स्पाइसवर्क्स को सुरक्षित करने का सुरक्षित तरीका - कैसे

स्पाइसवर्क्स को सुरक्षित करने का सुरक्षित तरीका

एक प्रमाणपत्र बनाएं और अतिरिक्त भूमिका या सॉफ़्टवेयर स्थापित किए बिना HTTPS को बाध्य करें। हम केवल न्यूनतम सेवाओं / भूमिकाओं के साथ VM की एक Windows 2012R2 कोर इंस्टॉलेशन पर Spiceworks चला रहे हैं - जैसा कि सुरक्षा दुनिया में सबसे अच्छा अभ्यास है। सबसे पहले, मैं एक पुरानी पोस्ट की समीक्षा करूंगा और स्पिकवर्क की वर्तमान रिलीज़ के साथ वर्तमान सिफारिशों और सेटिंग्स के आधार पर अपडेट करूंगा। (संदर्भ अनुभाग में लिंक किया गया) दूसरा, मैं समीक्षा करूंगा कि कैसे अपने स्पिकवर्क सर्वर पर अतिरिक्त भूमिकाएं स्थापित किए बिना शामिल टूल का उपयोग किया जाए।

कुल 10 कदम

चरण 1: बैकअप स्पिकवर्क्स और प्रमाण पत्र और कुंजी को छोड़ना।

ए) आप SW सेटिंग्स का एक पूर्ण बैकअप चलाएँ
बी) C: Program Files Spiceworks (x86) httpd ssl पर नेविगेट करें और PEM फ़ाइलों को एक वैकल्पिक स्थान पर कॉपी करें।
C) C: Program Files (x86) Spiceworks httpd conf पर नेविगेट करें और httpd.conf फाइल को एक वैकल्पिक स्थान पर कॉपी करें।

चरण 2: अपना सिस्टम तैयार करें

आप यहां CERTREQ का उपयोग कर सकते हैं और फिर सर्टिफिकेट स्टोर से PFX को निर्यात करने के लिए CERTUTIL का उपयोग कर सकते हैं, लेकिन यदि आप अपनी निजी कुंजी पर अधिक लचीलापन चाहते हैं, तो Certreq आपको देता है, अपनी निजी कुंजी बनाने के लिए OpenSSL कमांड लाइन टूल का उपयोग करें। फिर आप अपने सर्टिफिकेट स्टोर से उन्हें निर्यात करने के अतिरिक्त कदम के बिना उनके साथ जो चाहें कर सकते हैं।

मैं इस परिदृश्य में OpenSSL का उपयोग करूंगा। मैंने इस वैकल्पिक साइट से विंडोज़ बायनेरिज़ का उपयोग किया है। Win32 OpenSSL v1.0.2h लाइट https://slproweb.com/products/Win32OpenSSL.html

स्थापना के दौरान, सब कुछ साफ-सुथरा रखने के लिए dll पथ / बिन फ़ोल्डर में बदलें
स्थापना के बाद, पर्यावरण चर सेट करें (यह चर और अनुपलब्ध .conf फ़ाइल ऐसे कारण हैं, जिनके कारण ओपनसिएल बाइनरी में निर्मित स्पिकवर्क का उपयोग नहीं किया जा सकता है। एक उन्नत कमांड प्रॉम्प्ट रन से।
OPENSSL_CONF = C: OpenSSL-Win32 bin opensl.cfg (जहाँ C: OpenSSL-Win32 OpenSSL की स्थापना निर्देशिका है) सेट करें।

चरण 3: कुंजी जोड़ी उत्पन्न करें

OpenSSL कुंजी जोड़े और CSR बनाने के लिए अलग या एकीकृत कमांड का समर्थन करता है। यह कुंजी में एन्क्रिप्शन जोड़ने का भी समर्थन करता है। हालांकि, विंडोज पर अपाचे को निजी कुंजी की आवश्यकता होती है और अनएन्क्रिप्टेड होती है। ----- BEGIN RSA निजी कुंजी -----
कीपर जनरेट करने के लिए निम्न कमांड चलाएँ।
C:> cd OpenSSL-Win32 bin
C: OpenSSL-Win32 bin> खुलता है gensa -out private.key 2048

चरण 4: सीएसआर उत्पन्न करें

C: OpenSSL-Win32 bin> Opensl req -new -key private.key -out spicls.s.r
आपको उस जानकारी को दर्ज करने के लिए कहा जाएगा जिसे शामिल किया जाएगा
आपके प्रमाणपत्र अनुरोध में।
आप जो दर्ज करने वाले हैं, उसे विशिष्ट नाम या डीएन कहा जाता है।
काफी क्षेत्र हैं लेकिन आप कुछ खाली छोड़ सकते हैं
कुछ क्षेत्रों के लिए एक डिफ़ॉल्ट मान होगा,
यदि आप '' दर्ज करते हैं, तो फ़ील्ड खाली छोड़ दिया जाएगा।
-----
देश का नाम (2 अक्षर का कोड) [AU]:
राज्य या प्रांत का नाम (पूरा नाम) [कुछ-राज्य]:
स्थानीय नाम (जैसे, शहर) []:
संगठन का नाम (उदाहरण के लिए, कंपनी) [इंटरनेट विजेट्स प्राइवेट लिमिटेड]:
संगठनात्मक इकाई का नाम (जैसे, अनुभाग) []:
सामान्य नाम (उदा। सर्वर FQDN या आपका नाम) []:
ईमेल पता []:

