Certificação Digital no Linux - Apache2

Nesse artigo iremos explicar o conceito básico de certificação digital, mostraremos como se gera uma requisição de certificado, chaves privadas e públicas e configurações https do Apache2 para que nosso site possua certificado digital.

brunolimaq

Por Bruno Lima Queiroz em 03/04/2008

Hits: 166.147 Categoria: Linux Subcategoria: Internet

Parte 7: Efetuando testes

Vamos acessar nosso site via Browser:

https://meusite.com.br ou https://ipdomeusite.

Podemos verificar que no lado direito superior do Browser, vai aparecer um CADEADO, o que significa que nosso site usa SSL, clicando nele teremos todas as informações que usamos na geração do mesmo.

Caso na hora de abrir seu site apareça alguma mensagem dizendo que seu site não é seguro ou não foi possível achar sua CA, isso é normal caso você esteja usando um CA interna ou não registrada.

Agora iremos tratar de algumas particularidades.

Páginas do artigo

   1. Conceito geral
   2. Instalando o Open-SSL
   3. Instalando / Recompilando o Apache 2
   4. Gerando uma "Chave Privada"
   5. Gerando uma "Requisição de Certificado"
   6. Configurando o "Certificado Digital" emitido pela CA
   7. Efetuando testes
   8. Criando arquivo de Senha para inicialização do APACHE 2
   9. Mandando o "caminho" de acesso ao certificado via browser
   10. Criando um redirecionamento automático para HTTPS
   11. Criando script para inicialização automática
   12. Conclusão

Outros artigos deste autor

Introdução ao Personal Firewall (PF)

Instalação do Apache 2 no OpenSuSE 10.2

Ferramentas de detecção e NMAP

Integração Apache => Tomcat

Solução completa para Web Server usando Apache + SSL + MOD_JK + PHP + MySQL

Leitura recomendada

Sistema de Help Desk Ocomon em Ubuntu

Webconferência com OpenMeetings no Debian 5.0

Instalação do Apache 2 no OpenSuSE 10.2

Emuladores para seu sistema operacional

Configuração básica de rede + proxy Linux

Comentários

Disponivel para qualquer dúvida.

Att.,

Bruno Lima

#1 Comentário enviado por brunolimaq em 03/04/2008 - 12:43h

Disponivel para qualquer dúvida.

Att.,

Bruno Lima

Alteração feita de acordo com sua solicitação.

Em tempo gostaria de parabeniza-lo... Leitura interessante. Só acho que seria OpenSSL :D

#2 Comentário enviado por cvs em 03/04/2008 - 13:00h

Alteração feita de acordo com sua solicitação.

Em tempo gostaria de parabeniza-lo... Leitura interessante. Só acho que seria OpenSSL :D

Entendo, fiquei na dúvida, mas os conceitos sobre certificação falam mais forte.
Poderei fazer algo melhor no futuro, e usar o nome OpenSSL.
Obrigado.

#3 Comentário enviado por brunolimaq em 03/04/2008 - 13:03h

Entendo, fiquei na dúvida, mas os conceitos sobre certificação falam mais forte.
Poderei fazer algo melhor no futuro, e usar o nome OpenSSL.
Obrigado.

Gostei do artigo ... muito esclarecedor... e bem didático .. nota 10 .. e ja ta nos meus favoritos...

#4 Comentário enviado por julianjedi em 04/04/2008 - 10:55h

Gostei do artigo ... muito esclarecedor... e bem didático .. nota 10 .. e ja ta nos meus favoritos...

Muito interessante esse seu artigo. Há algum tempo venho procurando algo assim, mais ainda não tinha achado. Mais como sou "iniciante" ainda tenho algumas dúvidas. No meu caso quero fazer essa implementação pois no prédio onde moro nós dividimos uma rede wirelless, mais as vezes aparece algum conhecido que quer usar a rede e temos que ficar colocando senha, liberando o MAC no ap.. essas coisas, e por isso gostaria de usar esse método para "liberar" o acesso de pessoas na rede. Você teriam mais algum artigo que pudesse me ajudar?? Alguma outra leitura pra me indicar ?? Obrigado!

#5 Comentário enviado por caiogustavo15 em 04/04/2008 - 20:18h

Muito interessante esse seu artigo. Há algum tempo venho procurando algo assim, mais ainda não tinha achado. Mais como sou "iniciante" ainda tenho algumas dúvidas. No meu caso quero fazer essa implementação pois no prédio onde moro nós dividimos uma rede wirelless, mais as vezes aparece algum conhecido que quer usar a rede e temos que ficar colocando senha, liberando o MAC no ap.. essas coisas, e por isso gostaria de usar esse método para "liberar" o acesso de pessoas na rede. Você teriam mais algum artigo que pudesse me ajudar?? Alguma outra leitura pra me indicar ?? Obrigado!

Cara, parabéns, pelo artigo!!!!

#6 Comentário enviado por emarone em 04/04/2008 - 22:31h

Cara, parabéns, pelo artigo!!!!

Bruno, essa configuração funciona tambem em Kurumi e Slackware??

#7 Comentário enviado por jivago em 06/04/2008 - 10:50h

Bruno, essa configuração funciona tambem em Kurumi e Slackware??

Sim, funciona em qualquer distro, incluse em SOLARIS, basta termo o APACHE e o OPENSSL instalados.

Qualquer problema ou dúvida em outra distro, estou a disposição.

Att.,

Bruno Lima

#8 Comentário enviado por brunolimaq em 07/04/2008 - 12:32h

Sim, funciona em qualquer distro, incluse em SOLARIS, basta termo o APACHE e o OPENSSL instalados.

