Obě strany předchozí revizePředchozí verzeNásledující verze | Předchozí verze |
instalace:apache [2022/05/25 16:15] – kozak | instalace:apache [2024/04/17 11:31] (aktuální) – [Konfigurace Apache] kozak |
---|
SSLEngine on | SSLEngine on |
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 | SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 |
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDH-ECDSA-AES-128-GCM-SHA256:ECDH-RSA-AES-128-GCM-SHA2> | SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDH-ECDSA-AES-128-GCM-SHA256:ECDH-RSA-AES-128-GCM-SHA2> |
SSLHonorCipherOrder on | SSLHonorCipherOrder on |
SSLCompression off | SSLCompression off |
Header always set Referrer-Policy "same-origin" | Header always set Referrer-Policy "same-origin" |
Header set Content-Security-Policy "script-src 'self' 'unsafe-eval' https:; object-src 'self' 'unsafe-eval' https:" | Header set Content-Security-Policy "script-src 'self' 'unsafe-eval' https:; object-src 'self' 'unsafe-eval' https:" |
Header set Feature-Policy "vibrate 'self'; geolocation 'self'; notifications 'self'" | |
</VirtualHost> | </VirtualHost> |
| |
Header always set Referrer-Policy "same-origin" | Header always set Referrer-Policy "same-origin" |
Header set Content-Security-Policy "script-src 'self' 'unsafe-eval' https:; object-src 'self' 'unsafe-eval' https:" | Header set Content-Security-Policy "script-src 'self' 'unsafe-eval' https:; object-src 'self' 'unsafe-eval' https:" |
Header set Feature-Policy "vibrate 'self'; geolocation 'self'; notifications 'self'" | |
</VirtualHost> | </VirtualHost> |
</IfModule> | </IfModule> |
* ''sudo a2enmod proxy_http'' | * ''sudo a2enmod proxy_http'' |
* ''sudo a2enmod http2'' | * ''sudo a2enmod http2'' |
* sudo a2enmod headers | * ''sudo a2enmod headers'' |
SSL certifikáty se automaticky generují přes mod_md modul zabudovaný v Apachi. Pokud chcete přidat další doménu, pro kterou je potřeba generovat certifikáty (například Vaše aplikace bežící na nodu pod jinou doménou), doporučujeme vytvořit nový config například **aplikace.vaseDomena.conf** v /etc/apache2/sites-available/ a zařadit ho mezi configy, které si Apache načítá při spuštění příkazem ''sudo a2ensite **aplikace.vaseDomena**''.Potom stačí Apache restartovat ''sudo systemctl restart apache2'' a certifikáty by se měly pravidelně začít generovat i pro tuto doménu. Výše zmíněný config by pro aplikaci běžící na portu 8083 mohl vypadat například takto: | SSL certifikáty se automaticky generují přes mod_md modul zabudovaný v Apachi. Pokud chcete přidat další doménu, pro kterou je potřeba generovat certifikáty (například Vaše aplikace bežící na nodu pod jinou doménou), doporučujeme vytvořit nový config například **aplikace.vaseDomena.conf** v /etc/apache2/sites-available/ a zařadit ho mezi configy, které si Apache načítá při spuštění příkazem ''sudo a2ensite **aplikace.vaseDomena**''.Potom stačí Apache restartovat ''sudo systemctl restart apache2'' a certifikáty by se měly pravidelně začít generovat i pro tuto doménu. Výše zmíněný config by pro aplikaci běžící na portu 8083 mohl vypadat například takto: |
<code> | <code> |
SSLEngine on | SSLEngine on |
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 | SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 |
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDH-ECDSA-AES-128-GCM-SHA256:ECDH-RSA-AES-128-GCM-SHA2> | SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDH-ECDSA-AES-128-GCM-SHA256:ECDH-RSA-AES-128-GCM-SHA2> |
SSLHonorCipherOrder on | SSLHonorCipherOrder on |
SSLCompression off | SSLCompression off |
Header always set Referrer-Policy "same-origin" | Header always set Referrer-Policy "same-origin" |
Header set Content-Security-Policy "script-src 'self' 'unsafe-eval' https:; object-src 'self' 'unsafe-eval' https:" | Header set Content-Security-Policy "script-src 'self' 'unsafe-eval' https:; object-src 'self' 'unsafe-eval' https:" |
Header set Feature-Policy "vibrate 'self'; geolocation 'self'; notifications 'self'" | |
</VirtualHost> | </VirtualHost> |
</IfModule> | </IfModule> |
| |
| </code> |
| ==== Vlastní SSL certifikáty ==== |
| |
| Stačí do zmíněného configu **/etc/apache2/sites-available/blockchain.vaseDomena.conf **doplnit cesty k certifikátu. |
| |
| 4. řádek ''MDomain **blockchain.vaseDomena**'' přepsat na: |
| <code> |
| <MDomain **blockchain.vaseDomena**> |
| MDCertificateFile /etc/ssl/certs/ssl-cert.pem |
| MDCertificateKeyFile /etc/ssl/private/ssl-cert.key |
| </MDomain> |
| |
</code> | </code> |