Guia foca Linux/Avanado/Apache/Uso de criptografia SSL

Guia foca Linux/Avanado/Apache/Uso de

criptografia SSL
12.13 Uso de criptografia SSL
Esta seo uma referncia rpida para configurao e uso do mdulo apache-ssl com o servidor Apache. Este
mdulo realiza a comunicao segura de dados (criptografada) via porta 443 (que usada como padro quando
especificamos uma url iniciando com https:/ / ''). A transmisso criptografada de dados importante quanto temos
dados confidenciais que precisamos transmitir como movimentao bancria, senhas, nmero de cartes de crdito,
fazer a administrao remota do servidor, etc. SSL significa Secure Sockets Layer (camada segura de transferncia)
e TLS Transport Layer Security (camada segura de Transporte). A inteno aqui fornecer explicaes prticas para
colocar um servidor Apache com suporte a SSL funcionando no menor tempo possvel. Detalhes sobre
funcionamento de certificados, mtodos de criptografia, assinatura, etc. devero ser buscados na documentao deste
mdulo ou em sites especializados ( um assunto muito longo).

12.13.1 Servidor apache com suporte a ssl

Ao invs de utilizar o mdulo mod_ssl, voc poder usar o pacote apache-ssl, ele nada mais que um servidor
Apache com o suporte SSL j incluso e no interfere no servidor Apache padro, porque executado somente na
porta 443. Se voc tem um grande site com configuraes de acesso personalizadas, ele trar mais trabalho de
administrao, pois as configuraes e diretivas de restries de acesso devero ser copiadas para este servidor web.
No entanto, ele indicado para mquinas que sero servidores SSL dedicados ou quando no possui configuraes
especiais em seu servidor web principal. Esta seo tem por objetivo a instalao do suporte ao mdulo SSL
(mod_ssl) no servidor Apache padro.

12.13.2 Instalando o suporte a mdulo SSL no Apache

Instale o pacote libapache-mod-ssl. Aps instala-lo, edite o arquivo /etc/apache/httpd.conf adicionando a linha:
LoadModule ssl_module /usr/lib/apache/1.3/mod_ssl.so
Depois, gere um certificado digital ssl com o programa mod-ssl-makecert. Ele ser armazenado por padro nos
diretrios em /etc/apache/ssl.??? e seu uso explicado no resto desta seo.

12.13.3 Gerando um certificado digital

O certificado digital a pea que garante a transferncia segura de dados. Ele contm detalhes sobre a empresa que
far seu uso e quem o emitiu. Para gerar ou modificar um certificado digital, execute o comando mod-ssl-makecert e
siga as instrues. O mtodo de criptografia usado pelo certificado digital baseado no conceito de chave
pblica/privada, a descrio sobre o funcionamento deste sistema de criptografia feito em
[ch-d-cripto.html#s-d-cripto-gpg Usando pgp (gpg)para criptografia de arquivos, Seo 20.5]. OBS No utilize
acentos nos dados de seu certificado.

Guia foca Linux/Avanado/Apache/Uso de criptografia SSL

12.13.4 Exemplo de configurao do mdulo mod-ssl

Abaixo uma configurao rpida para quem deseja ter um servidor com suporte a SSL funcionando em menor tempo
possvel (ela feita para operar em todas as instalaes e no leva em considerao o projeto de segurana de sua
configurao atual do Apache). Note que todas as diretivas relacionadas com o mdulo mod_ssl comeam com o
nome "SSL":
# Somente processa as diretivas relacionadas a SSL caso o mdulo mod_ssl estiver
# carregado pela diretiva LoadModule
<IfModule mod_ssl.c>
# necessrio especificar as portas que o servidor Web aguardar conexes (normais e
# ssl).
Listen 80
Listen 443

# Ativa o tratamento de conexes com o destino na porta 443 pela diretiva

# VirtualHost abaixo
<VirtualHost _default_:443>

# Ativa ou desativa o mdulo SSL para este host virtual

SSLEngine on

# Certificado do servidor
SSLCertificateFile

/etc/apache/ssl.crt/server.crt

# Chave privada de certificado do servidor.

SSLCertificateKeyFile /etc/apache/ssl.key/server.key

# A linha abaixo fora o fechamento de conexes quando a

# conexo com o navegador Internet Explorer interrompida. Isto
# viola o padro SSL/TLS mas necessrio para este tipo de
# navegador. Alguns problemas de conexes de navegadores tambm
# so causados por no saberem lidar com pacotes keepalive.
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown

</VirtualHost>

</IfModule>

#################################################################################
# Adicionalmente podero ser especificadas as seguintes opes para modificar

# o comportamento da seo SSL (veja mais detalhes na documentao do mod-ssl)

#################################################################################

# Formato e localizao do cache paralelo de processos da seo. O cache de seo

# feito internamente pelo mdulo mas esta diretiva acelera o processamento
# de requisies paralelas feitas por modernos clientes navegadores. Por padro
# nenhum cache usado ("none").