कृपया निम्नलिखित 'अतिरिक्त' विशेषताएँ दर्ज करें
आपके प्रमाणपत्र अनुरोध के साथ भेजा जाएगा
एक चुनौती पासवर्ड []:
एक वैकल्पिक कंपनी का नाम []:

*** अपने CA को CSR सबमिट करें और यदि पूछा जाए तो अपाचे निर्दिष्ट करें।

चरण 5: सीए से प्रमाण पत्र प्राप्त करें और इंस्टॉल करें

*** अपने Spiceworks सेवाएँ बंद करो ***

प्रत्येक CA अपाचे पर प्रमाण पत्र स्थापित करने के लिए चरण प्रदान करता है। आपके पास एक मध्यवर्ती प्रमाणपत्र या एक सीए बंडल हो सकता है जिसे स्थापित करना आवश्यक है। कृपया सटीक स्थापना निर्देशों के लिए अपने CA को देखें।

संक्षेप में, आप अपनी प्रतिलिपि बनाना चाहेंगे
(SSLCerticicateKeyFile) private.key to C: Program Files (x86) Spiceworks httpd ssl ssl-private-key.pem
(SSLCertificateFile) Spiceworks.crt to C: Program Files (x86) Spiceworks httpd ssl ssl-cert.pem
(SSLCertificateChainFile) से C: Program Files (x86) Spiceworks httpd ssl ssl-cabundle.pem

चरण 6: एसएसएल सेटिंग्स बदलें

** 7.5.000095 तक - सिफर सूट बदल गया है। आप केवल 1.0 को निकालने के लिए टीएलएस को बदलना चाह सकते हैं

अब हम अपाचे को बताना चाहते हैं कि एसएसएल प्रोटोकॉल हम क्या स्वीकार करेंगे और कुछ कम सुरक्षित सिफर का उपयोग कर सकते हैं जिन्हें उपयोग किया जा सकता है।

यह करने के लिए httpd.conf फ़ाइल के बहुत नीचे स्क्रॉल करें और उस अनुभाग को खोजें जो इसके साथ शुरू होता है:

इसके अंदर या तो "SSLCipherSuite" से शुरू होने वाली लाइन को हटा दें या हटा दें।
अब इन दोनों लाइनों को इसके स्थान पर जोड़ें:
SSLProtocol -सभी + TLSv1.1 + TLSv1.2
SSLCipherSuite EECDH + AESGCM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH

थोड़ा और शोध आपको अपनी सुरक्षा आवश्यकताओं के आधार पर आगे भी इस सूची को संपादित करने की अनुमति दे सकता है। खासकर यदि आप XP समर्थन या पुराने ब्राउज़र समर्थन को बनाए रख रहे हैं।

चरण 7: http.conf के लिए ca.bundle या मध्यवर्ती जोड़ें

यदि आपकी सीए को एक मध्यवर्ती प्रमाण पत्र या सीए बंडल की आवश्यकता है, तो KEEP अपनी httpd.conf फ़ाइल खोलें और cabundle.pem फ़ाइल नाम और पथ जोड़ें
SSLCertificateChainFile "ssl ssl-cabundle.pem" को इस तरह जोड़ें


SSLEngine पर
SSloptions + StrictRequire
SSLProtocol -सभी + TLSv1.1 + TLSv1.2
SSLCipherSuite EECDH + AESGCM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH
SSLHonorCipherOrder पर
SSLCertificateFile "ssl / ssl-cert.pem"
SSLCertificateKeyFile "ssl / ssl-private-key.pem"
SSLCertificateChainFile "ssl / ssl-cabundle.pem"

चरण 8: एसएसएल का उपयोग करने के लिए सभी कनेक्शनों को बाध्य करें

जैसा कि स्पिकवर्क अपाचे का उपयोग करता है हम आसानी से यूआरएल को फिर से लिखना नियम लागू करके एसएसएल का उपयोग करने के लिए सभी कनेक्शनों को मजबूर कर सकते हैं।

ऐसा करने के लिए हमें अपाचे के विन्यास को रखने वाली httpd.conf फ़ाइल को संपादित करना होगा। यह आपके Spiceworks के स्थापना फ़ोल्डर में httpd / conf के अंतर्गत संग्रहीत किया जाता है।

Httpd.conf फ़ाइल के अंत तक स्क्रॉल करें और रेखा के चारों ओर 123 रेखाएँ जो इसमें शामिल हैं:

# त्रुटि दस्तावेज़

फिर इस लाइन को निम्नलिखित जोड़ें:


रिवरटाइंगइन ऑन
सभी कनेक्शनों पर #Force SSL
% ReriteCond% {HTTPS} बंद करें
% ReriteCond% {REMOTE_HOST}! ^ 127 _ _ _ .1
RewriteRule (। *) Https: //% {HTTP_HOST}% {REQUEST_URI}

चरण 9: सेवाएं पुनरारंभ करें

चरण 10: 10. प्रत्येक अद्यतन के बाद httpd.conf को फिर से बदलें

दुर्भाग्य से, अपडेट httpd.conf फ़ाइल को अधिलेखित करते हैं और आपको प्रत्येक अद्यतन के बाद उन संशोधनों को करना होगा।