CentOS 8 இல் உள்ளூர் சுய கையொப்பமிடப்பட்ட SSL சான்றிதழை எவ்வாறு உருவாக்குவது

எஸ்எஸ்எல் (பாதுகாப்பான சாக்கெட் லேயர்) மற்றும் அதன் மேம்படுத்தப்பட்ட பதிப்பு, டிஎல்எஸ் (டிரான்ஸ்போர்ட் சாக்கெட் லேயர்) ஆகியவை பாதுகாப்பு நெறிமுறைகளாகும், அவை வாடிக்கையாளரின் வலை உலாவியில் இருந்து வலை சேவையகத்திற்கு அனுப்பப்படும் வலை போக்குவரத்தை பாதுகாக்கப் பயன்படுகின்றன.

எஸ்எஸ்எல் சான்றிதழ் என்பது டிஜிட்டல் சான்றிதழ் ஆகும், இது வாடிக்கையாளரின் உலாவிக்கும் வலை சேவையகத்திற்கும் இடையில் பாதுகாப்பான சேனலை உருவாக்குகிறது. அவ்வாறு செய்யும்போது, கிரெடிட் கார்டு தரவு, உள்நுழைவு நற்சான்றிதழ்கள் மற்றும் பிற தனிப்பட்ட தகவல்கள் போன்ற முக்கியமான மற்றும் ரகசிய தரவு குறியாக்கம் செய்யப்பட்டு, ஹேக்கர்கள் உங்கள் தகவல்களைக் கேட்பதைத் தடுக்கிறது மற்றும் திருடுகிறது.

சுய கையொப்பமிடப்பட்ட எஸ்எஸ்எல் சான்றிதழ், சான்றிதழ் ஆணையம் (சிஏ) கையொப்பமிட்டு நம்பப்பட்ட பிற எஸ்எஸ்எல் சான்றிதழ்களைப் போலல்லாமல், அதை வைத்திருக்கும் ஒரு நபர் கையொப்பமிட்ட சான்றிதழ் ஆகும்.

ஒன்றை உருவாக்குவது முற்றிலும் இலவசம் மற்றும் உங்கள் உள்நாட்டில் ஹோஸ்ட் செய்யப்பட்ட வலை சேவையகத்தை குறியாக்க மலிவான வழியாகும். இருப்பினும், சுய கையொப்பமிடப்பட்ட எஸ்எஸ்எல் சான்றிதழின் பயன்பாடு பின்வரும் காரணங்களுக்காக உற்பத்தி சூழல்களில் மிகவும் ஊக்கமளிக்கிறது:

இது ஒரு சான்றிதழ் ஆணையத்தால் கையொப்பமிடப்படாததால், சுய கையொப்பமிடப்பட்ட SSL சான்றிதழ் வலை உலாவிகளில் எச்சரிக்கைகளை உருவாக்குகிறது, பயனர்கள் தொடர முடிவு செய்தால் அவர்களுக்கு ஆபத்து ஏற்படக்கூடும் என்று எச்சரிக்கிறது. இந்த விழிப்பூட்டல்கள் விரும்பத்தகாதவை மற்றும் பயனர்கள் உங்கள் வலைத்தளத்தைப் பார்வையிடுவதைத் தடுக்கும், இது வலைப் போக்குவரத்தில் சரிவுக்கு வழிவகுக்கும். இந்த விழிப்பூட்டல்களுக்கான ஒரு தீர்வாக, நிறுவனங்கள் வழக்கமாக தங்கள் ஊழியர்களை எச்சரிக்கைகளை புறக்கணித்து முன்னேற ஊக்குவிக்கின்றன. ஃபிஷிங் தளங்களுக்கு பலியாகக்கூடிய பிற ஆன்லைன் தளங்களில் இந்த விழிப்பூட்டல்களை தொடர்ந்து புறக்கணிக்க முடிவுசெய்யக்கூடிய பயனர்களிடையே இது ஆபத்தான பழக்கத்தை ஏற்படுத்தக்கூடும்.
சுய கையொப்பமிட்ட சான்றிதழ்கள் குறைந்த பாதுகாப்பு நிலை மற்றும் அவை குறைந்த அளவிலான சைபர் தொழில்நுட்பங்கள் மற்றும் ஹாஷ்களை செயல்படுத்துவதால். இதனால் பாதுகாப்பு நிலை நிலையான பாதுகாப்புக் கொள்கைகளுக்கு இணையாக இருக்காது.
கூடுதலாக, பொது விசை உள்கட்டமைப்பு (பி.கே.ஐ) செயல்பாடுகளுக்கு எந்த ஆதரவும் இல்லை.

சுய கையொப்பமிடப்பட்ட SSL சான்றிதழைப் பயன்படுத்துவது TLS/SSL குறியாக்கம் தேவைப்படும் உள்ளூர் கணினியில் சேவைகள் மற்றும் பயன்பாடுகளைச் சோதிக்க ஒரு மோசமான யோசனை அல்ல.

