Wesentra Oy
Alkuun

Ohjeita erilaisiin SSL/TLS-Tilanteisiin

Varmenteen asennus, yleisimmät ongelmat..

Apache SSL

Asennusohjeita

OpenSSL CSR Luonti, openssl certificates, certifikater csr creation

Varmenteen asennus apache HTTPD

  1. 1. Kopioi varmennetiedostot palvelimellesi.

Lataa varmenteet, Intermediate varmenteet sekä palvelinvarmenteet palvelimellesi. Vaihda tiedostojen attribuutit niin, että ne ovat vain ROOT-oikeuksin luettavissa.

 

  1. 2. Avaa Apache config -tiedosto editoitavaksi.

Tiedoston sijainti ja nimi saattaa olla eri palvelimilla erilainen. Erityisesti, jos käytössäsi on jokin käyttöliittymä, jolla hallinnoit palvelintasi. Tyypillisesti Apachen konfigurointiedosto on nimeltään httpd.conf tai apache2.conf. Todennäköisiä sijainteja tiedostolle ovat /etc/httpd/ ja /etc/apache2/. Tarkemmat vinkit eri alustoille/distroille löytyy täältä: Httpd Wiki - DistrosDefaultLayout.


SSL konfigurointi löytyy monesti <VirtualHost> blockista, eri konfigurointitiedostoista. Konfigurointitiedostot voivat olla esimerkiksi: /etc/httpd/vhosts.d/, /etc/httpd/sites/, tai httpd-ssl.conf.
Jos konfigurointitiedostojen löytäminen tuottaa päänvaivaa, voit yrittää paikallistaa niitä (Linux-alustalla) käyttämällä grep-komentoa.

 

Esimerkiksi näin:

grep -i -r "SSLCertificateFile" /etc/httpd/

(Korvaa "/etc/httpd/" Apache asennuskansiosi nimellä)

 

  1. 3. Valitse <VirtualHost>, jonka haluat konfiguroida.

Mikäli haluat, että palvelimellesi pääsee sekä HTTP, että HTTPS -yhteyksin, sinun täytyy konfiguroida virtual host molemmille yhteystavoille. Huomioi, että HTTPS, eli salattu liikenne on suositeltava yhteystapa. Ota kopio olemassaolevasta, suojaamattomasta, virtual hostista ja konfiguroi se käyttämään SSL varmennetta. Jos tulet tarvitsemaan vain suojatun yhteyden (suositus), konfiguroi olemassaoleva virtual host käyttämään SSL-liikennettä.


4. Konfiguroi <VirtualHost> blockista SSL-suojattu.

 

Tässä hyvin yksinkertainen esimerkki konfigurointiin. Lihavoidut kohdat on kohtia, jotka tulee lisätä/muokata:

<VirtualHost 192.168.1.1:443>
DocumentRoot /var/www/html2
ServerName www.yourdomain.com
SSLEngine on
SSLCertificateFile /path/to/ServerCertificate.crt
SSLCertificateKeyFile /path/to/yksityinen_avain.key
SSLCertificateChainFile /path/to/Intermediate_varmenneketju.crt
</VirtualHost>


Konfiguroi yllämainitut tiedostonnimet vastaamaan varsinaisia varmennetiedostojasi:

    • SSLCertificateFile - Tämä on palvelinvarmenteesi, jonka olet saanut varmennetoimittajaltasi.
    • SSLCertificateKeyFile - Tämä syntyy kun luot varmennepyynnön (CSR:n) koneella.
    • SSLCertificateChainFile - Tässä tiedostossa on intermediate varmenteet. Tämä on ns. bundle-tiedosto, joka voi sisältää yhden tai useamman ketjuttavan varmenteen.
    Huom! Jos SSLCertificateChainFile direktiivi ei toimi, koita SSLCACertificateFile direktiiviä..
  1. 5. Testaa konfiguraatio ennen uudelleenkäynnistystä.

Best practice on testata konfiguraatio ennen kuin muutokset otetaan käyttöön. Voit tehdä tämän ajamalla komennon: (voi olla myös nimellä: apache2ctl)

apachectl configtest


  1. 6. Käynnistä Apache uudelleen

  2. apachectl stop - pysäyttää palvelun
    apachectl start - käynnistää palvelun

  4. Huom! Jos Apache EI käynnisty käyttäen SSL-yhteyttä, yritä komennolla: "apachectl startssl" uudelleen. Mikäli SSL-yhteys käynnistyy vain "apachectl startssl", kannattaa säätää Apachen käynnistymiskonfiguraatio siten, että se käynnistää SSL-yhteyden "apachectl start" komennolla. Muussa tapauksessa voi käydä niin, että SSL-yhteys ei käynnisty automaattisesti palvelimen bootin yhteydessä. Tämä useimmiten tarkoittaa, että sinun tulee poistaa <IfDefine SSL> ja </IfDefine> tagit, jotka sisältävät SSL-konfiguraatiosi.


  • Takaisin sisällysluetteloon

    • Varmenneketju, mikä se on?

    VARMENNEKETJU

    Varmenneketju muodostuu myöntävistä varmenteista (ROOT ja Intermediate varmenteet) sekä varsinaisesta palvelin varmenteesta. ROOT varmenne on koko ketjun kuningas. Sen luotettavuuteen perustuu koko ketjun luotto. Yksinkertaisimmillaan palvelimen varmenne voi olla myönnetty suoraan ROOT varmenteella. Näin ei kuitenkaan ole,vaan palvelin varmenne on myönnetty jostain intermediate varmenteesta. Intermediate varmennekin voi olla ketjun terminoiva varmenne. Esimerkiksi siirryttäessä SHA1 varmenteista SHA2 varmenteisiin, useat varmennetoimittaja loivat uuden Intermediate varmenteen siirtymäkautta varten. Esimerksi Entrustin SHA2 varmenneketjusta tuli neliportainen: ServerCertificate Intermediate1 Intermediate2 (G2) Entrust ROOT.
    Näistä "välivarmenteista" Entrust Intermediate G2 toimii useilla laitteilla jo terminoivana ROOT varmenteena. Varmenneketju Entrustin portaalista onkin tänä päivänä oletuksena kolmiportainen: ServerCertificate Intermediate Entrust Root Certification Authority - G2
    Varmennusketju on monisyinen asia, siitä kannattaa muistaa, että intermediate varmenteita EI TULE asentaa laitteen "trusted root" säilöön, vaan "intermediate säilöön". Suuri osa asennuksen jälkeisistä varmenneongelmista johtuu siitä, että varmenneketju on puutteellinen.

    Lue lisää..