Keeping it simple, HTTPS eine Kombination aus den HTTP-und SSL / TLS-Protokolle, die Verschlüsselung bietet während der Authentifizierung des Servers. Die Hauptidee ist es, einen sicheren Kanal über ein unsicheres Netzwerk zu schaffen, gewährleisten “vernünftigen” Schutz vor Lauschangriffen und Man-in-the-Middle-Angriffe.
HTTPS davon aus, dass spezielle CA (Certificate Authority)-Zertifikate sind in Web-Browsern vorinstalliert. Wenn das SSL-Zertifikat ist nicht von einer dieser CAs signiert, zeigt der Browser eine Warnung aus.
TurnKey Geräte erzeugen selbst signierte Zertifikate beim ersten Start, um einen verschlüsselten Traffic Channel geben, sondern weil die Zertifikate nicht von einer vertrauenswürdigen CA signiert ist, wird die Warnung angezeigt. In den meisten Fällen ist dies akzeptabel. Wenn es nicht, gehen Sie ein signiertes Zertifikat.
Maßgebend Zertifikate kann teuer werden, zum Beispiel Gebühren Verisign (das bekannteste CA) 1.499 $ pro Jahr für ihre empfohlene Zertifikat. Es gibt billige Alternativen (Ich kaufte vor kurzem ein Zertifikat von Go Daddy für $ 12,99) sowie ein paar freie Anbieter.
An erster Stelle steht, um ein Zertifikat Schlüssel und ein Certificate Signing Request (CSR) zu erstellen. Dies kann mit OpenSSL durchgeführt werden.
apt-get update apt-get install openssl # replace bold type with your info openssl req -new -newkey rsa:2048 -nodes -out www_example_com.csr -keyout www_example_com.key -subj "/C=US/ST=Arizona/L=Scottsdale/O=Example Company Inc./CN=www.example.com"
Die oben erzeugt zwei Dateien, www_example_com.key und www_example.com.csr.
Sobald Sie sich für eine autoritativ Zertifikat signiert, werden Sie aufgefordert, die CSR-Datei oder ihrer Inhalte hochzuladen.
Die Zeichnungsberechtigung müssen die Gültigkeit des Antrags zu überprüfen, und dass es durch das Unternehmen, auf die die Domain in der Anfrage wird registriert, in der Regel durch Kontaktaufnahme mit dem administrativen Ansprechpartners für die Domain erfolgen eingereicht.
Weitere Schritte erforderlich bei der Beantragung einer Extended Validation (EV)-Zertifikat, das die Farbe der Adressleiste grün in neueren Browsern werden.
Nach der Validierung wird Ihr Zertifikat (CRT) zum Download zur Verfügung. Höchstwahrscheinlich Ihre Signatur-Stelle wird auch eine Zwischen-CA-Zertifikat-Paket (Kette des Vertrauens).
Hinweis: Sie sollten eine Sicherungskopie aller SSL zugehörigen Dateien zu machen.
Generieren Sie die pem aus dem Schlüssel-und CRT-
cat www_example_com.key www.example.com.crt > cert.pem
Setzen Sie den generierten pem und mittleren Bündel (zB bundle.crt) in / etc / ssl / certs /, und sie read-only root.
chown root:root *.pem *.crt chmod 400 *pem *.crt
Konfiguration aktualisieren, aktivieren Sie SSL und laden webserver
<VirtualHost *:443>
SSLEngine on
SSLCertificateFile /etc/ssl/certs/cert.pem
SSLCertificateChainFile /etc/ssl/certs/bundle.crt
</VirtualHost>
a2enmod ssl
/etc/init.d/apache2 force-reload
/etc/lighttpd/conf-available/10-ssl.conf
$SERVER["socket"] == "0.0.0.0:443" {
ssl.engine = "enable"
ssl.pemfile = "/etc/ssl/certs/cert.pem"
ssl.ca-file = "/etc/ssl/certs/bundle.crt"
}
lighty-enable-mod ssl
/etc/init.d/lighttpd force-reload