Configuração de SSL/TLS no Apache do CentOS 7

Se você seguiu as instruções detalhadas em Instalação do Apache, PHP e MySQL (MariaDB) no CentOS 7, sua instalação está pronto e funcionando mas não está segura: conexões SSL/TLS não estão habilitadas.

Por padrão o Apache do CentOS 7 não habilita o SSL. Para isso, siga as instruções abaixo.

Verifique se o sistema está atualizado (como root):

# yum check-update
# yum update

Agora instale o mod_ssl e o OpenSSL:

# yum install mod_ssl openssl

Isso criará o arquivo /etc/httpd/conf.d/ssl.conf com as configurações do SSL/TLS. Um problema nesse arquivo é que ele habilita protocolos SSL antigos que já não são seguros: SSLv2 e SSLv3. Devemos desabilitar esses protocolos não seguros e habilitar somente os protocolos seguros TLSv1.1 e TLSv1.2 (se você tem alguma aplicaçãoantiga que não funciona bem com esses protocolos mais novos, habilite também o TLSv1.0). Siga os passos abaixo.

Edite o arquivo /etc/httpd/conf.d/ssl.conf e procure por todas as ocorrências da variável SSLProtocol e deixe da seguinte maneira (se você configurou essa variável em algum virtual host, também deve alterar essa variável na configuração do virtual host!):

SSLProtocol -all +TLSv1.1 +TLSv1.2

Agora reinicie o Apache:

# systemctl restart httpd.service

Se tudo correu bem, o SSL/TLS está habilitado em seu Apache. Por padrão o CentOS gera um certificado auto-assinado com informações genéricas. Temos que criar um outro certificado auto-assinado com informações mais específicas, ou obter um certificado comercial válido na internet (via Comodo, Geotrust, VeriSign, etc.).

Para criar um certificado auto-assinado temos que instalar o pacote crypto-utils:

# yum install crypto-utils

O pacote crypto-utils contém utilitários para criar, manter e gerenciar certificados e chaves privadas, incluindo o utilitário “genkey” da RedHat, que gera o par de chaves e o certificado (nos diretórios /etc/pki/tls/private  e /etc/pki/tls/certs).

Para gerar o certificado e a chave com o utilitário genkey, faça o seguinte (ATENÇÃO! Não execute esse utilitário via SSH pois ele precisa gerar números aleatórios com o dispositivo /dev/random que precisa de movimentos de teclado, mouse, etc. para gerar entropia suficiente para a geração dos números aleatórios; se você rodar esse comando por SSH, não vai terminar nunca!):

Chame o genkey, como root, passando como parâmetro o nome do servidor que utilizará o certificado:

# genkey www.smsaude.com.br

Inicialmente o genkey informará em quais arquivos salvará o certificado e a chave (figura abaixo). Basta clicar next.

genkey passo 01

Depois o genkey solicitará o tamanho da chave. Aceite o padrão de 2048 bits e clique em next:

genkey passo 02

Agora o genkey gerará alguns bits aleatórios (isso não deverá demorar muito):

genkey passo 03

E agora o genkey gerará números aleatórios através do /dev/random. Digite no teclado, movimente o mouse (se for o caso), utilize o disco, enfim: faça qualquer coisa para gerar entropia suficiente para o gerador de números aleatórios (caso contrário esse processo não terminará nunca):

genkey passo 04

Agora o genkey perguntará se você deseja gerar uma solicitação de assinatura para uma autoridade certificadora válida (Comodo, Geotrust, VeriSign, etc.). Se você digitar YES o genkey não gerará um certificado, somente uma solicitação para ser enviado à autoridade certificadora; Se você ditiar NO o genkey gerará um certificado auto-assinado. No nosso caso, escolha a opção NO:

genkey passo 05

Agora o genkey pergunta se a chave privada deverá ser criptografada. ATENÇÃO: se você criptografar a chave privada e gerar uma senha para ela, toda vez que o servidor ou o Apache for reiniciado, a senha do certificado será solicitada; se você não criar uma senha, o sistema não solicitará a senha da chave do certificado no momento do reboot do sistema, mas se alguém invadir seu servidor, poderá obter a chave. Em nosso caso, continue SEM criptografar a chave (não marque a opção):

