CentOS 8 இல் உள்ளூர் சுய கையொப்பமிடப்பட்ட SSL சான்றிதழை எவ்வாறு உருவாக்குவது
எஸ்எஸ்எல் (பாதுகாப்பான சாக்கெட் லேயர்) மற்றும் அதன் மேம்படுத்தப்பட்ட பதிப்பு, டிஎல்எஸ் (டிரான்ஸ்போர்ட் சாக்கெட் லேயர்) ஆகியவை பாதுகாப்பு நெறிமுறைகளாகும், அவை வாடிக்கையாளரின் வலை உலாவியில் இருந்து வலை சேவையகத்திற்கு அனுப்பப்படும் வலை போக்குவரத்தை பாதுகாக்கப் பயன்படுகின்றன.
எஸ்எஸ்எல் சான்றிதழ் என்பது டிஜிட்டல் சான்றிதழ் ஆகும், இது வாடிக்கையாளரின் உலாவிக்கும் வலை சேவையகத்திற்கும் இடையில் பாதுகாப்பான சேனலை உருவாக்குகிறது. அவ்வாறு செய்யும்போது, கிரெடிட் கார்டு தரவு, உள்நுழைவு நற்சான்றிதழ்கள் மற்றும் பிற தனிப்பட்ட தகவல்கள் போன்ற முக்கியமான மற்றும் ரகசிய தரவு குறியாக்கம் செய்யப்பட்டு, ஹேக்கர்கள் உங்கள் தகவல்களைக் கேட்பதைத் தடுக்கிறது மற்றும் திருடுகிறது.
சுய கையொப்பமிடப்பட்ட எஸ்எஸ்எல் சான்றிதழ், சான்றிதழ் ஆணையம் (சிஏ) கையொப்பமிட்டு நம்பப்பட்ட பிற எஸ்எஸ்எல் சான்றிதழ்களைப் போலல்லாமல், அதை வைத்திருக்கும் ஒரு நபர் கையொப்பமிட்ட சான்றிதழ் ஆகும்.
ஒன்றை உருவாக்குவது முற்றிலும் இலவசம் மற்றும் உங்கள் உள்நாட்டில் ஹோஸ்ட் செய்யப்பட்ட வலை சேவையகத்தை குறியாக்க மலிவான வழியாகும். இருப்பினும், சுய கையொப்பமிடப்பட்ட எஸ்எஸ்எல் சான்றிதழின் பயன்பாடு பின்வரும் காரணங்களுக்காக உற்பத்தி சூழல்களில் மிகவும் ஊக்கமளிக்கிறது:
- இது ஒரு சான்றிதழ் ஆணையத்தால் கையொப்பமிடப்படாததால், சுய கையொப்பமிடப்பட்ட SSL சான்றிதழ் வலை உலாவிகளில் எச்சரிக்கைகளை உருவாக்குகிறது, பயனர்கள் தொடர முடிவு செய்தால் அவர்களுக்கு ஆபத்து ஏற்படக்கூடும் என்று எச்சரிக்கிறது. இந்த விழிப்பூட்டல்கள் விரும்பத்தகாதவை மற்றும் பயனர்கள் உங்கள் வலைத்தளத்தைப் பார்வையிடுவதைத் தடுக்கும், இது வலைப் போக்குவரத்தில் சரிவுக்கு வழிவகுக்கும். இந்த விழிப்பூட்டல்களுக்கான ஒரு தீர்வாக, நிறுவனங்கள் வழக்கமாக தங்கள் ஊழியர்களை எச்சரிக்கைகளை புறக்கணித்து முன்னேற ஊக்குவிக்கின்றன. ஃபிஷிங் தளங்களுக்கு பலியாகக்கூடிய பிற ஆன்லைன் தளங்களில் இந்த விழிப்பூட்டல்களை தொடர்ந்து புறக்கணிக்க முடிவுசெய்யக்கூடிய பயனர்களிடையே இது ஆபத்தான பழக்கத்தை ஏற்படுத்தக்கூடும்.
- சுய கையொப்பமிட்ட சான்றிதழ்கள் குறைந்த பாதுகாப்பு நிலை மற்றும் அவை குறைந்த அளவிலான சைபர் தொழில்நுட்பங்கள் மற்றும் ஹாஷ்களை செயல்படுத்துவதால். இதனால் பாதுகாப்பு நிலை நிலையான பாதுகாப்புக் கொள்கைகளுக்கு இணையாக இருக்காது.
- கூடுதலாக, பொது விசை உள்கட்டமைப்பு (பி.கே.ஐ) செயல்பாடுகளுக்கு எந்த ஆதரவும் இல்லை.
சுய கையொப்பமிடப்பட்ட SSL சான்றிதழைப் பயன்படுத்துவது TLS/SSL குறியாக்கம் தேவைப்படும் உள்ளூர் கணினியில் சேவைகள் மற்றும் பயன்பாடுகளைச் சோதிக்க ஒரு மோசமான யோசனை அல்ல.
