{"id":114,"date":"2009-03-30T23:00:30","date_gmt":"2009-03-30T22:00:30","guid":{"rendered":"http:\/\/eriz.pcinside.pl\/weblog\/apache-22-pod-windows-z-ssl-114.html"},"modified":"2009-03-30T23:00:30","modified_gmt":"2009-03-30T22:00:30","slug":"apache-22-pod-windows-z-ssl","status":"publish","type":"post","link":"https:\/\/eriz.pcinside.pl\/weblog\/apache-22-pod-windows-z-ssl-114.html","title":{"rendered":"Apache 2.2 pod Windows z SSL"},"content":{"rendered":"

Wcze\u015bniej pisa\u0142em o instalowaniu Apache<\/a>. Ok, (chyba) dzia\u0142a, ale nie ma opcji zestawiania po\u0142\u0105cze\u0144 poprzez SSL. Dzisiaj zajmiemy si\u0119 instalacj\u0105 wersji obs\u0142uguj\u0105cej po\u0142\u0105czenia szyfrowane.<\/p>\n

Tak naprawd\u0119, ca\u0142a czynno\u015b\u0107 nie jest szczeg\u00f3lnie trudniejsza od tej, do kt\u00f3rej zalinkowa\u0142em. Je\u015bli wszystko ruszy\u0142o z kopyta w wersji bez SSL, mo\u017cna powiedzie\u0107, \u017ce instalacja wersji obs\u0142uguj\u0105cej szyfrowanie oka\u017ce si\u0119 banalna. \";)\"<\/p>\n

<\/p>\n

Zaznaczam, \u017ce metoda ta raczej nie przyda si\u0119 do cel\u00f3w produkcyjnych – ot, podstawowa dzia\u0142aj\u0105ca wersja, obs\u0142uguj\u0105ca globalne certyfikaty. Co to oznacza? Ano, \u017ce wszystkie hosty obs\u0142ugiwane przez jeden demon b\u0119d\u0105 korzysta\u0142y z jednego certyfikatu. Z czym si\u0119 „jedz\u0105” certyfikaty? Zapraszam do lektury odpowiedniej strony<\/a> w Wikipedii.<\/p>\n

W olbrzymim skr\u00f3cie – do ka\u017cdej domeny przypisywany jest certyfikat, a je\u015bli dane si\u0119 nie zgadzaj\u0105 – przegl\u0105darka wy\u015bwietli stosowne ostrze\u017cenie.<\/p>\n

\"ostrze\u017cenie<\/a><\/p>\n

W tym artykule opisz\u0119, jak skonfigurowa\u0107 Apache do obs\u0142ugi protoko\u0142u szyfrowanego z u\u017cyciem w\u0142asnor\u0119cznie wygenerowanego certyfikatu. W celach produkcyjnych nale\u017cy zaopatrzy\u0107 si\u0119 w tzw. certyfikat kwalifikowany, to znaczy – wystawiony przez jak\u0105\u015b firm\u0119 tym procederem (:P) si\u0119 trudni\u0105c\u0105. W\u00f3wczas przegl\u0105darka nie b\u0119dzie wy\u015bwietla\u0142a ostrze\u017cenia przed niezaufanym certyfikatem. Oczywi\u015bcie, taka impreza kosztuje, jest to swego rodzaju biznes, w kt\u00f3ry jest bardzo ci\u0119\u017cko (o ile w og\u00f3le si\u0119 da) wkr\u0119ci\u0107, gdy\u017c przegl\u0105darki zawieraj\u0105 wpisy tych najwi\u0119kszych wystawc\u00f3w, a dodanie nowego wymaga\u0142oby, w zasadzie, u\u017cycia wehiku\u0142u czasu. Kiedy\u015b wydanie certyfikatu kosztowa\u0142o krocie (nawet kilkaset z\u0142otych rocznie), teraz nie jest to ju\u017c taki problem. Po frazie tanie certyfikaty SSL<\/em> w Google mo\u017cna znale\u017a\u0107 wiele ofert, do\u015b\u0107 popularne s\u0105 GoDaddy<\/a>, czy RapidSSL<\/a>.<\/p>\n

Cz\u0119sto bywa tak, \u017ce firmy hostingowe po\u015brednicz\u0105 w sprzeda\u017cy certyfikat\u00f3w i nieraz oferty polskich reseller\u00f3w s\u0105 ta\u0144sze ni\u017c bezpo\u015brednie kupno u wydawcy. Warto poszpera\u0107, popyta\u0107. \";)\"<\/p>\n

