![](\"https:\/\/community-cdn-digitalocean-com.global.ssl.fastly.net\/variants\/huJVSbbX2xohemFuk1ZroHYp\/6a540d0de9b44df9962f62205489ba6e2a5beab748fa47e816b60597a256ba9b\"\/)
<\/div>\n<\/li>\nUma vers\u00e3o anterior deste tutorial foi escrita por Justin Ellingwood.<\/a><\/em><\/p>\n O TLS<\/strong>, ou seguran\u00e7a de camada de transporte e seu antecessor, o SSL<\/strong>, que significa camada de socket segura, s\u00e3o protocolos Web usados para envolver o tr\u00e1fego normal em um pacote protegido e criptografado.<\/p>\n Ao usar essa tecnologia, os servidores podem enviar tr\u00e1fego com seguran\u00e7a entre servidores e clientes sem a possibilidade de mensagens serem interceptadas por agentes externos. O sistema de certificados tamb\u00e9m ajuda os usu\u00e1rios a verificar a identidade dos sites com os quais eles est\u00e3o se conectando.<\/p>\n Neste guia, mostraremos como configurar um certificado SSL autoassinado para uso com um servidor Web Apache no Ubuntu 18.04.<\/p>\n Nota:<\/strong> um certificado autoassinado ir\u00e1 criptografar a comunica\u00e7\u00e3o entre seu servidor e qualquer cliente. No entanto, uma vez que ele n\u00e3o est\u00e1 assinado por nenhuma das autoridades de certificados confi\u00e1veis inclu\u00eddas com navegadores Web, os usu\u00e1rios n\u00e3o podem usar o certificado para validar a identidade do seu servidor automaticamente.<\/p>\n Um certificado autoassinado pode ser apropriado se voc\u00ea n\u00e3o tiver um nome de dom\u00ednio associado ao seu servidor e para inst\u00e2ncias onde uma interface Web criptografada n\u00e3o seja voltada para o usu\u00e1rio. Se voc\u00ea tiver de fato<\/em> um nome de dom\u00ednio, em muitos casos \u00e9 melhor usar um certificado assinado por CA. Voc\u00ea pode descobrir como configurar um certificado de confian\u00e7a gratuito com o projeto Let\u2019s Encrypt aqui<\/a><\/p>\n <\/a><\/a><\/p>\n Antes de come\u00e7ar, voc\u00ea deve ter um usu\u00e1rio n\u00e3o-raiz configurado com privil\u00e9gios Voc\u00ea tamb\u00e9m precisar\u00e1 ter o servidor Web Apache instalado. Se voc\u00ea quiser instalar uma pilha LAMP (Linux, Apache, MySQL, PHP) inteira no seu servidor, voc\u00ea pode seguir nosso guia sobre como configurar o LAMP no Ubuntu 18.04<\/a>. Se voc\u00ea quiser apenas o servidor web Apache, pule os passos referentes ao PHP e MySQL.<\/p>\n Quando tiver completado os pr\u00e9-requisitos, continue abaixo.<\/p>\n <\/a><\/a><\/p>\n O TLS\/SSL funciona usando uma combina\u00e7\u00e3o de um certificado p\u00fablico e uma chave privada. A chave SSL \u00e9 mantida em segredo no servidor. Ela \u00e9 usada para criptografar o conte\u00fado enviado para clientes. O certificado SSL \u00e9 compartilhado publicamente com qualquer um que solicitar o conte\u00fado. Ele pode ser usado para decifrar o conte\u00fado assinado pela chave SSL associada.<\/p>\n Podemos criar um par chave autoassinada e certificado com o OpenSSL em um \u00fanico comando:<\/p>\n Uma s\u00e9ria de quest\u00f5es ser\u00e1 feita a voc\u00ea. Antes de passarmos por isso, vamos ver o que est\u00e1 acontecendo no comando que estamos emitindo:<\/p>\n Como mostrado acima, essas op\u00e7\u00f5es criar\u00e3o tanto um arquivo de chave como um certificado. Algumas perguntas sobre nosso servidor ser\u00e3o feitas para incorporar as informa\u00e7\u00f5es corretamente no certificado.