navody:hosting:ssl
Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revizePředchozí verzeNásledující verze | Předchozí verzeNásledující verzeObě strany příští revize | ||
navody:hosting:ssl [2014/04/30 01:49] – [Chyby v knihovně OpenSSL] gandalf | navody:hosting:ssl [2015/01/26 20:59] – gandalf | ||
---|---|---|---|
Řádek 59: | Řádek 59: | ||
< | < | ||
a2enmod ssl | a2enmod ssl | ||
+ | </ | ||
+ | |||
+ | ==== Doporučené nastavení mod_ssl ==== | ||
+ | |||
+ | Upravte nebo přidejte tyto volby v konfiguračním souboru __/ | ||
+ | < | ||
+ | SSLCipherSuite HIGH: | ||
+ | SSLHonorCipherOrder on | ||
+ | SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2 | ||
</ | </ | ||
Řádek 158: | Řádek 167: | ||
<code file> | <code file> | ||
TLS_CERTFILE=/ | TLS_CERTFILE=/ | ||
+ | TLS_PROTOCOL=" | ||
+ | TLS_CIPHER_LIST=" | ||
</ | </ | ||
Řádek 169: | Řádek 180: | ||
smtpd_tls_cert_file = / | smtpd_tls_cert_file = / | ||
smtpd_tls_key_file = $smtpd_tls_cert_file | smtpd_tls_key_file = $smtpd_tls_cert_file | ||
+ | smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5 | ||
+ | smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 | ||
+ | smtp_tls_mandatory_exclude_ciphers = aNULL, MD5 | ||
+ | smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 | ||
+ | lmtp_tls_mandatory_exclude_ciphers = aNULL, MD5 | ||
+ | lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3 | ||
</ | </ | ||
+ | |||
+ | ===== Dovecot ===== | ||
+ | |||
+ | <code file> | ||
+ | ssl_cert_file = / | ||
+ | ssl_key_file = / | ||
+ | # | ||
+ | </ | ||
+ | |||
===== Lighttpd ===== | ===== Lighttpd ===== | ||
Řádek 190: | Řádek 216: | ||
openssl s_client -starttls smtp -crlf -connect vasedomena: | openssl s_client -starttls smtp -crlf -connect vasedomena: | ||
</ | </ | ||
+ | |||
+ | ===== Self-Signed certifikát ===== | ||
+ | |||
+ | Někdy nám stačí certifikát, | ||
+ | Vygenerování takového certifikátu probíhá obdobně, jako v předchozím případě: | ||
+ | |||
+ | 1. V adresáři /// | ||
+ | |||
+ | <code bash> | ||
+ | openssl genrsa -out nazevdomeny.key 2048 | ||
+ | </ | ||
+ | |||
+ | 2. Nyní ke klíči připravíme žádost o certifikát | ||
+ | |||
+ | <code bash> | ||
+ | openssl req -new -key nazevdomeny.key -out nazevdomeny.csr | ||
+ | </ | ||
+ | |||
+ | 3. Následně vytvoříme certifikát, | ||
+ | |||
+ | <code bash> | ||
+ | openssl x509 -req -days 365 -in nazevdomeny.csr -signkey nazevdomeny.key -out nazevdomeny.crt | ||
+ | </ | ||
+ | |||
+ | |||
+ | A máme hotovo. | ||
+ | |||
===== Chyby v knihovně OpenSSL ===== | ===== Chyby v knihovně OpenSSL ===== | ||
Řádek 225: | Řádek 278: | ||
* FreeBSD 10.0p1 - OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC) | * FreeBSD 10.0p1 - OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC) | ||
* FreeBSD Ports - OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC) | * FreeBSD Ports - OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC) | ||
+ | |||
+ | **Diagnostika** | ||
+ | |||
+ | Otestovat je možno aktuální verzí [[man> | ||
+ | |||
+ | < | ||
+ | nmap -sV --script=ssl-heartbleed < | ||
+ | </ | ||
Podrobnosti o celé problematice je možné najít zde - [[http:// | Podrobnosti o celé problematice je možné najít zde - [[http:// | ||
Řádek 234: | Řádek 295: | ||
+ | ==== Odkazy ==== | ||
+ | |||
+ | * [[https:// | ||