Pesquisar

50.7. Adicionando criptografia TLS a um Servidor HTTP Apache

download PDF

Esta seção descreve como ativar a criptografia TLS no Servidor HTTP Apache my_company.idm.example.com para o domínio idm.example.com.

Pré-requisitos

  • O Servidor HTTP Apache my_company.idm.example.com está instalado e funcionando.
  • Você obteve o certificado TLS no sub-CA webserver-ca, e o armazenou no arquivo /etc/pki/tls/certs/httpd.pem, conforme descrito em Seção 50.4, “Obtenção de um certificado IdM para um serviço utilizando o certmonger”. Se você usar um caminho diferente, adapte as etapas correspondentes do procedimento.
  • A chave privada correspondente é armazenada no arquivo /etc/pki/tls/private/httpd.key. Se você usar um caminho diferente, adapte as etapas correspondentes do procedimento.
  • O certificado webserver-ca CA é armazenado no arquivo /etc/pki/tls/private/sub-ca.crt. Se você usar um caminho diferente, adapte as etapas correspondentes do procedimento.
  • Os clientes e o servidor web my_company.idm.example.com resolvem o nome do anfitrião do servidor para o endereço IP do servidor web.

Procedimento

  1. Instale o pacote mod_ssl:

    # dnf install mod_ssl
  2. Edite o arquivo /etc/httpd/conf.d/ssl.conf e adicione as seguintes configurações à diretiva <VirtualHost _default_:443>:

    1. Defina o nome do servidor:

      ServerName my_company.idm.example.com
      Importante

      O nome do servidor deve corresponder à entrada definida no campo Common Name do certificado.

    2. Opcional: Se o certificado contiver nomes de host adicionais no campo Subject Alt Names (SAN), você pode configurar mod_ssl para fornecer criptografia TLS também para esses nomes de host. Para configurar isto, adicione o parâmetro ServerAliases com os nomes correspondentes:

      ServerAlias www.my_company.idm.example.com server.my_company.idm.example.com
    3. Defina os caminhos para a chave privada, o certificado do servidor e o certificado da CA:

      SSLCertificateKeyFile "/etc/pki/tls/private/httpd.key"
      SSLCertificateFile "/etc/pki/tls/certs/httpd.pem"
      SSLCACertificateFile "/etc/pki/tls/certs/ca.crt"
  3. Por razões de segurança, configure que somente o usuário root possa acessar o arquivo de chave privada:

    # chown root:root /etc/pki/tls/private/httpd.key
    # chmod 600 //etc/pki/tls/private/httpd.key
    Atenção

    Se a chave privada foi acessada por usuários não autorizados, revogar o certificado, criar uma nova chave privada e solicitar um novo certificado. Caso contrário, a conexão TLS não é mais segura.

  4. Abra a porta 443 no firewall local:

    # firewall-cmd --permanent --add-port=443
    # firewall-cmd --reload
  5. Reinicie o serviço httpd:

    # systemctl restart httpd
    Nota

    Se você protegeu o arquivo de chave privada com uma senha, você deve digitar esta senha toda vez que o serviço httpd for iniciado.

    • Use um navegador e conecte-se a https://my_company.idm.example.com.

Recursos adicionais

  • Para mais detalhes sobre a configuração do TLS, consulte a documentação SSL/TLS Encryption no manual do Apache. Para detalhes sobre a instalação do manual, consulte o manual Instalando o Servidor HTTP Apache.
Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.