இந்த வழிகாட்டியில், ஒரு சென்டோஸ் 8 சேவையக அமைப்பில் அப்பாச்சி லோக்கல் ஹோஸ்ட் வலை சேவையகத்தில் உள்ளூர் சுய கையொப்பமிடப்பட்ட எஸ்எஸ்எல் சான்றிதழை எவ்வாறு நிறுவுவது என்பதை நீங்கள் கற்றுக் கொள்வீர்கள்.

தொடங்குவதற்கு முன், உங்களுக்கு பின்வரும் அடிப்படை தேவைகள் இருப்பதை உறுதிப்படுத்தவும்:

CentOS 8 சேவையகத்தின் உதாரணம்.
சேவையகத்தில் அப்பாச்சி வெப்சர்வர் நிறுவப்பட்டுள்ளது
/etc/புரவலன் கோப்பில் ஏற்கனவே கட்டமைக்கப்பட்ட மற்றும் வரையறுக்கப்பட்ட ஒரு ஹோஸ்ட்பெயர். இந்த வழிகாட்டிக்காக, எங்கள் சேவையகத்திற்கான tecmint.local ஹோஸ்ட்பெயரைப் பயன்படுத்தப் போகிறோம். <

படி 1: CentOS இல் Mod_SSL ஐ நிறுவுதல்

1. தொடங்க, அப்பாச்சி வலை சேவையகம் நிறுவப்பட்டு இயங்குகிறதா என்பதை நீங்கள் சரிபார்க்க வேண்டும்.

$ sudo systemctl status httpd

எதிர்பார்த்த வெளியீடு இங்கே.

வெப்சர்வர் இயங்கவில்லை என்றால், கட்டளையைப் பயன்படுத்தி துவக்கும்போது அதைத் தொடங்கலாம்.

$ sudo systemctl start httpd
$ sudo systemctl enable httpd

அப்பாச்சி இயங்குகிறதா என்பதை நீங்கள் உறுதிப்படுத்தலாம்.

2. உள்ளூர் சுய கையொப்பமிடப்பட்ட SSL சான்றிதழின் நிறுவல் மற்றும் அமைப்பை இயக்க, mod_ssl தொகுப்பு தேவை.

$ sudo dnf install mod_ssl

நிறுவப்பட்டதும், இயங்குவதன் மூலம் அதன் நிறுவலை சரிபார்க்கலாம்.

$ sudo rpm -q mod_ssl

மேலும், OpenSSL தொகுப்பு நிறுவப்பட்டுள்ளதா என்பதை உறுதிப்படுத்தவும் (OpenSSL இயல்பாக CentOS 8 இல் நிறுவப்பட்டுள்ளது).

$ sudo rpm -q openssl

படி 2: அப்பாச்சிக்கு உள்ளூர் சுய கையொப்பமிட்ட SSL சான்றிதழை உருவாக்கவும்

3. அப்பாச்சி வலை சேவையகம் மற்றும் அனைத்து முன்நிபந்தனைகளையும் சரிபார்க்கும்போது, நீங்கள் ஒரு கோப்பகத்தை உருவாக்க வேண்டும், அதில் கிரிப்டோகிராஃபிக் விசைகள் சேமிக்கப்படும்.

இந்த எடுத்துக்காட்டில், நாங்கள்/etc/ssl/private இல் ஒரு கோப்பகத்தை உருவாக்கியுள்ளோம்.

$ sudo mkdir -p /etc/ssl/private

இப்போது உள்ளூர் SSL சான்றிதழ் விசையை உருவாக்கி கட்டளையைப் பயன்படுத்தி கோப்பை உருவாக்கவும்:

$ sudo openssl req -x509 -nodes -newkey rsa:2048 -keyout tecmint.local.key -out tecmint.local.crt

கட்டளையின் சில விருப்பங்கள் உண்மையில் எதைக் குறிக்கின்றன என்பதைப் பார்ப்போம்:

req -x509 - இது x509 சான்றிதழ் கையொப்பமிடுதலுக்கான கோரிக்கையை (CSR) பயன்படுத்துகிறோம் என்பதை இது குறிக்கிறது.
-nodes - கடவுச்சொற்றொடரைப் பயன்படுத்தி SSL சான்றிதழை குறியாக்கம் செய்வதைத் தவிர்க்க இந்த விருப்பம் OpenSSL க்கு அறிவுறுத்துகிறது. கடவுச்சொல் வழங்கப்பட்டால் சாத்தியமில்லாத எந்தவிதமான பயனர் தலையீடும் இல்லாமல் அப்பாச்சியை கோப்பைப் படிக்க அனுமதிப்பதே இங்குள்ள யோசனை.
-நியூக்கி rsa: 2048 - இது ஒரு புதிய விசையையும் புதிய சான்றிதழையும் ஒரே நேரத்தில் உருவாக்க விரும்புகிறோம் என்பதை இது குறிக்கிறது. Rsa: 2048 பகுதி 2048 பிட் ஆர்எஸ்ஏ விசையை உருவாக்க விரும்புகிறோம் என்பதைக் குறிக்கிறது.
-keyout - உருவாக்கப்பட்ட தனிப்பட்ட விசை கோப்பை எங்கு சேமிக்க வேண்டும் என்பதை இந்த விருப்பம் குறிப்பிடுகிறது.
-out - உருவாக்கப்பட்ட SSL சான்றிதழை எங்கு வைக்க வேண்டும் என்பதை விருப்பம் குறிப்பிடுகிறது.