<\/p>\n Preencha os prompts devidamente. A linha mais importante \u00e9 aquela que solicita o A totalidade dos prompt se parecer\u00e1 com isto:<\/p>\n Ambos os arquivos que voc\u00ea criou ser\u00e3o colocados nos subdiret\u00f3rios apropriados em <\/a><\/a><\/p>\n Criamos nossos arquivos de chave e certificado no diret\u00f3rio Vamos fazer alguns ajustes na nossa configura\u00e7\u00e3o:<\/p>\n Quando terminarmos, devemos ter uma configura\u00e7\u00e3o SSL segura.<\/p>\n Primeiro, vamos criar um snippet de configura\u00e7\u00e3o do Apache que defina algumas configura\u00e7\u00f5es do SSL. Isso ir\u00e1 configurar o Apache com uma s\u00e9rie de criptografia SSL forte e habilitar algumas funcionalidades avan\u00e7adas que ir\u00e3o ajudar a manter nosso servidor seguro. Os par\u00e2metros que vamos definir podem ser usados por qualquer Host Virtual habilitando o SSL.<\/p>\n Crie um novo snippet no diret\u00f3rio Para configurar o Apache SSL com seguran\u00e7a, utilizaremos as recomenda\u00e7\u00f5es de Remy van Elst presentes no site Cipherli.st<\/a>. Este site foi projetado para fornecer configura\u00e7\u00f5es de criptografia de f\u00e1cil acesso para softwares populares.<\/p>\n [note ]As configura\u00e7\u00f5es sugeridas no site mostrado acima oferecem uma seguran\u00e7a robusta. De vez em quando, isso acontece ao custo de maior compatibilidade com o cliente. Se voc\u00ea precisa dar suporte a clientes antigos, existe uma lista alternativa que pode ser acessada clicando no link na p\u00e1gina rotulada \u201cSim, d\u00ea-me uma criptografia que funciona com o software legado \/ velho.\u201d Essa lista pode ser substitu\u00edda pelos itens copiados abaixo.<\/p>\n A escolha de qual configura\u00e7\u00e3o voc\u00ea usa depender\u00e1 em grande parte do que voc\u00ea precisa suportar. Ambas fornecer\u00e3o uma \u00f3tima seguran\u00e7a.<\/p>\n Para nossos prop\u00f3sitos, podemos copiar as configura\u00e7\u00f5es fornecidas em sua totalidade. Vamos fazer apenas uma pequena mudan\u00e7a. Vamos desativar o cabe\u00e7alho O pr\u00e9-carregamento do HSTS proporciona maior seguran\u00e7a, mas pode ter consequ\u00eancias consider\u00e1veis se for habilitado acidentalmente ou de maneira incorreta. Neste guia, n\u00e3o habilitaremos essas configura\u00e7\u00f5es, mas voc\u00ea pode modificar isso caso tenha certeza de que voc\u00ea entenda as implica\u00e7\u00f5es.<\/p>\n Antes de decidir, leia com cuidado Seguran\u00e7a de transporte estrito HTTP, ou HSTS<\/a>, mais especificamente sobre a funcionalidade \u201cpr\u00e9-carregamento\u201d<\/a><\/p>\n Cole a configura\u00e7\u00e3o no arquivo Salve e feche o arquivo quando voc\u00ea terminar.<\/p>\n Em seguida, vamos modificar o Antes de continuar, vamos voltar para o arquivo de Host Virtual SSL original:<\/p>\n Agora, abra o arquivo de Host Virtual SSL para fazer ajustes:<\/p>\n Dentro, com a maioria dos coment\u00e1rios removidos, o arquivo de Host Virtual deve se parecer com isso por padr\u00e3o:<\/p>\n Vamos fazer alguns pequenos ajustes no arquivo. Vamos definir as coisas normais que gostar\u00edamos de ajustar em um arquivo de Host Virtual (endere\u00e7o de e-mail do ServerAdmin, ServerName, etc., e ajustar as diretivas do SSL para que apontem para nossos arquivos de certificado e chave.<\/p>\n Ap\u00f3s fazer essas altera\u00e7\u00f5es, seu bloco de servidor deve se parecer com este:<\/p>\n Salve e feche o arquivo quando voc\u00ea terminar.