Guia foca Linux/Avanado/Apache/Uso de criptografia SSL

SSLSessionCache

dbm:/var/run/ssl-cache

# Localizao do arquivo de lock que o mdulo SSL utiliza para

# sincronizao entre processos. O padro nenhum.
SSLMutex

file:/var/run/ssl-mutex

# Especifica o mtodo de embaralhamento de dados que ser utilizado

# durante o inicio de uma seo SSL (startup) ou durante o processo
# de conexo (connect). Podem ser especificados "builtin" ( muito rpido
# pois consome poucos ciclos da CPU mas no gera tanta combinao aleatria), um
# programa que gera nmeros aleatrios (com "exec") ou os dispositivos aleatrios
# /dev/random e /dev/urandom (com "file"). Por padro nenhuma fonte
# adicional de nmeros aleatrios usada.
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
#SSLRandomSeed startup file:/dev/urandom 512
#SSLRandomSeed connect file:/dev/urandom 512
#SSLRandomSeed connect exec:/pub/bin/NumAleat

# Tipos MIME para download de certificados

AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl

.crl

# Tempo mximo de permanncia dos objetos do cache acima. O valor padro

# 300 segundos (5 minutos).
SSLSessionCacheTimeout

300

# Verso do protocolo SSL que ser usada. Podem ser especificadas

# SSLv2, SSLv3 TLSv1 ou all. O mais compatvel com os navegadores atuais
# o "SSLv2". Por padro "all" usado.
#SSLProtocol all
#SSLProtocol -all

SSLv3

# Registra detalhes sobre o trfego neste arquivo. Mensagens de erro

# tambm so armazenadas no arquivo de registro padro do Apache
SSLLog

/var/log/apache/ssl-mod.log

# Nvel das mensagens de log registradas por SSLLog

SSLLogLevel info

Algumas diretivas deste mdulo podem fazer parte tanto da configurao global do servidor como diretivas de
acesso (Directory, Location, .htaccess, veja a opo "Context" na documentao do mod_ssl).

Guia foca Linux/Avanado/Apache/Uso de criptografia SSL

12.13.5 Autorizando acesso somente a conexes SSL

Existem casos que precisa restringir o uso de conexes normais e permitir somente conexes via SSL (como por
exemplo, dentro da diretiva de acesso que controla seu acesso a uma pgina com listagem de clientes). A opo
SSLRequereSSL usada para tal e deve ser usada dentro das diretivas de controle acesso:
<Directory /var/www/secure/clientes>
Options Indexes
Order deny,allow
Deny from evil.cracker.com
SSLRequireSSL
</Directory>
A diretiva acima requer que sejam feitas conexes SSL (porta 443 - https:/ / ) para acesso ao diretrio
/var/www/secure/clientes, qualquer conexo padro no criptografada (feita na porta 80) ser rejeitada com o erro
403. OBS: A diretiva SSLRequireSSL podia ser colocada entre as condicionais "IfModule mod_ssl.c" mas o servidor
web permitiria conexes no criptografadas se por algum motivo esse mdulo no estivesse carregado. Na
configurao acima, ocorrer um erro e impedir o funcionamento do servidor web caso ocorra algum problema com
o mod_ssl.

12.13.6 Iniciando o servidor Web com suporte a SSL

Verifique se a configurao do Apache est ok com apache -t. Caso positivo, reinicie o servidor usando um dos
mtodos descritos em [#s-s-apache-rodando Iniciando o servidor/reiniciando/recarregando a configurao, Seo
12.1.9]. O servidor web lhe pedir a FraseSenha para descriptografar a chave privada SSL (esta senha foi escolhida
durante o processo de criao do certificado). Esta senha garante uma segurana adicional caso a chave privada do
servidor seja copiada de alguma forma. Somente quem tem conhecimento da FraseSenha poder iniciar o servidor
com suporte a transferncia segura de dados. Verifique se o virtual host est servindo as requisies na porta 443
com apache -S. O nico mtodo para fazer o servidor web evitar de pedir a senha para descriptografar a chave
privada colocando uma senha em branco. Isto s recomendado em ambientes seguros e o diretrio que contm a
chave privada dever ter somente permisses para o dono/grupo que executa o servidor Web. Qualquer outra
permisso poder por em risco a segurana da instalao caso a chave privada seja roubada. Depois disso, execute o
comando:
# entre no diretrio que contm a chave privada
cd /etc/apache/ssl.key
# renomeie a chave privada para outro nome
ren server.key server.key-Csenha
openssl rsa -in server.key-Csenha -out server.key
Digite a senha quando pedido. A chave original (com senha) estar gravada no arquivo server.key-Csenha e poder
ser restaurada se necessrio. Reinicie o servidor Apache, desta vez ele no pedir a senha. OBS1: Tire uma cpia de
segurana da chave privada original antes de executar esta operao. OBS2: No se esquea de ajustar as permisses
de acesso no diretrio /etc/apache/ssl.key caso no utilize senha para proteger seu certificado digital.
[[|Apache/Uso de criptografia SSL]]

Fontes e Editores da Pgina

Fontes e Editores da Pgina

Guia foca Linux/Avanado/Apache/Uso de criptografia SSL Fonte: http://pt.wikibooks.org/w/index.php?oldid=179713 Contribuidores: Raylton P. Sousa

Licena
Creative Commons Attribution-Share Alike 3.0 Unported
http:/ / creativecommons. org/ licenses/ by-sa/ 3. 0/