genkey passo 06

Agora preencha as informações do certificado (não use acentos ou caracteres especiais!):

genkey passo 07

Agora o genkey irá rodar rapidamente e gerar os arquivos solicitados: a chave (www.smsaude.com.br.key – root:root; 400) será gerada no diretório /etc/pki/tls/private e o certificado (www.smsaude.com.br.crt – root:root 640) será gerado no diretório /etc/pki/tls/certs.

Para fazer o Apache usar o novo certificado e chave, altere o arquivo /etc/httpd/conf.d/ssl.conf e aponte os novos arquivos nas variáveis abaixo (se essas configurações estão em algum virtual host, ajuste de acordo):

SSLCertificateFile /etc/pki/tls/certs/www.smsaude.com.br.crt
SSLCertificateKeyFile /etc/pki/tls/private/www.smsaude.com.br.key

Agora basta reiniciar o Apache:

# systemctl restart httpd.service

Se nenhum erro ocorreu, o Apache já está usando os certificados novos. Obviamente, como o certificado é auto-assinado, os browsers reclamarão dizendo que a conexão não é segura. Basta aceitar o certificado no browser (ou então, pagar um certificado válido).

431 thoughts on “Configuração de SSL/TLS no Apache do CentOS 7”

  1. Pingback: Google
  2. Pingback: Fokus Lens
  3. Pingback: configuraciones
  4. Pingback: 100% kona coffee
  5. Pingback: click here
  6. Pingback: Email Archiving
  7. Pingback: Swissvax Constance
  8. Pingback: waterproof vibe
  9. Pingback: best kona coffee
  10. Pingback: lion kona coffee
  11. Pingback: sex toys
  12. Pingback: chubby vibrator
  13. Pingback: Sex Toys Review
  14. Pingback: mini wand vibrator
  15. Pingback: social
  16. Pingback: adidas nmd
  17. Pingback: Xvideo
  18. Pingback: web hosting
  19. Pingback: coisas de bebe
  20. Pingback: sex toy
  21. Pingback: strapon dildo
  22. Pingback: suction base dildo
  23. Pingback: bunny vibrator
  24. Pingback: kona coffee
  25. Pingback: ريبل
  26. Pingback: digital marketing
  27. Pingback: safety grip
  28. Pingback: adult toy store
  29. Pingback: adam n eve coupons
  30. Pingback: Sripatum
  31. Pingback: nipple vibrator
  32. Pingback: sex paddle
  33. Pingback: senegal journaux
  34. Pingback: SEO 2018
  35. Pingback: whiplash treatment
  36. Pingback: 7 inch dildo
  37. Pingback: Huge dildo
  38. Pingback: Pinganillo
  39. Pingback: gold necklace
  40. Pingback: webshop
  41. Pingback: sex movie
  42. Pingback: incest porn sites
  43. Pingback: sex movie
  44. Pingback: incestu porno
  45. Pingback: incest 3d toons
  46. Pingback: mom son porn
  47. Pingback: mothersonporn
  48. Pingback: mature incest porn
  49. Pingback: mom taboo video
  50. Pingback: spy on sister porn
  51. Pingback: insest porn sister
  52. Pingback: sex toys
  53. Pingback: Comic Porn Incest
  54. Pingback: 3d Porn Incest
  55. Pingback: Cartoon Porn Tgp
  56. Pingback: Mother 3d Incest
  57. Pingback: Xxx Toon Incest
  58. Pingback: Cartoon Tgp
  59. Pingback: Incest Videos 3d
  60. Pingback: Incest Toons
  61. Pingback: Teen Incest Comic
  62. Pingback: 3d Force Porn
  63. Pingback: Young 3d Pics
  64. Pingback: Porno Family 3d