<\/p>\n Da forma em que se encontra, o servidor fornecer\u00e1 tanto tr\u00e1fego HTTP n\u00e3o criptografado quanto HTTPS criptografado. Para maior seguran\u00e7a, \u00e9 recomend\u00e1vel redirecionar na maioria dos casos o HTTP para HTTPS automaticamente. Se n\u00e3o quiser ou precisar dessa funcionalidade, voc\u00ea pode pular essa se\u00e7\u00e3o com seguran\u00e7a.<\/p>\n Para ajustar o arquivo de Host Virtual n\u00e3o criptografado para redirecionar todo o tr\u00e1fego a ser criptografado pelo SSL, podemos abrir o arquivo L\u00e1, dentro dos blocos de configura\u00e7\u00e3o Salve e feche o arquivo quando voc\u00ea terminar.<\/p>\n <\/a><\/a><\/p>\n Se voc\u00ea tem o firewall Podemos ver os perfis dispon\u00edveis digitando:<\/p>\n Voc\u00ea deve ver uma lista como essa:<\/p>\n Voc\u00ea pode verificar a configura\u00e7\u00e3o atual digitando:<\/p>\n Se voc\u00ea permitiu apenas o tr\u00e1fego HTTP regular mais cedo, seu resultado pode se parecer com este:<\/p>\n Para tamb\u00e9m admitir o tr\u00e1fego HTTPS, podemos permitir o perfil \u201cApache Full\u201d e ent\u00e3o excluir a permiss\u00e3o de perfil redundante \u201cApache\u201d:<\/p>\n Agora, seu status deve se parecer com este:<\/p>\n <\/a><\/a><\/p>\n Agora que fizemos nossas altera\u00e7\u00f5es e ajustamos nosso firewall, \u00e9 poss\u00edvel habilitar os m\u00f3dulos SSL e de cabe\u00e7alhos no Apache, habilitar nosso Host Virtual pronto para o SSL e reiniciar o Apache.<\/p>\n Podemos habilitar o Em seguida, podemos habilitar nosso Host Virtual SSL com o comando Tamb\u00e9m precisaremos habilitar nosso arquivo Neste ponto, nosso site e os m\u00f3dulos necess\u00e1rios est\u00e3o habilitados. Devemos verificar e garantir que n\u00e3o haja erros de sintaxe em nossos arquivos. Podemos fazer isso digitando:<\/p>\n Se tudo for bem-sucedido, voc\u00ea receber\u00e1 um resultado que se parecer\u00e1 com este:<\/p>\n A primeira linha \u00e9 apenas uma mensagem informando que a diretiva Se seu resultado tiver <\/a><\/a><\/p>\n Agora, estamos prontos para testar nosso servidor SSL.<\/p>\n Abra seu navegador Web e digite Pelo fato do certificado que criamos n\u00e3o ser assinado por uma das autoridades de certificado confi\u00e1veis do seu navegador, voc\u00ea provavelmente ver\u00e1 um aviso assustador como o que est\u00e1 abaixo:<\/p>\n Isso \u00e9 esperado e \u00e9 normal. S\u00f3 estamos interessados no aspecto de criptografia do nosso certificado, n\u00e3o na valida\u00e7\u00e3o de terceiros da autenticidade do nosso host. Em todo caso, clique em \u201cADVANCED\u201d e ent\u00e3o no link fornecido para prosseguir para seu host:<\/p>\n Voc\u00ea deve ser levado para seu site. Se voc\u00ea olhar na barra de endere\u00e7o do navegador, ser\u00e1 poss\u00edvel ver um cadeado com um \u201cx\u201d sobre ele. Neste caso, isso significa apenas que o certificado n\u00e3o pode ser validado. Ela ainda est\u00e1 criptografando sua conex\u00e3o.<\/p>\n Se voc\u00ea configurou o Apache para redirecionar HTTP para HTTPS, tamb\u00e9m \u00e9 poss\u00edvel verificar se o redirecionamento est\u00e1 funcionando corretamente:<\/p>\n Se o resultado for o mesmo \u00edcone, isso significa que seu redirecionamento funcionou corretamente.<\/p>\nIntrodu\u00e7\u00e3o<\/h3>\n
Pr\u00e9-requisitos<\/h2>\n
sudo<\/code>. Voc\u00ea pode aprender como configurar esse tipo de usu\u00e1rio seguindo nossa Configura\u00e7\u00e3o inicial de servidor com o Ubuntu 18.04<\/a>.<\/p>\nPasso 1 \u2014 Criando o certificado SSL<\/h2>\n
<\/code><\/pre>\n\n
<\/code><\/pre>\n\n