Qualquer problema ou dúvida em outra distro, estou a disposição.

Att.,

Bruno Lima

parabens pelo artigo! um assunto muito interessante a ser discutido... agradeço pelo tempo dedicado a esclarecer algumas duvidas :)

abraços!

#9 Comentário enviado por otaviozm em 08/04/2008 - 12:29h

parabens pelo artigo! um assunto muito interessante a ser discutido... agradeço pelo tempo dedicado a esclarecer algumas duvidas :)

abraços!

Para não pedir senha caso crie um certificado seguro, basta adicionar esse script em /etc/init.d

instale o interpretador expect com o comando:
apt-get install expect

ATENÇÃO: altere o valor <password> do conteúdo do script abaixo para a senha que vc criou na sua phrase do certificado.

# crie um arquivo chamado webserver em /etc/init.d

vi /etc/init.d/webserver

#!/bin/bash
# /etc/init.d/webserver
#
set -e
set -u
test -x /etc/init.d/apache2 || exit 0
. /lib/lsb/init-functions

case "${1:-''}" in
  'start')
        /usr/bin/expect -c '
        set force_conservative 0  ;# set to 1 to force conservative mode even if
        if {$force_conservative} {
                set send_slow {1 .001}
                proc send {ignore arg} {
                        sleep .1
                        exp_send -s -- $arg
                }
        }
        set timeout 2
        puts "\n"
        spawn /etc/init.d/apache2 start
        expect "phrase:"
        send "<password>\r"
        expect "OK"
        puts "\r"
        exit
        '
        ;;

  'stop')
        /etc/init.d/apache2 stop
        ;;

  'restart')
        /etc/init.d/apache2 stop
        sleep 5
        /etc/init.d/webserver start
        ;;
  'reload')
        /etc/init.d/apache2 reload
        ;;
  'force-reload')
        /etc/init.d/apache2 force-reload
        ;;
  *)
        echo "Usage: $SELF start|stop|restart|reload|force-reload"
        exit 1
        ;;
esac

ATENÇÃO: altere o valor <password> do conteúdo do script acima para a senha que vc criou na sua phrase do certificado.

salve e após dê permissão de escrita
chmod +x /etc/init.d/webserver


verifique qual level o seu linux está iniciando com o comando who -r
após entre no diretório do level correto em
/etc/rc<level>.d

renomeio o link do apache2 para K91apache2
mv /etc/rc<level>.d/S91apache2 ./K91apache2

após coloque o nosso script customizado para iniciar o apache2 sem pedir senha
ln -s /etc/init.d/webserver /etc/rc<level>.d/S92webserver

teste o script 
/etc/init.d/webserver stop
/etc/init.d/webserver start

# Boa Sorte! :)

#10 Comentário enviado por leows em 23/12/2008 - 11:03h

Para não pedir senha caso crie um certificado seguro, basta adicionar esse script em /etc/init.d

instale o interpretador expect com o comando:
apt-get install expect

ATENÇÃO: altere o valor <password> do conteúdo do script abaixo para a senha que vc criou na sua phrase do certificado.

# crie um arquivo chamado webserver em /etc/init.d

vi /etc/init.d/webserver

#!/bin/bash
# /etc/init.d/webserver
#
set -e
set -u
test -x /etc/init.d/apache2 || exit 0
. /lib/lsb/init-functions

case "${1:-''}" in
'start')
/usr/bin/expect -c '
set force_conservative 0 ;# set to 1 to force conservative mode even if
if {$force_conservative} {
set send_slow {1 .001}
proc send {ignore arg} {
sleep .1
exp_send -s -- $arg
}
}
set timeout 2
puts "\n"
spawn /etc/init.d/apache2 start
expect "phrase:"
send "<password>\r"
expect "OK"
puts "\r"
exit
'
;;

'stop')
/etc/init.d/apache2 stop
;;

'restart')
/etc/init.d/apache2 stop
sleep 5
/etc/init.d/webserver start
;;
'reload')
/etc/init.d/apache2 reload
;;
'force-reload')
/etc/init.d/apache2 force-reload
;;
*)
echo "Usage: $SELF start|stop|restart|reload|force-reload"
exit 1
;;
esac

ATENÇÃO: altere o valor <password> do conteúdo do script acima para a senha que vc criou na sua phrase do certificado.

salve e após dê permissão de escrita
chmod +x /etc/init.d/webserver

verifique qual level o seu linux está iniciando com o comando who -r
após entre no diretório do level correto em
/etc/rc<level>.d

renomeio o link do apache2 para K91apache2
mv /etc/rc<level>.d/S91apache2 ./K91apache2

após coloque o nosso script customizado para iniciar o apache2 sem pedir senha
ln -s /etc/init.d/webserver /etc/rc<level>.d/S92webserver

teste o script
/etc/init.d/webserver stop
/etc/init.d/webserver start

# Boa Sorte! :)

Você saberia como configurar o apache 2.2 para que ele peça o certificado do cliente para fechar conexão? 
Client Faz requisição -> Apache
Apache pede certificado de cliente. E por aí vai

#11 Comentário enviado por thiagoborn em 06/06/2012 - 22:59h

Você saberia como configurar o apache 2.2 para que ele peça o certificado do cliente para fechar conexão?
Client Faz requisição -> Apache
Apache pede certificado de cliente. E por aí vai

Parte 7: Efetuando testes

Páginas do artigo

Outros artigos deste autor

Leitura recomendada

Comentários

Contribuir com comentário