Apache 2.0 với giao thức
SSL/TLS: Hướng dẫn
từng bước (tiếp Phần I)

Cấu hình SSL/TLS

Trước khi chạy Apache lần đầu tiên, chúng ta cũng cần cung cấp cấu h
ình ban
số nội dung web mẫu. Ít nhất, chúng ta cần theo các bước sau (như là Root):

1. Tạo một số nội dung web mẫu mà sẽ được đáp ứng qua SSL/TLS:
umask 022
mkdir /www
echo " \
Test works." > /www/index.html
chown -R root:sys /www
2. Thay thế file cấu hình Apache mặc định (thông thường được tìm thấy
trong/usr/local/apache2/conf/httpd.conf) bằng một cái mới, dùng n
ội dung sau (tối
toàn và sự thực thi):
# =================================================

# Basic settings
# =================================================

User apache
Group apache
ServerAdmin
ServerName www.seccure.lab


# Access control
# ================================================= Options None
AllowOverride None
Order deny,allow
Deny from all Order allow,deny
Allow from all # =================================================

# MIME encoding
# ================================================= TypesConfig /usr/local/apache2/conf/mime.types

DefaultType text/plain

AddEncoding x-compress .Z
AddEncoding x-gzip .gz .tgz
AddType application/x-compress .Z
AddType application/x-gzip .gz .tgz
AddType application/x-tar .tgz

SSLEngine on
SSLOptions +StrictRequire SSLRequireSSL SSLProtocol -all +TLSv1 +SSLv3
SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM

SSLMutex file:/usr/local/apache2/logs/ssl_mutex

SSLRandomSeed startup file:/dev/urandom 1024
SSLRandomSeed connect file:/dev/urandom 1024

SSLSessionCache shm:/usr/local/apache2/logs/ssl_cache_shm
SSLSessionCacheTimeout 600

SSLPassPhraseDialog builtin
SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt
SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/server.key
SSLVerifyClient none
SSLProxyEngine off AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl SetEnvIf User-Agent ".*MSIE.*" \

/usr/local/apache2/bin/apachectl startssl
Apache/2.0.52 mod_ssl/2.0.52 (Pass Phrase Dialog)
Some of your private key files are encrypted for security reasons.
In order to read them you have to provide us with the pass phrases.

Server 127.0.0.1:443 (RSA)
Enter pass phrase:*************

Ok: Pass Phrase Dialog successful.
Sau khi máy ch
ủ bắt đầu, chúng ta có thể cố gắng kết nối tới nó bằng cách trỏ v
một đường dẫn URL có dạng: ver (trong trư
ờng hợp của chú
là)

Trong một vài phút, chúng ta s
ẽ thấy cảnh báo nói rằng có vấn đề với việc kiểm chứng sự xác nhận
web server chúng ta muốn truy cập. Minh hoạ trong hình 3 là m
ột ví dụ từ MS Internet Explorer 6.0.

Hình 3. Cảnh báo trước của IE 6.0.
Sự xuất hiện của cảnh báo trên đúng một cách hoàn hảo! Chúng ta nên nh
ận cảnh báo n
do sau:
 Web browser không biết Certificate Authority (quyền hạn chứng chỉ), đ
ư
chứng chỉ của web server (và không thể biết, bởi vì chúng ta đang dùng ch
ứng chỉ tự kí
certificate).
 CN (Common Name) – Tên chung đư

CONNECTED(00000003)
depth=0 /CN=Test-Only Certificate
verify error:num=18:self signed certificate
verify return:1
depth=0 /CN=Test-Only Certificate
verify return:1

Certificate chain
0 s:/CN=Test-Only Certificate
i:/CN=Test-Only Certificate

Server certificate
BEGIN CERTIFICATE
MIICLzCCAZigAwIBAgIBADANBgkqhkiG9w0BAQQFADAgMR4wHAYDVQQDExVUZXN0
LU9ubHkgQ2VydGlmaWNhdGUwHhcNMDQxMTIyMTg0ODUxWhcNMDQxMjIyMTg0ODUx
WjAgMR4wHAYDVQQDExVUZXN0LU9ubHkgQ2VydGlmaWNhdGUwgZ8wDQYJKoZIhvcN
AQEBBQADgY0A
MIGJAoGBAMEttnihJ7JpksdToPi5ZVGcssUbHn/G+4G43OiLhP0i
KvYuqNxBkSqqM1AanR0BFVEtVCSuq8KS9LLRdQLJ/B1UTMOGz1Pb14WGsVJS+38D
LdLEFaCyfkjNKnUgeKMyzsdhZ52pF9febB+d8cLmvXFve28sTIxLCUK7l4rjT3Xl
AgMBAAGjeTB3MB0GA1UdDgQWBBQ50isUEV6uFPZ0L4RbRm41+i1CpTBIBgNVHSME
QTA/gBQ5
0isUEV6uFPZ0L4RbRm41+i1CpaEkpCIwIDEeMBwGA1UEAxMVVGVzdC1P
bmx5IENlcnRpZmljYXRlggEAMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEEBQAD
gYEAThyofbK3hg8AJXbAUD6w6+mz6dwsBmcTWLvYtLQUh86B0zWnVxzSLDmwgdUB
NxfJ7yfo0PkqNnjHfvnb5W07GcfGgLx5/U3iUROObYlwKlr6tQzMoysNQ/YtN3pp
52sGsqaOOWpYlAGOaM8j57Nv/eXogQnDRT0txXqoVEbunmM=
END CERTIFICATE
subject=/CN=Test-Only Certificate
issuer=/CN=Test-Only Certificate

Connection: close
Content-Type: text/html Test works.
closed
Chức năng s_client có nhiều tuỳ chọn hữu ích. Chẳng hạn như tắt/mở (on/off
) m
(-ssl2 , -ssl3, -tls1). Sau đó khởi động lại Apache và ki
ểm tra các file đăng nhập
(/usr/local/apache2/logs/) để có thêm thông tin.

Chúng ta cũng có thể dùng Ethereal hoặc ssldump. Chúng ta có th
ể xem một cách thụ động các
thông báo Handshake của SSL, và cố gắng tìm ra lí do l
ỗi nếu không có những công cụ n

Một màn hình nhỏ thực thi việc này trên Ethereal được mô tả trong hình 6.

Hình 6. Màn hình Ethereal với phương thức SSL Handshake.
Kết luận phần I

Việc cài đặt và chạy Apache 2 secure cùng giao thức SSL và m
ột chứng chỉ mẫu đ
một của loạt bài này. Trong phần hai tới các bạn sẽ đư
ợc giới thiều về các thiết lập
thực thi cho mod_ssl, cũng như tiến trình tạo ra một chứng chỉ web server ph
ù h