rsa:2048<\/code> diz a ele para criar uma chave RSA que seja de 2048 bits.<\/li>\nNome comum (por exemplo, o servidor FQDN ou o SEU nome)<\/code>. Voc\u00ea precisa digitar o nome do dom\u00ednio associado ao seu servidor ou, mais prov\u00e1vel, o endere\u00e7o IP p\u00fablico do seu servidor.<\/strong><\/p>\n<\/code><\/pre>\nCountry Name (2 letter code) [AU]:US<\/span>\r\nState or Province Name (full name) [Some-State]:New York<\/span>\r\nLocality Name (eg, city) []:New York City<\/span>\r\nOrganization Name (eg, company) [Internet Widgits Pty Ltd]:Bouncy Castles, Inc.<\/span>\r\nOrganizational Unit Name (eg, section) []:Ministry of Water Slides<\/span>\r\nCommon Name (e.g. server FQDN or YOUR name) []:server_IP_address<\/span>\r\nEmail Address []:admin@your_domain.com<\/span>\r\n<\/code><\/pre>\n\/etc\/ssl<\/code>.<\/p>\nPasso 2 \u2014 Configurando o Apache para usar o SSL<\/h2>\n
\/etc\/ssl<\/code>. Agora, precisamos modificar nossa configura\u00e7\u00e3o do Apache para aproveitarmos melhor o mesmo.<\/p>\n\n
Criando um snippet de configura\u00e7\u00e3o do Apache com configura\u00e7\u00f5es de criptografia robustas<\/h3>\n
\/etc\/apache2\/conf-available<\/code>. Vamos nomear o arquivo ssl-params.conf<\/code> para deixar seu objetivo claro:<\/p>\n<\/code><\/pre>\n\n
<\/code><\/pre>\nStrict-Transport-Security<\/code> (HSTS).<\/p>\nssl-params.conf<\/code> que abrimos:<\/p>\nSSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH\r\nSSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1\r\nSSLHonorCipherOrder On\r\n# Disable preloading HSTS for now. You can use the commented out header line that includes<\/span>\r\n# the \"preload\" directive if you understand the implications.<\/span>\r\n#<\/span> Header always set Strict-Transport-Security \"max-age=63072000; includeSubDomains; preload\"\r\nHeader always set X-Frame-Options DENY\r\nHeader always set X-Content-Type-Options nosniff\r\n# Requires Apache >= 2.4\r\nSSLCompression off\r\nSSLUseStapling on\r\nSSLStaplingCache \"shmcb:logs\/stapling-cache(150000)\"\r\n# Requires Apache >= 2.4.11\r\nSSLSessionTickets Off\r\n<\/code><\/pre>\nModificando o arquivo padr\u00e3o de Host Virtual SSL do Apache<\/h3>\n
\/etc\/apache2\/sites-available\/default-ssl.conf<\/code>, o arquivo padr\u00e3o de Host Virtual SSL do Apache Se estiver usando um arquivo de bloco de servidor diferente, substitua seu nome nos comandos abaixo.<\/p>\n<\/code><\/pre>\n\n
<\/code><\/pre>\n<\/code><\/pre>\n\n
<\/code><\/pre>\n<IfModule mod_ssl.c>\r\n <VirtualHost _default_:443>\r\n ServerAdmin webmaster@localhost\r\n\r\n DocumentRoot \/var\/www\/html\r\n\r\n ErrorLog ${APACHE_LOG_DIR}\/error.log\r\n CustomLog ${APACHE_LOG_DIR}\/access.log combined\r\n\r\n SSLEngine on\r\n\r\n SSLCertificateFile \/etc\/ssl\/certs\/ssl-cert-snakeoil.pem\r\n SSLCertificateKeyFile \/etc\/ssl\/private\/ssl-cert-snakeoil.key\r\n\r\n <FilesMatch \"\\.(cgi|shtml|phtml|php)$\">\r\n SSLOptions +StdEnvVars\r\n <\/FilesMatch>\r\n <Directory \/usr\/lib\/cgi-bin>\r\n SSLOptions +StdEnvVars\r\n <\/Directory>\r\n\r\n <\/VirtualHost>\r\n<\/IfModule>\r\n<\/code><\/pre>\n<IfModule mod_ssl.c>\r\n <VirtualHost _default_:443>\r\n ServerAdmin your_email@example.com<\/span>\r\n ServerName server_domain_or_IP<\/span>\r\n\r\n DocumentRoot \/var\/www\/html\r\n\r\n ErrorLog ${APACHE_LOG_DIR}\/error.log\r\n CustomLog ${APACHE_LOG_DIR}\/access.log combined\r\n\r\n SSLEngine on\r\n\r\n SSLCertificateFile \/etc\/ssl\/certs\/apache-selfsigned.crt<\/span>\r\n SSLCertificateKeyFile \/etc\/ssl\/private\/apache-selfsigned.key<\/span>\r\n\r\n <FilesMatch \"\\.(cgi|shtml|phtml|php)$\">\r\n SSLOptions +StdEnvVars\r\n <\/FilesMatch>\r\n <Directory \/usr\/lib\/cgi-bin>\r\n SSLOptions +StdEnvVars\r\n <\/Directory>\r\n\r\n <\/VirtualHost>\r\n<\/IfModule>\r\n<\/code><\/pre>\n(Recomendado) Modificando o arquivo de host HTTP para redirecionar para HTTPS<\/h3>\n
