50.7. Adicionando criptografia TLS a um Servidor HTTP Apache
Esta seção descreve como ativar a criptografia TLS no Servidor HTTP Apache my_company.idm.example.com
para o domínio idm.example.com
.
Pré-requisitos
-
O Servidor HTTP Apache
my_company.idm.example.com
está instalado e funcionando. -
Você obteve o certificado TLS no sub-CA webserver-ca, e o armazenou no arquivo
/etc/pki/tls/certs/httpd.pem
, conforme descrito em Seção 50.4, “Obtenção de um certificado IdM para um serviço utilizando o certmonger”. Se você usar um caminho diferente, adapte as etapas correspondentes do procedimento. -
A chave privada correspondente é armazenada no arquivo
/etc/pki/tls/private/httpd.key
. Se você usar um caminho diferente, adapte as etapas correspondentes do procedimento. -
O certificado webserver-ca CA é armazenado no arquivo
/etc/pki/tls/private/sub-ca.crt
. Se você usar um caminho diferente, adapte as etapas correspondentes do procedimento. - Os clientes e o servidor web my_company.idm.example.com resolvem o nome do anfitrião do servidor para o endereço IP do servidor web.
Procedimento
Instale o pacote
mod_ssl
:# dnf install mod_ssl
Edite o arquivo
/etc/httpd/conf.d/ssl.conf
e adicione as seguintes configurações à diretiva<VirtualHost _default_:443>
:Defina o nome do servidor:
ServerName my_company.idm.example.com
ImportanteO nome do servidor deve corresponder à entrada definida no campo
Common Name
do certificado.Opcional: Se o certificado contiver nomes de host adicionais no campo
Subject Alt Names
(SAN), você pode configurarmod_ssl
para fornecer criptografia TLS também para esses nomes de host. Para configurar isto, adicione o parâmetroServerAliases
com os nomes correspondentes:ServerAlias www.my_company.idm.example.com server.my_company.idm.example.com
Defina os caminhos para a chave privada, o certificado do servidor e o certificado da CA:
SSLCertificateKeyFile "/etc/pki/tls/private/httpd.key" SSLCertificateFile "/etc/pki/tls/certs/httpd.pem" SSLCACertificateFile "/etc/pki/tls/certs/ca.crt"
Por razões de segurança, configure que somente o usuário
root
possa acessar o arquivo de chave privada:# chown root:root /etc/pki/tls/private/httpd.key # chmod 600 //etc/pki/tls/private/httpd.key
AtençãoSe a chave privada foi acessada por usuários não autorizados, revogar o certificado, criar uma nova chave privada e solicitar um novo certificado. Caso contrário, a conexão TLS não é mais segura.
Abra a porta
443
no firewall local:# firewall-cmd --permanent --add-port=443 # firewall-cmd --reload
Reinicie o serviço
httpd
:# systemctl restart httpd
NotaSe você protegeu o arquivo de chave privada com uma senha, você deve digitar esta senha toda vez que o serviço
httpd
for iniciado.-
Use um navegador e conecte-se a
https://my_company.idm.example.com
.
-
Use um navegador e conecte-se a
Recursos adicionais
-
Para mais detalhes sobre a configuração do TLS, consulte a documentação
SSL/TLS Encryption
no manual do Apache. Para detalhes sobre a instalação do manual, consulte o manual Instalando o Servidor HTTP Apache.