Cara-Memastikan pemasangan Spikeworks anda menggunakan SSL - Bagaimana Untuk

Cara-Memastikan pemasangan Spikeworks anda menggunakan SSL

** Panduan ini telah dikemas kini pada 16/03/2015 untuk memasukkan perubahan yang dicadangkan oleh https://community.spiceworks.com/profile/show/Utegrad yang memberikan cara yang betul untuk hanya menulis semula sambungan luaran ke HTTPS (sejak beberapa pertanyaan Spiceworks gunakan 127.0.0.1 sebagai URL jika ini dipaksa ke SSL maka ia memecahkan sijil SSL) **

Cara ringkas ini akan menjelaskan bagaimana untuk meningkatkan keselamatan pemasangan Spiceworks anda dengan memaksa setiap orang menggunakan SSL untuk menyambung dengan baik sebagai menetapkan beberapa keperluan minimum untuk jenis sambungan SSL yang ingin kami terima.
Ini akan mengalih keluar beberapa pilihan yang kurang selamat yang mana beberapa versi SSL yang lebih lama dibenarkan seperti tidak dapat menggunakan cip SSL sama sekali (membenarkan semua lalu lintas dipintas).

Saya tidak membuat tuntutan mengenai keselamatan ciphers yang kami lakukan supaya anda masih boleh melakukan penyelidikan anda sendiri dan seterusnya membolehkan / mematikan ciphers.

3 langkah total

Langkah 1: Paksakan semua Sambungan untuk menggunakan SSL


Oleh kerana Spiceworks menggunakan Apache kita boleh memaksa semua sambungan untuk menggunakan SSL dengan melaksanakan aturan penulisan semula URL.

Untuk melakukan ini, kita perlu mengedit fail httpd.conf yang memegang konfigurasi Apache. Ini disimpan di dalam folder pemasangan Spiceworks anda di bawah httpd conf.

Tatal ke bawah ke arah akhir fail httpd.conf dan kira-kira talian 147 cari garisan yang mengandungi:

FcgidMaxProcessesPerClass 1
FcgidMinProcessesPerClass 1

Kemudian di bawah baris ini tambahkan yang berikut:

RewriteEngine On
#Force SSL pada semua sambungan
RewriteCond% {HTTPS} dimatikan
RewriteCond% {REMOTE_HOST}! ^ 127 .0 .0 .1
RewriteRule (. *) Https: //% {HTTP_HOST}% {REQUEST_URI}

Langkah 2: Tukar Tetapan SSL


Kini kami ingin memberitahu Apache apakah protokol SSL yang akan kami terima dan melumpuhkan beberapa ciphers kurang selamat yang boleh digunakan.

Untuk melakukan skrol ini ke bahagian paling bawah fail httpd.conf dan cari bahagian yang bermula dengan:

Di dalam ini sama ada mengulas atau memadam garisan yang bermula dengan "SSLCipherSuite".
Sekarang tambahkan dua baris ini di tempatnya:

SSLProtocol -ALL + SSLv3 + TLSv1
SSLCipherSuite SEMUA:! ANULL:! ADH:! ENULL:! LOW:! EXP: RC4 + RSA: + TINGGI: + MEDIUM

Ini pada dasarnya memberitahu Apache bahawa kami hanya mahu menerima versi SSL versi 3 dan TLS versi 1 dan juga mengehadkan apa ciphers boleh digunakan untuk mengendalikan enkripsi, dalam hal ini kami melumpuhkan perkara seperti ciphers NULL (tidak ada penyulitan).

Sedikit penyelidikan lanjut membolehkan anda mengedit senarai ini lebih jauh bergantung pada keperluan keselamatan anda.

Langkah 3: Simpan dan Terapkan Perubahan

Simpan perubahan httpd.conf dan kemudian memohon mereka memulakan semula Spiceworks.
Anda boleh mengesahkan mereka bekerja dengan cuba untuk mendapatkan Spiceworks Install dengan hanya menggunakan http: // link, anda harus melihatnya swap ke https: // serta-merta.

Sekarang anda menggunakan SSL untuk semua yang anda mungkin ingin pertimbangkan untuk menggunakan sijil SSL yang "betul" yang tidak menghasilkan amaran dalam pelayar web anda. Terdapat dua cara untuk melakukan ini, sama ada membeli sijil SSL awam dari tempat seperti GoDaddy, ini adalah perkara terbaik untuk dilakukan jika anda berhasrat untuk mempunyai pengguna luar (seperti pelanggan), mengakses Spiceworks anda. Sebagai alternatif jika anda hanya menggunakan Spiceworks secara dalaman, anda boleh menghasilkan sijil SSL anda sendiri yang ditandatangani dengan betul dan kemudian mengedarkannya kepada semua pengguna sama ada secara manual atau melalui Dasar Kumpulan.