படி 3: அப்பாச்சியில் உள்ளூர் சுய கையொப்பமிடப்பட்ட எஸ்எஸ்எல் சான்றிதழை நிறுவவும்

4. எஸ்எஸ்எல் சான்றிதழ் கோப்பை உருவாக்கிய பின்னர், அப்பாச்சி வலை சேவையகத்தின் அமைப்புகளைப் பயன்படுத்தி சான்றிதழை நிறுவ வேண்டிய நேரம் இது. /Etc/httpd/conf.d/ssl.conf உள்ளமைவு கோப்பைத் திறந்து திருத்தவும்.

$ sudo vi /etc/httpd/conf.d/ssl.conf

மெய்நிகர் ஹோஸ்ட் குறிச்சொற்களுக்கு இடையில் பின்வரும் வரிகள் இருப்பதை உறுதிசெய்க.

<VirtualHost *:443>
    ServerAdmin [email 
    ServerName www.tecmint.local
    ServerAlias tecmint.local
 
    DocumentRoot /var/www/html
 
    SSLEngine on
    SSLCertificateFile /etc/ssl/private/tecmint.local.crt
    SSLCertificateKeyFile /etc/ssl/private/tecmint.local.key
</VirtualHost>

கோப்பை சேமித்து வெளியேறவும். மாற்றங்கள் செய்ய, கட்டளையைப் பயன்படுத்தி அப்பாச்சியை மறுதொடக்கம் செய்யுங்கள்:

$ sudo systemctl restart httpd

5. வெளிப்புற பயனர்கள் உங்கள் சேவையகத்தை அணுக, காட்டப்பட்டுள்ளபடி ஃபயர்வால் வழியாக போர்ட் 443 ஐ திறக்க வேண்டும்.

$ sudo firewall-cmd --add-port=443 --zone=public --permanent
$ sudo firewall-cmd --reload

படி 3: அப்பாச்சியில் உள்ளூர் சுய கையொப்பமிட்ட எஸ்எஸ்எல் சான்றிதழை சோதித்தல்

எல்லா உள்ளமைவுகளும் உள்ள நிலையில், உங்கள் உலாவியை நீக்கி, சேவையகத்தின் ஐபி முகவரி அல்லது டொமைன் பெயரைப் பயன்படுத்தி உங்கள் சேவையகத்தின் முகவரியை https நெறிமுறையைப் பயன்படுத்தி உலாவவும்.

சோதனையை சீராக்க, அப்பாச்சி வெப்சர்வரில் HTTP நெறிமுறையை HTTPS க்கு திருப்பி விடலாம். நீங்கள் டொமைனை எளிய HTTP இல் உலாவும்போதெல்லாம், அது தானாகவே HTTPS நெறிமுறைக்கு திருப்பி விடப்படும்.

எனவே உங்கள் சேவையகத்தின் களம் அல்லது ஐபி உலாவுக

https://domain_name/

காண்பிக்கப்பட்டபடி இணைப்பு பாதுகாப்பாக இல்லை என்பதை உங்களுக்குத் தெரிவிக்கும் எச்சரிக்கை உங்களுக்குக் கிடைக்கும். இது ஒரு உலாவியில் இருந்து மற்றொரு உலாவிக்கு மாறுபடும். நீங்கள் யூகிக்கிறபடி, SSL சான்றிதழ் சான்றிதழ் ஆணையத்தால் கையொப்பமிடப்படவில்லை மற்றும் உலாவி அதை பதிவுசெய்து சான்றிதழை நம்ப முடியாது என்று தெரிவிப்பதால் எச்சரிக்கை ஏற்படுகிறது.

உங்கள் வலைத்தளத்திற்குச் செல்ல, மேலே காட்டப்பட்டுள்ளபடி ‘மேம்பட்ட’ தாவலைக் கிளிக் செய்க:

அடுத்து, உலாவியில் விதிவிலக்கு சேர்க்கவும்.

இறுதியாக, உங்கள் உலாவியை மீண்டும் ஏற்றவும், இப்போது நீங்கள் சேவையகத்தை அணுகலாம் என்பதைக் கவனியுங்கள், இருப்பினும், எஸ்ஆர்எல் சான்றிதழ் சுய கையொப்பமிடப்பட்ட மற்றும் கையொப்பமிடப்படாத அதே காரணத்திற்காக தளம் முழுமையாக பாதுகாப்பாக இல்லை என்று URL பட்டியில் ஒரு எச்சரிக்கை இருக்கும். சான்றிதழ் ஆணையம்.

CentOS 8 இல் அப்பாச்சி லோக்கல் ஹோஸ்ட் வலை சேவையகத்தில் சுய கையொப்பமிடப்பட்ட SSL சான்றிதழை நீங்கள் இப்போது உருவாக்கலாம் மற்றும் நிறுவலாம் என்பது எங்கள் நம்பிக்கை.