學會架網站也很多年了,但是以前都只跑 「http」。(當時也曾想過跑 https,不過因為不會設定,文件也看不懂,所以就擺著不管,反正日子也能過下去)
後來,因為機器過勞壞掉,停機停了約兩年,在今年重啟之時,心想~總得跟以前不一樣吧,總不能都不進步。(雖然真的沒什麼進步)
於是,就強迫自己的網站一定要跑 https 協定,就當作是前進一步的小小象徵吧!
而話說從頭,http 與 https 的差異在哪裡呢?
簡單講,差別在「加密傳輸」!(祕密話語術)
因為 網際網路 最初設計的關係,所有在網路上面跑的東西,任何人都可以看得到,擷取得到,就好像「學校的擴音廣播系統」,只要開始廣播(例如:教務處報告~,教務處報告~許xx老師,請快回教務處吃冰淇淋……),此時任何人都可以聽得到,這種設計很方便,但是~沒有隱私以及安全性可言。
但若有些事情不想讓其他不相關的人知道,而又得透過廣播系統傳遞的話,就只好加上代號(加密訊息)了。例如:教務處報告~,教務處報告~許xx老師,請「立馬手刀」回教務處…… ,這是代表趕快回來吃「冰淇淋」之意。
而此 代號(加密訊息)只有發出者與接收者知悉,就算別人聽到了,也不覺得有異。如此便可保障一定程度的隱私以及安全性。
同理延伸,http 的作業方式是將資訊直接在網路上傳遞。而 https 則是將資訊先加密再送出到網路上傳遞,目的也是為了保障一定程度的隱私以及安全性。
但因為網路上的機器與人太多,若大家都發展使用自己的 代號(加密訊息),反而會造成更多的紛爭與混亂,此時能有公平的機構出來為這些 代號(加密訊息)背書,便可以解決許多爭議問題。
所以,網站若要跑 https ,則需要兩個條件:「加密」與「憑證」(通常由公平機構發出,但得付費!)
搜尋與研究了一下網路文件,以我的程度而言,「【FreeBSD】Apache + SSL 憑證製作」這篇文章,我可以看得懂,於是我就依樣畫葫蘆了:
- 「加密」部份,使用 openssl 工具程式,來達成便可。($$ pkg install -y openssl )
- 「憑證」部份,有三種解法:
- 花錢買憑證
這個解法是最理想,但我卻是最不考慮,因為我不想花錢在這個地方,況且自己的網站,並沒有值錢到此地步。
但是政府公家機關,我則非常希望可以編經費去購買憑證,以維「公信」。
- 自己的憑證自己做,自己發!
根據,「【FreeBSD】Apache + SSL 憑證製作」這篇文章,整理了一下:
先修改一下 /etc/rc.conf
$$ vim /etc/rc.conf
## add apache24+SSL ##
apache24_enable="YES"
apache24_http_accept_enable="YES"
apache24_flags="-DSSL"
######################
開始製作「憑證」
$$ cd /etc/ssl
$$ cp openssl.cnf openssl.cnf.org
$$ mkdir certs crl newcerts private
$$ echo "01" > serial
$$ touch index.txt
$$ openssl rand 2048 > ./private/.rand
$$ chmod 600 ./private/.rand
###---openssl.conf 裡面這二行改一下-------####
$$ vim openssl.conf ### 修改 openssl.conf
dir = /etc/ssl
default_days = 3650
###---------------------------------####
###簽發一張 RootCA,CA 的期限設為 20 年
$$ openssl req -new -x509 -keyout private/cakey.pem -out cacert.pem -days 7305 -config openssl.cnf
##製作自己 Server 的憑證 (其實只是自己球員當裁判 :p)
$$ openssl req -nodes -new -x509 -keyout yowlab_key.pem -out yowlab_req.pem -days 365 -config openssl.cnf
$$ openssl x509 -x509toreq -in yowlab_req.pem -signkey yowlab_key.pem -out yowlab_tmp.pem
$$ openssl ca -config openssl.cnf -policy policy_anything -out yowlab_cert.pem -infiles yowlab_tmp.pem
####移動與整理檔案
$$ mv cacert.pem ./certs/ca.crt
$$ mv yowlab_cert.pem ./certs/server.crt
$$ mv yowlab_key.pem ./private/server.key
$$ mv ./private/cakey.pem ./private/ca.key
$$ rm -f yowlab_myreq.pem yowlab_tmp.pem
$$ chmod -R 400 private
修改設定「httpd.conf」
#### 啟用 ssl 功能 ####
LoadModule ssl_module libexec/apache24/mod_ssl.so
LoadModule rewrite_module libexec/apache24/mod_rewrite.so
Include etc/apache22/extra/httpd-ssl.conf
########################
#### 強迫一律轉向 ssl (https) #####
DocumentRoot "/usr/local/www/apache24/data"
RewriteEngine on
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R]
####################################
修改設定「http-ssl.conf」
# General setup for the virtual host
DocumentRoot "/usr/local/www/apache24/data"
ServerName yowlab.shps.kh.edu.tw:443
ServerAdmin chungyu@mail.edu.tw
ErrorLog "/var/log/httpd-error.log"
TransferLog "/var/log/httpd-access.log"
## ChungYu add ######
SSLCertificateFile "/etc/ssl/certs/server.crt"
######################
### ChungYu add ######
SSLCertificateKeyFile "/etc/ssl/private/server.key"
######################
### ChungYu add ######
SSLCertificateChainFile "/etc/ssl/certs/ca.crt"
######################
- 使用與找尋免費資源
自己做憑證真的是「很威」沒錯。但是,「瀏覽器們」就是不認識你,每次連線還是會跳「警告」,看久了,心情還是不甚美麗。
幸好,還是有些機構願意提供免費憑證服務,我則是參考了這篇文章:「SSL For Free 免費 SSL 憑證申請,使用 Let’s Encrypt 最簡單方法教學!」,到「 Let’s Encrypt 的數位憑證認證機構(CA)」去申請了免費憑證,設定好之後,連線時瀏覽器就再也不會跳「警告」訊息了。
若是要使用免費憑證,就要修改 /etc/rc.conf, /usr/local/etc/apache24/httpd.conf, /usr/local/etc/apache24/extra/httpd-ssl.conf, 三個檔案,其實是滿簡單的。
