, который вы скачали ранее.
  2. SSLCertificateKeyFile — путь к файлу закрытого ключа
  3. SSLCertificateChainFile — путь к файлу ca_bundle.crt

Совет: вы можете создать новую папку с именем «ssl» и хранить в ней все файлы, связанные с сертификатами.

  • При необходимости сделайте резервную копию и используйте редактор vi для изменения файла.

Далее вам нужно настроить директиву ServerName. Обычно это ваш домен/URL-имя

  • Сохраните файл и перезапустите веб-сервер Apache


Вышеуказанные шаги необходимы для настройки SSL-сертификата, и вы должны дополнительно настроить SSL, чтобы сделать его более надежным и безопасным, как я объяснил здесь. Перед запуском вы также можете протестировать SSL/TLS своего веб-сервера, чтобы убедиться, что он не подвержен распространенным уязвимостям безопасности.

Читайте также: