چطور یک سرور آپاچی با استفاده از یک گواهینامه رایگان SSL بر روی سرور مجازی ایجاد کنیم؟

برای شروع، StartSSL.com را جستجو کنید و با استفاده از نوار ابزار در سمت چپ به سمت محصولات StartSSL بروید و سپس StartSSL™ رایگان را انتخاب کنید. از بالای صفحه لینکی را برای صفحه کنترل(control panel) انتخاب کنید.

مطمئن شوید که از گوگل کروم استفاده می کنید

  1.  گزینه ی Express Signup را انتخاب کنید.
  2.  اطلاعات شخصی خود را وارد کنید و ادامه را بزنید.
  3. .شما یک ایمیل حاوی یک کد تاییدیه ی کوتاه دریافت خواهید کرد. ایمیل را کپی کنید و در فرم موجود در صفحه ی StartSSL بچسبانید.
  4.  آن ها درخواست شما برای گواهی را بررسی خواهند کرد و سپس ایمیلی حاوی اطلاعات جدید برای شما می فرستند. این فرآیند ممکن است تا ۶ ساعت طول بکشد، پس صبور باشید.
  5.  زمانی که ایمیل دریافت شد، از لینک ارائه شده و کد تأیید هویت جدید( در پایین ایمیل) برای رفتن به مرحله ی بعد استفاده کنید.
  6.  آن ها از شما می خواهند تا یک رمز شخصی ایجاد کنید و شما این امکان را دارید تا رمز ضعیف تا قوی را ایجاد کنید. گزینه ی قوی را انتخاب کنید و پیش بروید.
  7.  زمانی که رمز شما آماده شد گزینه ی نصب کردن را بزنید.
  8.  گوگل کروم یک پیام popdown را نشان می دهد که می گوید گواهی به درستی بر روی کروم نصب شد.
  9. این بدین معناست که مرورگر شما در حال حاضر با گواهینامه جدید شما را تصدیق می کند و شما می توانید با استفاده از گواهی جدید وارد محدوده ی احراز هویت StartSSL شوید. حالا، ما به راه اندازی یک
  10. فرمت صحیح از گواهی نامه برای استفاده بر روی سرور مجازی شما نیاز داریم. دوباره بر روی لینک صفحه کنترل کلیک کنید و گزینه های تایید را انتخاب کنید. اگر شما بخواهید از گواهی استفاده کنید کروم از شما سوالی را خواهد پرسید و تنها گواهی ای را که شما نصب کرده اید نشان خواهد داد. ادامه دهید و بااستفاده از آن گواهی تاییدیه را انجام دهید تا وارد صفحه کنترل شوید. شما برای اثبات مالکیت دامنه ی خود که برای راه اندازی گواهی نامه استفاده می کنید، به اعتبار دادن به دامنه ی خود نیاز خواهید داشت. روی گزینه ی تاییدیه در صفحه کنترل کلیک کنید و نام دامنه ی تاییدیه را تایپ کنید. شما این اجازه را دارید تا از نام یک ایمیل بر روی دامنه اتان استفاده کنید. چیزی مانند postmaster@yourdomain.com

10

 

نصب تاییدیه نصب گواهی نامه جعبه ابزار

نصب تاییدیه را انتخاب کنید

 

  • نوع و ویژگی تاییدیه ای را که می خواهید انجام دهید انتخاب کنید.
  • توجه داشته باشید که ممکن است شما نیاز به دسترسی فوری به آدرس ایمیل خود داشته باشید.

 

تایپ کنید: نام دامنه ی تاییدیه

 

صندوق ورودی ایمیلی را که آدرس داده اید چک کنید. شما ایمیل احراز هویتی در آدرس خود دریافت خواهید کرد، همانند گذشته کد تاییدیه را کپی کنید و در سایت StartSSL بچسبانید.
بعد، به نوار نصب گواهی بروید و انتخاب کنید تا گواهی SSL/TLS سرور سایت را بسازید.

 

20

 

هدف گواهی: گواهی SSL/TLS سرور سایت
ادامه را بزنید و یک رمز عبور ایمن را وارد کنید، تنظیمات دیگر را ترک کنید.
یک جعبه نوشتاری شامل رمز شخصی شما به شما نشان داده خواهد شد. جزییات را کپی کنید و در یک ویرایشگر متن بچسبانید و اطلاعات را در فیلی با نام ssl.key. ذخیره کنید.

 

30

 

ذخیره سازی رمز شخصی
• جزییات داخل جعبه را کپی و در فایلی با نام ssl.key. ذخیره کنید.
• اطمینان حاصل کنید که جزییات را تغییرنداده باشید یا فاصله ننداخته باشید. آن را با فرمت ASCII ذخیره کنید.
• فقط حروف و اعداد به جز فاصله مجاز می باشند.
• رمزتان را با استفاده از برنامه ی سودمند OpenSSL کشف کنید.

 

وقتی که شما بر روی ادامه کلیک کنید از شما سوال خواهد شد که می خواهید برای کدام دامنه گواهی بسازید؟

 

40
اضافه کردن دامنه
• نام دامنه ی هدف برای گواهی خود را انتخاب کنید.
• نکته: تنها نام دامنه هایی که حداکثر تا ۳۰ روز قبل تایید شده اند می توانند انتخاب شوند.

