Zabezpečení webové komunikace je v současné době naprostou nutností. Použití SSL certifikátů k zašifrování datového toku mezi webovým serverem a klientem je zásadní pro ochranu citlivých informací, jako jsou hesla, údaje o platebních kartách a další osobní data.
Rozlišujeme dva hlavní typy SSL certifikátů:
1. Certifikáty s ověřeným podpisem: Tyto certifikáty vydávají certifikační autority (CA), například Let’s Encrypt, DigiCert nebo Comodo. Tyto CA ověřují identitu majitele webových stránek a vydávají certifikát, který je automaticky důvěryhodný pro všechny webové prohlížeče.
2. Samopodepsané certifikáty: Tyto certifikáty si generujete sami a nejsou potvrzené žádnou CA. Je proto nezbytné mít na paměti, že samopodepsané certifikáty nejsou automaticky považovány za důvěryhodné prohlížeči a uživatelé mohou být varováni před potenciálně nebezpečným připojením.
V tomto článku se budeme věnovat vytvoření samopodepsaného SSL certifikátu pro server Nginx na operačním systému Ubuntu. Ačkoliv tento typ certifikátu není ideální volbou pro produkční prostředí, může být velmi užitečný při testování, vývoji, nebo pro malé a nevýznamné webové projekty, kde bezpečnost není na prvním místě.
Postup pro vytvoření samopodepsaného SSL certifikátu
1. Instalace OpenSSL:
OpenSSL je bezplatný nástroj s otevřeným zdrojovým kódem, který se využívá k šifrování dat a ke generování SSL certifikátů. Pokud ho nemáte na svém systému nainstalovaný, proveďte instalaci pomocí následujících příkazů v terminálu:
sudo apt update
sudo apt install openssl
2. Generování soukromého klíče:
Soubory s klíči jsou důležité pro dešifrování dat a jsou tajné. Vytvořte nový soubor s klíčem pomocí příkazu:
sudo openssl genrsa -out server.key 2048
Tento příkaz vygeneruje 2048bitový klíč a uloží ho do souboru s názvem server.key.
3. Generování požadavku na certifikát (CSR):
CSR (Certificate Signing Request) obsahuje veškeré informace o vašem webu, které se využívají k ověření vaší identity. CSR vygenerujete pomocí následujícího příkazu:
sudo openssl req -new -key server.key -out server.csr
Během generování CSR budete vyzváni k vyplnění údajů o vašem webu, včetně názvu domény, lokality, organizace a kontaktních informací.
4. Generování samotného certifikátu:
Jakmile máte vygenerován CSR, můžete z něj vytvořit certifikát. To provedete následujícím příkazem:
sudo openssl x509 -req -in server.csr -signkey server.key -out server.crt -days 365
Tento příkaz vygeneruje certifikát s platností 365 dní.
5. Konfigurace Nginx:
Po vygenerování certifikátu ho musíte začlenit do konfigurace vašeho serveru Nginx. Otevřete konfigurační soubor Nginx (například /etc/nginx/sites-available/your-domain.conf) a vložte do něj následující bloky:
server {
listen 80;
server_name your-domain.com www.your-domain.com;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl;
server_name your-domain.com www.your-domain.com;
ssl_certificate /path/to/server.crt;
ssl_certificate_key /path/to/server.key;
}
Nezapomeňte nahradit your-domain.com vaší skutečnou doménou a ověřte, že cesty k souborům server.crt a server.key odpovídají skutečnému umístění vašich souborů.
6. Restart Nginx:
Po dokončení úprav konfigurace serveru Nginx je nutné webový server restartovat:
sudo systemctl restart nginx
Důležité informace
* Samopodepsané certifikáty nejsou implicitně důvěryhodné pro všechny webové prohlížeče. Uživatelům se mohou zobrazovat varovné zprávy a webová stránka tak může působit nedůvěryhodně.