\/etc\/apache2\/sites-available\/000-default.conf<\/code>:<\/p>\n<\/code><\/pre>\n\n
<\/code><\/pre>\nVirtualHost<\/code>, precisamos adicionar uma diretiva Redirect<\/code>, que direciona todo o tr\u00e1fego para a vers\u00e3o SSL do site:<\/p>\n<VirtualHost *:80>\r\n . . .\r\n\r\n Redirect \"\/\" \"https:\/\/your_domain_or_IP<\/span>\/\"\r\n\r\n . . .\r\n<\/VirtualHost>\r\n<\/code><\/pre>\nPasso 3 \u2014 Como ajustar o Firewall<\/h2>\n
ufw<\/code> ativado, conforme recomendado pelos guias de pr\u00e9-requisitos, pode ser necess\u00e1rio ajustar as configura\u00e7\u00f5es para permitir o tr\u00e1fego SSL. Felizmente, o Apache registra alguns perfis com o ufw<\/code> na instala\u00e7\u00e3o.<\/p>\n<\/code><\/pre>\n\n
<\/code><\/pre>\n<\/code><\/pre>\nAvailable applications:\r\n Apache\r\n Apache Full\r\n Apache Secure\r\n OpenSSH\r\n<\/code><\/pre>\n<\/code><\/pre>\n\n
<\/code><\/pre>\n<\/code><\/pre>\nStatus: active\r\n\r\nTo Action From\r\n-- ------ ----\r\nOpenSSH ALLOW Anywhere\r\nApache ALLOW Anywhere\r\nOpenSSH (v6) ALLOW Anywhere (v6)\r\nApache (v6) ALLOW Anywhere (v6)\r\n<\/code><\/pre>\n<\/code><\/pre>\n\n
<\/code><\/pre>\n<\/code><\/pre>\n\n
<\/code><\/pre>\n<\/code><\/pre>\nStatus: active\r\n\r\nTo Action From\r\n-- ------ ----\r\nOpenSSH ALLOW Anywhere\r\nApache Full ALLOW Anywhere\r\nOpenSSH (v6) ALLOW Anywhere (v6)\r\nApache Full (v6) ALLOW Anywhere (v6)\r\n<\/code><\/pre>\nPasso 4 \u2014 Habilitando as altera\u00e7\u00f5es no Apache<\/h2>\n
mod_ssl<\/code>, o m\u00f3dulo SSL do Apache e o mod_headers<\/code>, necess\u00e1rio para algumas das configura\u00e7\u00f5es no nosso snippet SSL, com o comando a2enmod<\/code>:<\/p>\n<\/code><\/pre>\n\n
<\/code><\/pre>\na2ensite<\/code>:<\/p>\n<\/code><\/pre>\n\n
<\/code><\/pre>\nssl-params.conf<\/code>, para que leia nos valores que definirmos:<\/p>\n<\/code><\/pre>\n\n
<\/code><\/pre>\n<\/code><\/pre>\n\n
<\/code><\/pre>\n<\/code><\/pre>\nAH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this message\r\nSyntax OK\r\n<\/code><\/pre>\nServerName<\/code> n\u00e3o est\u00e1 definida globalmente. Se voc\u00ea quiser se livrar dessa mensagem, \u00e9 poss\u00edvel definir o ServerName<\/code> como o nome do dom\u00ednio do seu servidor ou o endere\u00e7o IP em \/etc\/apache2\/apache2.conf<\/code>. Isso \u00e9 opcional, uma vez que a mensagem n\u00e3o causar\u00e1 problemas.<\/p>\nSyntax OK<\/code>, seu arquivo de configura\u00e7\u00e3o n\u00e3o possui erros de sintaxe. Podemos reiniciar com seguran\u00e7a o Apache para implementar nossas altera\u00e7\u00f5es:<\/p>\n<\/code><\/pre>\n\n
<\/code><\/pre>\nPasso 5 \u2014 Testando a criptografia<\/h2>\n
https:\/\/<\/code> seguido pelo nome do dom\u00ednio ou endere\u00e7o IP do seu servidor na barra de endere\u00e7o:<\/p>\nhttps:\/\/server_domain_or_IP<\/span>\r\n<\/code><\/pre>\n![\"Apache](\"https:\/\/assets.digitalocean.com\/articles\/apache_ssl_1604\/self_signed_warning.png\")
<\/p>\n![\"Apache](\"https:\/\/assets.digitalocean.com\/articles\/apache_ssl_1604\/warning_override.png\")
<\/p>\nhttp:\/\/server_domain_or_IP<\/span>\r\n<\/code><\/pre>\n