دامنه

 

دامنه ی خود را انتخاب و به مرحله ی بعد بروید.
از شما پرسیده می شود کدام زیر دامنه را برای گواهی خود می خواهید. در اکثر موارد شما می توانید www here را انتخاب کنید، اما اگر خواستید یک زیر دامنه ی با SSL متفاوت استفاده کنید بجای آن that here را وارد کنید:

 

50

 

 

اضافه کردن دامنه
• شما باید یک زیر دامنه به این گواهی اضافه کنید.
• دامنه ی اصلی شامل برخی پیشفرض ها در بخش تغییر نام خواهد بود.
• توجه: جهت اضافه کردن چندین دامنه و زیر دامنه، شناسه ی شما حداقل باید مورد تایید کلاس ۲ باشد. وضعیت خود را در ” کارت شناسه” بررسی کنید.
StartSSL شما را با گواهی جدیدتان در یک جعبه متن فراهم می کند، همانگونه که آن را برای رمز خصوصی انجام داد:

ذخیره کردن گواهینامه
• در جعبه نوشتاری زیر پم (PEM) رمزی شده گواهینامه شما موجود است.
• جزییات را کپی و در فایلی با نام SSL.Crt بچسبانید.
• اطمینان حاصل کنید که جزییات را تغییرنداده باشید یا فاصله ننداخته باشید. آن را با فرمت ASCII ذخیره کنید.

همچنین گواهینامه های میانی (Intermediate) و ریشه ای (root) را برای نصب بر روی سرور خود ذخیره کنید.
پایان
دوباره کپی کنید و آن را در یک ویرایشگر متن بچسبانید. این بار آن را SSL.Crt ذخیره کنید.
شما همچنین به منظور اعتبار وب سایت خود به StartCom Root CA و StartSSL کلاس ۱نیاز خواهید داشت. بنابراین برای مرحله ی آخر به داخل جعبه ابزار بروید و گواهینامه ی StartCom را انتخاب کنید.

 

60

 

 

ذخیره کردن گواهینامه
• در جعبه نوشتاری زیر پم (PEM) رمزی شده گواهینامه شما موجود است.
• جزییات را کپی و در فایلی با نام SSL.Crt بچسبانید.
• اطمینان حاصل کنید که جزییات را تغییرنداده باشید یا فاصله ننداخته باشید. آن را با فرمت ASCII ذخیره کنید.

همچنین گواهینامه های میانی (Intermediate) و ریشه ای (root) را برای نصب بر روی سرور خود ذخیره کنید.
پایان
در این صفحه راست کلیک کرده و دو فایل را ذخیره کنید:
• StartCom Root CA ( PEMرمزی شده) (در ca.pem ذخیره کنید)
• سرور CA میانی( Intermediate) ( در sub.class1.server.ca.pem ذخیره شود)

 

به دلایل امنیتی، StartSSL کلید خصوصی شما را رمز گذاری می کند( فایل ssl.key). اما سرور سایت شما برای مدیریت کردن رمز گذاری در سایت شما به نسخه ی بدون رمز آن(آشکار آن) احتیاج دارد. برای بدون رمز کردن آن، آن را در سرور خود کپی کنید و از دستور زیر برای کشف کردن رمز آن(آشکار کردن آن) استفاده کنید:

openssl rsa -in ssl.key -out private.key

رمزتان را از شما خواهد خواست، بنابراین این را در رمزی که برای سایت تایپ کرده اید وارد کنید. OpenSSL
در این مرحله شما باید ۵ فایل داشته باشید. اگر شما هر یک را ندارید، دوباره مراحل قبل را بررسی و موارد زیر را دوباره دانلود کنید:
• گواهینامه ی ریشه – ca.pem – StartSSL’s Root certificate
• کلید خصوصی – نسخه ی رمز گذاری نشده ی کلید خصوصی( مواظب باشید شخص دیگری به این فایل دسترسی نداشته باشد)

• گواهینامه ی میانی برای StartSSL – sub.class1.server.ca.pem

• نسخه ی رمز گذاری شده ی کلید شما(نیاز به کپی کردن در سرور نیست) – ssl.key

• گواهینامه ی جدید شما – SSL.Crt

شما می توانید فایل ssl.key را دور بیندازید. اگر شما بقیه را در سرور خود کپی نکرده اید، آن ها را در اینجا کپی کنید:

 scp {ca.pem,private.key,sub.class1.server.ca.pem,ssl.crt} YOURSERVER:~

فعال سازی گواهینامه در آپاچی

 داشتن یک گواهینامه ، اگر نتوانید واقعا ازآن استفاده کنید، خوب نیست. این بخش توضیح می دهد که چگونه یک آپاچی را برای استفاده از یک گواهینامه ی جدید SSL پیکربندی کنیم. این دستورالعمل ها برای آپاچی در حال اجرا در نسخه های اخیر از VPS اوبونتو هستند. برای دیگر توزیعهای مبتنی بر لینوکس و یا وب سرور، شما باید منطبق بر آن ها تنظیم کنید.

ابتدا، پوشه هایی را که ما در آن ها کلیدها را ذخیره می کنیم بسازید. مدل Apache’s SSL را تهیه کنید و آپاچی را مجدد شروع کنید:

sudo a2enmod ssl
sudo service apache2 restart
sudo mkdir -p /etc/apache2/ssl
 
sudo mkdir -p /etc/apache2/ssl
cp ~/{ca.pem,private.key,sub.class1.server.ca.pem,ssl.crt} /etc/apache2/ssl

اجرا:

 ls /etc/apache2/ssl

و آن را باید بازگشت داد:

ca.pem
ssl.crt
private.key
sub.class1.server.ca.pem

اکنون، فایل پیکر بندی آپاچی ۲ را باز کنید. مگر اینکه شما در حال حاضر این تنظیمات پیش فرض را اصلاح کرده باشید، وارد کنید:

 nano /etc/apache2/sites-enabled/000-default

باید چیزی شبیه به این شود:

ساختارهای بالا را از به کپی کنید. آن را زیر مورد موجود بچسبانید و خط بالا را از

به

<VirtualHost *:443> 

تغییر دهید.
و خط های زیر را بعد از مورد بالا اضافه کنید:

SSLEngine on                                                                
SSLProtocol all -SSLv2                                                      
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM                
 
SSLCertificateFile /etc/apache2/ssl/ssl.crt                          
SSLCertificateKeyFile /etc/apache2/ssl/private.key                        
SSLCertificateChainFile /etc/apache2/ssl/sub.class1.server.ca.pem

نتیجه ی نهایی باید شبیه این باشد:

<VirtualHost *:80>
    ServerAdmin webmaster@localhost
 
    DocumentRoot /var/www
    <Directory />
        Options FollowSymLinks
        AllowOverride None
    </Directory>
    <Directory /var/www/>
        Options Indexes FollowSymLinks MultiViews
        AllowOverride None
        Order allow,deny
        allow from all
    </Directory>
 
    ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
    <Directory "/usr/lib/cgi-bin">
        AllowOverride None
        Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
        Order allow,deny
        Allow from all
    </Directory>
 
    ErrorLog ${APACHE_LOG_DIR}/error.log
 
    # Possible values include: debug, info, notice, warn, error, crit,
    # alert, emerg.
    LogLevel warn
 
    CustomLog ${APACHE_LOG_DIR}/access.log combined
 
    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>
 
</VirtualHost>
 
<VirtualHost *:443>
    SSLEngine on                                                                
    SSLProtocol all -SSLv2                                                      
    SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM                
 
    SSLCertificateFile /etc/apache2/ssl/ssl.crt                          
    SSLCertificateKeyFile /etc/apache2/ssl/private.key                        
    SSLCertificateChainFile /etc/apache2/ssl/sub.class1.server.ca.pem
    ServerAdmin webmaster@localhost
 
    DocumentRoot /var/www
    <Directory />
        Options FollowSymLinks
        AllowOverride None
    </Directory>
    <Directory /var/www/>
        Options Indexes FollowSymLinks MultiViews
        AllowOverride None
        Order allow,deny
        allow from all
    </Directory>
 
    ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
    <Directory "/usr/lib/cgi-bin">
        AllowOverride None
        Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
        Order allow,deny
        Allow from all
    </Directory>
 
    ErrorLog ${APACHE_LOG_DIR}/error.log
 
    # Possible values include: debug, info, notice, warn, error, crit,
    # alert, emerg.
    LogLevel warn
 
    CustomLog ${APACHE_LOG_DIR}/access.log combined
 
    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>
 
</VirtualHost>

فایل ای خود را ذخیره و آپاچی خود را راه اندازی مجدد کنید با:

 sudo service apache2 restart

شما می توانید فایل ورود به سیستم آپاچی را بررسی کنید تا ببینید که آیا هیچ خطای توقفی با این دستور وجود دارد:

اگر همه چیز خوب بنظر رسید، سعی کنید در مرورگر خود با استفاده از HTTPS URL به سایت خود دسترسی پیدا کنید(https://www.YOURSITE.com). زمانی که سایت شما بارگذاری شد، شما باید یک آیکون قفل سبز در کنار آدرس ببینید. روی آن کلیک کنید و باید موارد زیر را ببینید. برگه اتصالات باید نشان دهد که هویت سایت توسط StartCom تایید شده است.

80

 

90

 

ارتباط مجوزها
هویت این وب سایت توسط سرور CA اولیه متوسط کلاس۱ Startcom تایید شده است.
اتصال شما به سایت ……….. توسط رمز ۲۵۶ بیتی رمز گذاری شده است.
اتصال از TLS 1.1 استفاده می کند.
اتصال با استفاده از کاملیا ۲۵۶ توسط SHA 1 برای تایید هویت پیام و DHE-RSA برای فرآیند تغییر کلید رمز گذاری شده است.
اطلاعات سایت
شما برای اولین بار این سایت را در ۲ جولای ۲۰۱۳ ملاقات کرده اید.