இந்த வழிகாட்டியில், ஒரு சென்டோஸ் 8 சேவையக அமைப்பில் அப்பாச்சி லோக்கல் ஹோஸ்ட் வலை சேவையகத்தில் உள்ளூர் சுய கையொப்பமிடப்பட்ட எஸ்எஸ்எல் சான்றிதழை எவ்வாறு நிறுவுவது என்பதை நீங்கள் கற்றுக் கொள்வீர்கள்.
தொடங்குவதற்கு முன், உங்களுக்கு பின்வரும் அடிப்படை தேவைகள் இருப்பதை உறுதிப்படுத்தவும்:
- CentOS 8 சேவையகத்தின் உதாரணம்.
- சேவையகத்தில் அப்பாச்சி வெப்சர்வர் நிறுவப்பட்டுள்ளது
- /etc/புரவலன் கோப்பில் ஏற்கனவே கட்டமைக்கப்பட்ட மற்றும் வரையறுக்கப்பட்ட ஒரு ஹோஸ்ட்பெயர். இந்த வழிகாட்டிக்காக, எங்கள் சேவையகத்திற்கான
tecmint.local
ஹோஸ்ட்பெயரைப் பயன்படுத்தப் போகிறோம். <
படி 1: CentOS இல் Mod_SSL ஐ நிறுவுதல்
1. தொடங்க, அப்பாச்சி வலை சேவையகம் நிறுவப்பட்டு இயங்குகிறதா என்பதை நீங்கள் சரிபார்க்க வேண்டும்.
$ sudo systemctl status httpd
எதிர்பார்த்த வெளியீடு இங்கே.
வெப்சர்வர் இயங்கவில்லை என்றால், கட்டளையைப் பயன்படுத்தி துவக்கும்போது அதைத் தொடங்கலாம்.
$ sudo systemctl start httpd $ sudo systemctl enable httpd
அப்பாச்சி இயங்குகிறதா என்பதை நீங்கள் உறுதிப்படுத்தலாம்.
2. உள்ளூர் சுய கையொப்பமிடப்பட்ட SSL சான்றிதழின் நிறுவல் மற்றும் அமைப்பை இயக்க, mod_ssl தொகுப்பு தேவை.
$ sudo dnf install mod_ssl
நிறுவப்பட்டதும், இயங்குவதன் மூலம் அதன் நிறுவலை சரிபார்க்கலாம்.
$ sudo rpm -q mod_ssl
மேலும், OpenSSL தொகுப்பு நிறுவப்பட்டுள்ளதா என்பதை உறுதிப்படுத்தவும் (OpenSSL இயல்பாக CentOS 8 இல் நிறுவப்பட்டுள்ளது).
$ sudo rpm -q openssl
படி 2: அப்பாச்சிக்கு உள்ளூர் சுய கையொப்பமிட்ட SSL சான்றிதழை உருவாக்கவும்
3. அப்பாச்சி வலை சேவையகம் மற்றும் அனைத்து முன்நிபந்தனைகளையும் சரிபார்க்கும்போது, நீங்கள் ஒரு கோப்பகத்தை உருவாக்க வேண்டும், அதில் கிரிப்டோகிராஃபிக் விசைகள் சேமிக்கப்படும்.
இந்த எடுத்துக்காட்டில், நாங்கள்/etc/ssl/private இல் ஒரு கோப்பகத்தை உருவாக்கியுள்ளோம்.
$ sudo mkdir -p /etc/ssl/private
இப்போது உள்ளூர் SSL சான்றிதழ் விசையை உருவாக்கி கட்டளையைப் பயன்படுத்தி கோப்பை உருவாக்கவும்:
$ sudo openssl req -x509 -nodes -newkey rsa:2048 -keyout tecmint.local.key -out tecmint.local.crt
கட்டளையின் சில விருப்பங்கள் உண்மையில் எதைக் குறிக்கின்றன என்பதைப் பார்ப்போம்:
- req -x509 - இது x509 சான்றிதழ் கையொப்பமிடுதலுக்கான கோரிக்கையை (CSR) பயன்படுத்துகிறோம் என்பதை இது குறிக்கிறது.
- -nodes - கடவுச்சொற்றொடரைப் பயன்படுத்தி SSL சான்றிதழை குறியாக்கம் செய்வதைத் தவிர்க்க இந்த விருப்பம் OpenSSL க்கு அறிவுறுத்துகிறது. கடவுச்சொல் வழங்கப்பட்டால் சாத்தியமில்லாத எந்தவிதமான பயனர் தலையீடும் இல்லாமல் அப்பாச்சியை கோப்பைப் படிக்க அனுமதிப்பதே இங்குள்ள யோசனை.
- -நியூக்கி rsa: 2048 - இது ஒரு புதிய விசையையும் புதிய சான்றிதழையும் ஒரே நேரத்தில் உருவாக்க விரும்புகிறோம் என்பதை இது குறிக்கிறது. Rsa: 2048 பகுதி 2048 பிட் ஆர்எஸ்ஏ விசையை உருவாக்க விரும்புகிறோம் என்பதைக் குறிக்கிறது.
- -keyout - உருவாக்கப்பட்ட தனிப்பட்ட விசை கோப்பை எங்கு சேமிக்க வேண்டும் என்பதை இந்த விருப்பம் குறிப்பிடுகிறது.