Ok, ok, rozgada\u0142em si\u0119, nie o tym mia\u0142o by\u0107.<\/p>\n

wyb\u00f3r drogi<\/h3>\n

Dlaczego od razu rozjazd? Przecie\u017c mo\u017cna wygenerowa\u0107 certyfikat na samym pocz\u0105tku. Ok, mo\u017cna, ale potrzebujemy przecie\u017c narz\u0119dzia. \";)\" Nie ka\u017cdy posiada OpenSSL zainstalowane fabrycznie, troch\u0119 trzeba si\u0119 nieraz pom\u0119czy\u0107. Apache dla Windows jest publikowane w dw\u00f3ch wersjach – no_ssl<\/em> i openssl<\/em>. Ten pierwszy nie posiada praktycznie niczego, co jest nam niezb\u0119dne do uaktywnienia szyfrowania. Je\u015bli mamy certyfikat, wi\u0119ksza cz\u0119\u015b\u0107 drogi za nami, ale pojawia si\u0119 powa\u017cny problem – potrzebujemy mod_ssl<\/em>, kt\u00f3rego raczej nikt nie udost\u0119pnia w binarkach, a \u017ar\u00f3d\u0142a ma\u0142o kto zechce sobie kompilowa\u0107. Za to wersja openssl<\/em> udost\u0119pnia pe\u0142en warsztat i wystarczy odkomentowa\u0107 dos\u0142ownie kilka linijek w plikach konfiguracyjnych, aby wszystko zacz\u0119\u0142o dzia\u0142a\u0107. Komfortowy przypadek opisz\u0119 od razu. \";)\"<\/p>\n

Apache z OpenSSL<\/h3>\n

Jak zainstalowa\u0107 Apache z PHP pod Windows<\/a> ju\u017c pisa\u0142em, posadzenie paczki z obs\u0142ug\u0105 SSL wcale nie b\u0119dzie inne. Pakiet zawiera po prostu narz\u0119dzie do wygenerowania certyfikatu oraz modu\u0142 zajmuj\u0105cy si\u0119 po\u0142\u0105czeniami szyfrowanymi. Paczk\u0119 mo\u017cna pobra\u0107 ze strony pobiera\u0144<\/a> projektu, \u015bci\u0105gamy plik z openssl<\/em> przy ko\u0144cu nazwy. Instalacja przebiega identycznie, jak w moim poprzednim artykule.<\/p>\n

Gdy ju\u017c wszystko dzia\u0142a, It works!<\/q> dumnie ukazuje si\u0119 w przegl\u0105darce w\u0142a\u015bciwie pozostaje ju\u017c tylko generowanie\/instalacja certyfikatu i pogrzebanie w konfiguracji. O tym dalej, gdy\u017c etap ten – pomijaj\u0105c instalacj\u0119 dodatkowych narz\u0119dzi – jest niemal\u017ce identyczny, co w wersji bez OpenSSL.<\/p>\n

Apache bez bibliotek SSL<\/h3>\n

Zdobycie narz\u0119dzia generuj\u0105cego certyfikaty i odpowiednich bibliotek nie b\u0119dzie stanowi\u0142o problemu – wszystko mo\u017cna pobra\u0107 ze strony organizacji opiekuj\u0105c\u0105 si\u0119 binariami dla Windows<\/a>. Instalujemy i teoretycznie powinno wystarczy\u0107. Jest jednak do\u015b\u0107 zawi\u0142y do obej\u015bcia problem – zdobycie pliku mod_ssl.so<\/em> w postaci skompilowanej jest praktycznie niemo\u017cliwe. Osobi\u015bcie nie znalaz\u0142em osobno, wyci\u0105gn\u0105\u0142em z paczki z SSL, podziel\u0119 si\u0119 nim<\/a>, no problem. \";)\" Po \u015bci\u0105gni\u0119ciu, wystarczy rozpakowa\u0107 modu\u0142 do katalogu modules<\/em> serwera i mo\u017cna i\u015b\u0107 dalej. Nie b\u0119dzie to zawsze aktualna wersja, w chwili pisania tego tekstu gwizdn\u0105\u0142em go z binarki wersji 2.2.11. Wszystkie narz\u0119dzia ju\u017c mamy, jedziemy dalej.<\/p>\n

Generowanie certyfikatu<\/h3>\n

Zazwyczaj sytuacjs przedstawi si\u0119 tak, \u017ce nie b\u0119dziemy posiadali certyfikatu, trzeba go wi\u0119c wygenerowa\u0107 samodzielnie. Otwieramy wiersz polece\u0144 (cmd<\/em>), przechodzimy do katalogu, w kt\u00f3rym znajduje si\u0119 binarka openssl<\/em> (w przypadku Apache z SSL – \\Apache2.2\\bin<\/em>, samodzielne OpenSSL – \\OpenSSL\\bin<\/em>) i klepiemy dwa polecenia:<\/p>\n

openssl genrsa > server.pem
\nopenssl req -new -x509 -sha1 -days 365 -config ..\\conf\\openssl.cnf -key server.pem > server.crt<\/code><\/p>\n

