呂阿谷的部落格

我們已經將很多資料放到家庭伺服器上供內外網路使用，目前仍是使用非加密連線存取資料，這對系統的安全是很有疑慮的，

進入owncloud 的管理頁面也會不斷提醒你非使用安全連線，這時候需要來改善系統的安全性了。

打造能使用SSL安全連線的網頁伺服器

現在要設定 web server的安全性設定很簡單，幾個步驟即能達成，

首先先安裝相關需要的工具，執行以下指令安裝網頁伺服器的SSL模組與 openssl 認證工具：

yum install mod_ssl openssl

現在要利用 OpenSSL 來產生一張自我簽署的憑證。如果你在一台生產用的伺服器上做這個動作，

你應該會想從一個被信賴的憑證機構取得一條金鑰，

但假若你只是用在一個私人網站上或 作測試之用，自我簽署的憑證已經足夠了。

要建立金鑰，你必須是 root 用戶。

先進入憑證所需的目錄，執行：

cd /etc/pki/tls/certs


 產生私鑰

openssl genrsa -out ca.key 2048


產生 CSR

openssl req -new -key ca.key -out ca.csr



產生自我簽署的金鑰

openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt


將csr檔案與key檔案搬到 /etc/pki/tls/private/ ，

範例中例的ca.key ca.csr ca.crt 只是示範，檔名可以隨自己喜好，例如bell.ley bell.csr bell.crt，

只要後面設定時能正確對應即可。

這時候相關憑證已正確l建立完畢，接下來修改ssl設定檔，

編輯 /etc/httpd/conf.d/ssl.conf


修改

SSLCertificateFile /etc/pki/tls/certs/ca.crt

SSLCertificateKeyFile /etc/pki/tls/private/ca.key


這裡的設定必須對應你前面所製造出來的認證金鑰名稱，如果你改用別的名字，

就要相對修改正確的路徑與檔案名稱。

修改完之後重新啟動httpd:

service httpd restart


剛才的設定即可生效。

這時可以利用瀏覽器開啟網頁，記得要用 https:// 這樣的開頭，表示這是ssl安全連線，

預設的port是443，如果你有使用防火牆，記得要將對應的port做設定，否則會連不到，

因為 port 被擋住了。



https://ip(or domain name)/owncloud/

登入你的自有雲，管理頁面的警告訊息不再出現，以後的連線盡量使用ssl比較安全。




參考資料：

centos 論壇

http://wiki.centos.org/zh-tw/HowTos/Https

鳥哥

http://linux.vbird.org/linux_server/0360apache.php#www_ssl_own