- -out - உருவாக்கப்பட்ட SSL சான்றிதழை எங்கு வைக்க வேண்டும் என்பதை விருப்பம் குறிப்பிடுகிறது.
படி 3: அப்பாச்சியில் உள்ளூர் சுய கையொப்பமிடப்பட்ட எஸ்எஸ்எல் சான்றிதழை நிறுவவும்
4. எஸ்எஸ்எல் சான்றிதழ் கோப்பை உருவாக்கிய பின்னர், அப்பாச்சி வலை சேவையகத்தின் அமைப்புகளைப் பயன்படுத்தி சான்றிதழை நிறுவ வேண்டிய நேரம் இது. /Etc/httpd/conf.d/ssl.conf உள்ளமைவு கோப்பைத் திறந்து திருத்தவும்.
$ sudo vi /etc/httpd/conf.d/ssl.conf
மெய்நிகர் ஹோஸ்ட் குறிச்சொற்களுக்கு இடையில் பின்வரும் வரிகள் இருப்பதை உறுதிசெய்க.
<VirtualHost *:443> ServerAdmin [email ServerName www.tecmint.local ServerAlias tecmint.local DocumentRoot /var/www/html SSLEngine on SSLCertificateFile /etc/ssl/private/tecmint.local.crt SSLCertificateKeyFile /etc/ssl/private/tecmint.local.key </VirtualHost>
கோப்பை சேமித்து வெளியேறவும். மாற்றங்கள் செய்ய, கட்டளையைப் பயன்படுத்தி அப்பாச்சியை மறுதொடக்கம் செய்யுங்கள்:
$ sudo systemctl restart httpd
5. வெளிப்புற பயனர்கள் உங்கள் சேவையகத்தை அணுக, காட்டப்பட்டுள்ளபடி ஃபயர்வால் வழியாக போர்ட் 443 ஐ திறக்க வேண்டும்.
$ sudo firewall-cmd --add-port=443 --zone=public --permanent $ sudo firewall-cmd --reload
படி 3: அப்பாச்சியில் உள்ளூர் சுய கையொப்பமிட்ட எஸ்எஸ்எல் சான்றிதழை சோதித்தல்
எல்லா உள்ளமைவுகளும் உள்ள நிலையில், உங்கள் உலாவியை நீக்கி, சேவையகத்தின் ஐபி முகவரி அல்லது டொமைன் பெயரைப் பயன்படுத்தி உங்கள் சேவையகத்தின் முகவரியை https நெறிமுறையைப் பயன்படுத்தி உலாவவும்.
சோதனையை சீராக்க, அப்பாச்சி வெப்சர்வரில் HTTP நெறிமுறையை HTTPS க்கு திருப்பி விடலாம். நீங்கள் டொமைனை எளிய HTTP இல் உலாவும்போதெல்லாம், அது தானாகவே HTTPS நெறிமுறைக்கு திருப்பி விடப்படும்.
எனவே உங்கள் சேவையகத்தின் களம் அல்லது ஐபி உலாவுக
https://domain_name/
காண்பிக்கப்பட்டபடி இணைப்பு பாதுகாப்பாக இல்லை என்பதை உங்களுக்குத் தெரிவிக்கும் எச்சரிக்கை உங்களுக்குக் கிடைக்கும். இது ஒரு உலாவியில் இருந்து மற்றொரு உலாவிக்கு மாறுபடும். நீங்கள் யூகிக்கிறபடி, SSL சான்றிதழ் சான்றிதழ் ஆணையத்தால் கையொப்பமிடப்படவில்லை மற்றும் உலாவி அதை பதிவுசெய்து சான்றிதழை நம்ப முடியாது என்று தெரிவிப்பதால் எச்சரிக்கை ஏற்படுகிறது.
உங்கள் வலைத்தளத்திற்குச் செல்ல, மேலே காட்டப்பட்டுள்ளபடி ‘மேம்பட்ட’ தாவலைக் கிளிக் செய்க:
அடுத்து, உலாவியில் விதிவிலக்கு சேர்க்கவும்.
இறுதியாக, உங்கள் உலாவியை மீண்டும் ஏற்றவும், இப்போது நீங்கள் சேவையகத்தை அணுகலாம் என்பதைக் கவனியுங்கள், இருப்பினும், எஸ்ஆர்எல் சான்றிதழ் சுய கையொப்பமிடப்பட்ட மற்றும் கையொப்பமிடப்படாத அதே காரணத்திற்காக தளம் முழுமையாக பாதுகாப்பாக இல்லை என்று URL பட்டியில் ஒரு எச்சரிக்கை இருக்கும். சான்றிதழ் ஆணையம்.
CentOS 8 இல் அப்பாச்சி லோக்கல் ஹோஸ்ட் வலை சேவையகத்தில் சுய கையொப்பமிடப்பட்ட SSL சான்றிதழை நீங்கள் இப்போது உருவாக்கலாம் மற்றும் நிறுவலாம் என்பது எங்கள் நம்பிக்கை.