主机频道
要配置 Apache 的公钥密码 (HPKP) 以提高 SSL 安全性,您必须将以下指令添加到 Apache 的配置文件中。
首先,证书公钥的指纹。 您可以使用以下命令获取证书的公钥指纹:
openssl x509 -pubkey -noout -in /path/to/certificate.crt | openssl rsa -pubin -outform der | openssl dgst -sha256 -binary | Base64
生成的添加将公钥指纹添加到 HPKP 标头信息中,并指定最大生存期和备份公钥指纹(可选):
Header always set Public-Key -Pins " pin-sha256 =\"base64+primary_key\"; pin-sha256=\"base64+backup_key\"; max-age=31536000; 在上面的例子中,“base64+primary_key”和“base64+backup_key”分别是生成的主公钥指纹和备份公钥指纹。 age 参数指定 HPKP 标头信息的生命周期(以秒为单位)。 includeSubDomains 参数也适用于所有子域名。
您可以将以下指令添加到 Apache 虚拟主机配置中的 SSL 配置部分。 :
ServerName example.com
SSLEngine on
...
标头 always 设置公钥引脚“pin-sha256=\”base64+primary_key\”;pin-sha256=\“base64+backup_key\”;max-age=31536000;includeSubDomains“
重新启动 Apache 服务器以应用新配置。
上述步骤允许您配置 Apache 的公共 keep pin,以提高 SSL 安全性并防止中间人攻击。 为避免无法访问您的网站,请在配置 HPKP 之前仔细验证并测试您的公钥指纹。
评论前必须登录!
注册