I teraz ma\u0142a legenda. Je\u015bli korzystamy z osobnej instalki OpenSSL, to parametr -config ..\\conf\\openssl.cnf<\/em> sobie darujemy. Plik jest w tym katalogu, wi\u0119c nie ma problemu. \";)\"<\/p>\n

Kopiujemy teraz pliki server.pem<\/em> i server.crt<\/em> do katalogu conf<\/em> naszej instalki Apache.<\/p>\n

Aha, z tego powodu, i\u017c certyfikat jest w\u0142asnej produkcji, przegl\u0105darki b\u0119d\u0105 ostrzega\u0107 odpowiednim okienkiem przy ka\u017cdej sesji. W np. Operze mo\u017cna „zaufa\u0107” certyfikatowi przerzucaj\u0105c si\u0119 na drug\u0105 zak\u0142adk\u0119 w okienku ostrze\u017cenia i zaznaczaj\u0105c odpowiedni\u0105 opcj\u0119.<\/p>\n

\"niezaufany<\/a><\/p>\n

Konfiguracja<\/h3>\n

Teraz ju\u017c wsp\u00f3lnie dla obu wersji. Otwieramy w notatniku plik conf\/httpd.conf<\/em>. I namierzamy linijki:<\/p>\n

#LoadModule ssl_module modules\/mod_ssl.so
\n#Include conf\/extra\/httpd-ssl.conf<\/code><\/p>\n

I usuwamy #<\/em> z pocz\u0105tku linijek. Restart Apache… I po wpisaniu https:\/\/127.0.0.1<\/em> powinni\u015bmy ujrze\u0107 dumnie brzmi\u0105ce It works!<\/em>.<\/p>\n

Finito<\/h3>\n

Po klikni\u0119ciu odpowiedniej ikonki w przegl\u0105darce mo\u017cna si\u0119 upewni\u0107, \u017ce transmisja jest faktycznie szyfrowana:<\/p>\n

\"informacje<\/a><\/p>\n

Przedstawi\u0142em najprostszy spos\u00f3b na uaktywnienie szyfrowanej transmisji SSL pod Apache. Nie jest to, oczywi\u015bcie, idea\u0142, ale 256-bitowy AES<\/a> powinien zadowoli\u0107 nawet najbardziej przeczulonych na punkcie prywatno\u015bci. Fakt, certyfikat nie nale\u017cy do najbezpieczniejszych, ale sama transmisja powinna by\u0107 – na chwil\u0119 obecn\u0105, oczywi\u015bcie – niepods\u0142uchiwalna. \":)\"<\/p>\n

Wiadomo, do cel\u00f3w produkcyjnych jest to bardzo wst\u0119pny opis, ale na w\u0142asne potrzeby, czemu nie? \";)\" Zapraszam do dyskusji.<\/p>\n","protected":false},"excerpt":{"rendered":"

Wcze\u015bniej pisa\u0142em o instalowaniu Apache. Ok, (chyba) dzia\u0142a, ale nie ma opcji zestawiania po\u0142\u0105cze\u0144 poprzez SSL. Dzisiaj zajmiemy si\u0119 instalacj\u0105 wersji obs\u0142uguj\u0105cej po\u0142\u0105czenia szyfrowane. Tak naprawd\u0119, ca\u0142a czynno\u015b\u0107 nie jest szczeg\u00f3lnie trudniejsza od tej, do kt\u00f3rej zalinkowa\u0142em. Je\u015bli wszystko ruszy\u0142o z kopyta w wersji bez SSL, mo\u017cna powiedzie\u0107, \u017ce instalacja wersji obs\u0142uguj\u0105cej szyfrowanie oka\u017ce si\u0119 […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[12],"tags":[37,32,29],"_links":{"self":[{"href":"https:\/\/eriz.pcinside.pl\/weblog\/wp-json\/wp\/v2\/posts\/114"}],"collection":[{"href":"https:\/\/eriz.pcinside.pl\/weblog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eriz.pcinside.pl\/weblog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eriz.pcinside.pl\/weblog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/eriz.pcinside.pl\/weblog\/wp-json\/wp\/v2\/comments?post=114"}],"version-history":[{"count":0,"href":"https:\/\/eriz.pcinside.pl\/weblog\/wp-json\/wp\/v2\/posts\/114\/revisions"}],"wp:attachment":[{"href":"https:\/\/eriz.pcinside.pl\/weblog\/wp-json\/wp\/v2\/media?parent=114"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eriz.pcinside.pl\/weblog\/wp-json\/wp\/v2\/categories?post=114"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eriz.pcinside.pl\/weblog\/wp-json\/wp\/v2\/tags?post=114"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}