  65. Pingback: Incest 3d Videos
  66. Pingback: Momsonvideos 3d
  67. Pingback: double vibrator
  68. Pingback: Real Incest Comics
  69. Pingback: vacancy in haryana
  70. Pingback: giant dildo
  71. Pingback: Best Anal Plug
  72. Pingback: real incest anal
  73. Pingback: wand massager
  74. Pingback: buy womanizer pro
  75. Pingback: Samsung
  76. Pingback: paid surveys 2018
  77. Pingback: lifelike sex dolls
  78. Pingback: beginner strap on
  79. Pingback: sex toys for clit
  80. Pingback: ขายผ้า
  81. Pingback: Vibrator
  82. Pingback: Penis enhancer
  83. Pingback: bathmate pump
  84. Pingback: mumbai police
  85. Pingback: Hot Tube
  86. Pingback: vibe rabbit
  87. Pingback: drawn sex comics
  88. Pingback: incest 3d
  89. Pingback: 美容外科
  90. Pingback: Incest Comics
  91. Pingback: womens clothes
  92. Pingback: Extra resources
  93. Pingback: Check Out Your URL
  94. Pingback: allie sin
  95. Pingback: 3d Mom Son
  96. Pingback: 3d Incest Comics
  97. Pingback: Incest 3d Family
  98. Pingback: nashville hotels
  99. Pingback: Teen Incest Comics
  100. Pingback: 3d Mother Son Porn
  101. Pingback: 3d Young Pics
  102. Pingback: Panjab Police
  103. Pingback: Fotógrafo
  104. Pingback: Throwback music
  105. Pingback: xnxx.com
  106. Pingback: earrings jewellery
  107. Pingback: Online Boutique
  108. Pingback: kona coffee bean
  109. Pingback: K coffee
  110. Pingback: خرید vpn
  111. Pingback: خرید vpn
  112. Pingback: خرید vpn
  113. Pingback: خرید کریو
  114. Pingback: Kon coffee
  115. Pingback: persian setar
  116. Pingback: خرید vpn
  117. Pingback: نصب آنتن
  118. Pingback: helicopter tour
  119. Pingback: a knockout post
  120. Pingback: سئو
  121. Pingback: best coffee beans
  122. Pingback: 100 kona coffee
  123. Pingback: خرید vpn
  124. Pingback: coffee
  125. Pingback: خرید vpn
  126. Pingback: خرید vpn
  127. Pingback: خرید کریو
  128. Pingback: my response
  129. Pingback: خرید vpn
  130. Pingback: rsync hacks
  131. Pingback: خرید VPN
  132. Pingback: tam
  133. Pingback: خرید vpn
  134. Pingback: Rbx.place
  135. Pingback: اثاث
  136. Pingback: virtual server
  137. Pingback: خرید vpn
  138. Pingback: گوگل adwords
  139. Pingback: خرید vpn
  140. Pingback: Belize city inn
  141. Pingback: گوگل adwords
  142. Pingback: گوگل adwords
  143. Pingback: 脱毛
  144. Pingback: gym hero
  145. Pingback: گوگل adwords
  146. Pingback: vpn
  147. Pingback: SEO Mauritius
  148. Pingback: persian tar
  149. Pingback: گوگل adwords
  150. Pingback: داهوا
  151. Pingback: cheap domain names
  152. Pingback: خرید vpn
  153. Pingback: خرید vpn
  154. Pingback: خرید vpn
  155. Pingback: سیستم cctv
  156. Pingback: سیستم cctv
  157. Pingback: خرید vpn
  158. Pingback: خرید طلا
  159. Pingback: mp3 songs
  160. Pingback: Phone Whoelsale
  161. Pingback: سیستم cctv
  162. Pingback: خرید طلا
  163. Pingback: خرید vpn
  164. Pingback: gratis inserate
  165. Pingback: خرید vpn
  166. Pingback: nipple tassels
  167. Pingback: سیستم cctv
  168. Pingback: خرید vpn
  169. Pingback: drivers hp

Leave a Reply