Я хотел бы преобразовать нашу экстранет, которая в настоящее время доступна через http, чтобы вместо этого использовать https. Сервер доступен только по его IP-адресу, доменное имя отсутствует.
Я ищу бесплатное решение для этого с помощью apache2.
Вы можете сделать это с помощью самоподписанного ssl-сертификата, однако важной частью сертификата является то, что это ключ. проверенный как принадлежащие организации доверенной третьей стороной. Подписывая свой собственный ключ, вы сводите на нет большую часть преимуществ безопасности, особенно для всех, кто посещает сайт, кроме вас.
Если кто-то, кроме вас, будет использовать сайт, вам следует приобрести сертификат и доменное имя - это можно сделать менее чем за 100 долларов в год.
Тем не менее, есть несколько вопросов, связанных с генерацией самоподписанного сертификата:
и с настройкой apache для работы с https
Что касается преобразования вашего сайта на https, это должно быть достаточно просто. Просто откажитесь от обслуживания по http и настройте apache для использования SSL и обслуживания вашей экстрасети по https. На самом сайте не должно быть ничего, что нужно делать. Вся настройка будет производиться на apache.
Что касается IP-адреса и доменного имени, вам нужно поговорить с тем, от кого вы получаете свой SSL-сертификат.
Есть много полезных документов и инструкций, вот начало:http://ubuntuforums.org/showthread.php?t=3657
-js
Скорее всего, у вас нет способа установить доверенный центр сертификации под каждый клиентский компьютер. Внутренне компании могут это сделать, но внешне сделать это немного сложнее.
Вы можете получить «настоящий» SSL-сертификат от GoDaddy за 29 долларов в год. При такой настройке пользователи получат SSL и не будут получать предупреждения системы безопасности.
Если вы подписываете сертификат самостоятельно, то, как правило, пользователи будут получать предупреждение при каждом посещении вашего сайта. Если вы научите пользователей игнорировать это предупреждение, вы потеряете большую часть смысла SSL. Если пользователь подключен через общедоступную точку доступа Wi-Fi, и кто-то перехватывает его трафик, единственное, что препятствует работе атаки типа «злоумышленник в середине», - это предупреждение о сертификате, которое получают пользователи. Книга Красивая безопасность есть хорошая глава, объясняющая, как это делается, и что можно не делать, чтобы этого не произошло.
В вашей конфигурации apache вам, вероятно, будет лучше всего перенаправить весь http-трафик на https. Один из способов сделать это - настроить два vhosts в конфигурации apache и иметь строку, похожую на
Redirect / https://your.site.tld
Вероятно, это лучше, чем отказываться от обслуживания не-https-трафика.
Как уже упоминали другие, его уже достаточно просто и бесплатно преобразовать в https только сервировка (или их комбинация). Apache можно настроить для использования mod_ssl вместе с сертификатом сервера. Самозаверяющий сертификат сервера можно создать с помощью openssl для его создания.
Однако все зависит от того, почему вы используете SSL. Если это просто зашифровать Во время сеанса самозаверяющий сертификат может быть в некоторой степени полезным, но он не остановит атаки типа «злоумышленник в середине». Вы хотите, чтобы клиентский браузер и веб-сервер доверяли друг другу.
Предполагая, что это что-то для использования сотрудниками вашей компании, существует свободно решение. Вы можете стать своим корневой ЦС и генерировать сертификаты как для сервера, так и для клиентов. Все, что необходимо, - это настроить клиентские браузеры на прием вашего собственного корпоративного центра сертификации в качестве доверенный CA, и это поможет устранить некоторые проблемы с аутентификацией.
Кроме того, вы можете настроить Apache для проверить все клиентские сертификаты и отвергать любое соединение от любого клиента, не имеющего действительного сертификата, подписанного вашим собственным корневым центром сертификации. Это может помочь создать механизм очень жесткого доверия. По сути, это устранит большинство атак.
Ответ Брианегге точен.
Вы можете самостоятельно подписать, если все, что вам нужно, - это преимущество шифрования, но это сложно сделать для пользователей. Купите сертификат от центра сертификации, который распознают браузеры, это более чем того стоит по сравнению с ухудшением, которое вызовет самоподписанный сертификат.