* V produkčním nasazení je nutné použít certifikáty s ověřeným podpisem vydané certifikačními autoritami.
* Samopodepsané certifikáty jsou vhodné pro testování, pro menší weby s nižší prioritou zabezpečení nebo pro interní sítě, kde je klíčové především šifrování komunikace.
Závěr
V tomto článku jsme si ukázali, jak vygenerovat samopodepsaný SSL certifikát pro Nginx na Ubuntu. Tento typ certifikátu sice není optimální pro produkční prostředí, ale může být užitečný pro vývoj, testování nebo pro méně důležité projekty. Je ovšem nutné si uvědomit, že samopodepsané certifikáty nejsou považovány za důvěryhodné prohlížeči, a proto se uživatelům mohou zobrazovat varovné zprávy. Pokud chystáte provozovat web v produkčním prostředí, vždy se doporučuje používat certifikáty s ověřeným podpisem od renomovaných certifikačních autorit.
Často kladené otázky
1. Je vhodné používat samopodepsaný certifikát pro internetový obchod?
V žádném případě se samopodepsané certifikáty pro e-shopy a weby, které pracují s citlivými daty, nedoporučují. Pro tyto účely je nezbytné používat certifikát s ověřeným podpisem, který je důvěryhodný pro všechny prohlížeče.
2. Co se stane, když platnost samopodepsaného certifikátu vyprší?
Po vypršení platnosti vašeho samopodepsaného certifikátu se vaše webová stránka stane pro prohlížeče „nebezpečnou“ a uživatelé budou varováni před nebezpečným připojením. Je tedy nezbytné platnost certifikátu včas obnovit.
3. Jak si mohu ověřit platnost mého SSL certifikátu?
Pro ověření platnosti certifikátu můžete použít online nástroj na adrese https://www.sslshopper.com/ssl-checker.html. Stačí zadat adresu vašeho webu.
4. Co když mám na serveru Nginx více webových stránek?
Pokud v Nginx spravujete více webových stránek, musíte pro každou z nich vygenerovat samostatný SSL certifikát.
5. Jak mohu změnit dobu platnosti samopodepsaného certifikátu?
Pro změnu doby platnosti certifikátu použijte příkaz openssl x509 -req -in server.csr -signkey server.key -out server.crt -days <počet dní>. Místo <počet dní> zadejte požadovaný počet dní platnosti.
6. Je bezpečné používat samopodepsané certifikáty pro interní sítě?
Ano, v interních sítích lze samopodepsané certifikáty bezpečně používat, pokud je hlavním cílem šifrování komunikace a důvěryhodnost certifikátu není prioritou.
7. Je možné používat samopodepsané certifikáty pro mobilní aplikace?
Samopodepsané certifikáty se pro mobilní aplikace nedoporučují. Mobilní aplikace zpravidla vyžadují certifikáty s ověřeným podpisem, které jsou důvěryhodné pro všechna zařízení.
8. Jak vygenerovat samopodepsaný certifikát pro jiný webový server?
Postup pro vygenerování samopodepsaného certifikátu je pro všechny webové servery v podstatě stejný. Musíte jen upravit konfiguraci vašeho webového serveru a ujistit se, že soubory s certifikátem a klíčem jsou na správném místě.
9. Je nutné generovat samopodepsaný certifikát pro každou subdoménu?
Ano, pro každou subdoménu je nezbytné generovat samostatný certifikát.
10. Jaká je typická životnost samopodepsaného certifikátu?
Standardní životnost samopodepsaného certifikátu je 365 dní, ale můžete ji změnit pomocí příkazu openssl x509 -req -in server.csr -signkey server.key -out server.crt -days <počet dní>. Opět, <počet dní> nahraďte požadovaným počtem dní.
Klíčová slova: Nginx, Ubuntu, SSL, bezpečnost, certifikát, samopodepsaný certifikát, OpenSSL, šifrování, webový server, konfigurace