การติดตั้ง Shibboleth Single Sign-On
ตอนที่ 6 - ทำให้ Apache ใช้ SSL

11. ทำให้ Apache Web Server ใช้ SSL ได้

ก่อนที่เราจะไปคอนฟิกเรื่อง Relying Party เราจำเป็นต้องทำให้ Apache 2.2 สามารถใช้งาน SSL ได้ก่อน โดยทำตามขั้นตอนต่อไปนี้

11.1 แก้ไขไฟล์ httpd.conf

ให้เปิดไฟล์ httpd.conf ออกมาเพื่อแก้ไขโดยเปิดคอมเมนต์ที่บริเวณโมดูล ssl_module ดังนี้

รูปภาพ 42 เปิดคอมเมนต์ที่ ssl_module
และเปิดคอมเมนต์ที่บรรทัด 473 ดังนี้

รูปภาพ 43 เปิดคอมเมนต์ที่ไปรวมไฟล์ httpd-ssl.conf ออกมาด้วย

11.2 ใส่ค่าคีย์ให้กับ SSL

เปิดไฟล์ httpd-ssl.conf ที่โฟลเดอร์ c:\sso\Apache2.2\conf\extra เพื่อแก้ไขดังนี้

รูปภาพ 44 ชี้ SSLCertificateFile และ SSLCertificateKeyFile ไปที่ sp-cert.pem กับ sp-key.pem
 หลังจากแก้ไขไฟล์ httpd-ssl.conf และบันทึกไว้แล้ว ให้รีสตาทร์ Apache Web Server แล้วเบราซไปที่ https://127.0.0.1 ควรจะปรากฏภาพดังนี้

รูปภาพ 45 ไปที่ https://127.0.0.1 จะปรากฏหน้าต่างไดอะล็อกซ์แจ้ง X509 Certificate
เมื่อกดปุ่ม View Certificate จะพบรายละเอียดดังนี้

รูปภาพ 46 ชื่อของ Issuer จะตรงกับชื่อเครื่องคอมพิวเตอร์ของท่าน
และจะปรากฏหน้าเว็บดังนี้


รูปภาพ 47 ถ้าเข้าที่ https://127.0.0.1 ได้แสดงว่า Apache สามารถใช้งาน SSL ได้แล้ว

ความคิดเห็น

แสดงความคิดเห็น

โพสต์ยอดนิยมจากบล็อกนี้

การติดตั้ง Shibboleth Single Sign-On
ตอนที่ 12 - การทำ SLO (Single Log-out)

รูปภาพ
19. การติดตั้ง Shibboleth แบบไม่ใช้ SSL ปัญหาที่เราจะพบในการใช้ SSL คือ ปัจจุบันเราใช้ Self Certificate X509 v3 ในการเข้ารหัสเพื่อทำ SSL ระหว่างตัว SP และ IdP แต่หากนำไปใช้งานกับ Internet Explorer จะพบข้อความแจ้งเตือนทุกครั้งก่อนที่เข้าถึงหน้าจอล็อกอิน เนื่องจาก Internet Explorer ตรวจสอบพบว่า Self Certificate ที่เราใช้งานนี้ไม่ได้รับรองโดย CA (Certificate Authority) ซึ่งหากเราต้องการเลี่ยงข้อความแจ้งเตือนดังกล่าวนี้ เราสามารถทำได้ 2 วิธีคือ 1.    ขอซื้อ Certificate X509 v3 ที่ถูกต้องและได้รับการรับรองจาก CA ที่มีได้รับการเชื่อถือ (Trust) ทางตรง หรือ ทางอ้อมจาก Internet Explorer (ดูที่รายการ Trust Root Certificate ในหน้าต่างปรับแต่งค่า Security ของ Internet Explorer) 2.    ไม่ใช้ SSL ของ Tomcat ทางพอร์ต 8443 และใช้พอร์ต HTTP ปกติที่หมายเลข 8080 แทน ในที่นี้จะแสดงวิธีการปรับแต่งไฟล์ idp-metadata.xml และ shibboleth2.xml แบบที่เลี่ยงการใช้งาน SSL และใช้พอร์ต HTTP 8080 ตามปกติของ Tomcat 19.1 แก้ไขไฟล์ idp-metadata.xml ไปที่โฟลเดอร์ c:\sso\shibboleth-idp\metad...
อ่านเพิ่มเติม

ตัวอย่างการเข้ารหัส AES ด้วย Java และถอดรหัสด้วย C#.NET

รูปภาพ
ตัวอย่างการเข้ารหัสแบบ AES 128 bit บน Java และ .NET 1. การทดสอบการเข้ารหัสและถอดรหัสระหว่าง Java และ .NET 1.1 การเข้ารหัสด้วย Java ให้รันไฟล์ TestEncrypt.java จะได้ผลลัพธ์ดังนี้ รูปภาพ 1 ผลลัพธ์การรันไฟล์ TestEncrypt.java สังเกตว่า cipher text ของภาษาไทยจะยาวกว่าเพราะเข้ารหัสตัวอักษรแบบ UTF8 1.2 การถอดรหัสด้วย Java ให้รันไฟล์ TestDecrypt.java จะได้ผลลัพธ์ดังนี้ รูปภาพ 2 ผลลัพธ์การรันไฟล์ TestDecrypt.java 1.3 การถอดรหัสด้วย .NET ให้รันโปรเจค Encryption จะปรากฏแบบฟอร์มดังนี้ รูปภาพ 3 แบบฟอร์มการทดสอบที่ .NET ให้ก็อปปี้ cipher text ของคำว่า Hello World จากภาพที่ 1 ที่ได้จากโปรแกรมฝั่ง Java มาแปะไว้ในเท็กบ็อกซ์ Cipher Text แล้วกดปุ่ม Decrypt จะได้ผลลัพธ์ดังนี้ รูปภาพ 4 ผลลัพธ์การถอดรหัสที่ฝั่ง .NET ได้คำว่า Hello World กลับมาถูกต้อง 1.4 การถอดรหัสคำภาษาไทยด้วย .NET ให้ก็อปปี Cipher Text ของคำว่า “ สวัสดีครับ ” มาจากผลลัพธ์ในภาพที่ 1 ของโปรแกรม Java เอามาใส่ใน .NET แล้วกดปุ่ม Decrypt จะได้ผลลัพธ์กลับออกมาเป็นคำว่า “ สวัสดีครั...
อ่านเพิ่มเติม

การรักษาความปลอดภัยแบบ OWASP

รูปภาพ
การรักษาความปลอดภัยระบบเว็บแอพพลิเคชันตามวิธีการ OWASP ความเป็นมา เนื่องจากปัจจุบันบริษัทเป็นผู้พัฒนาและส่งมอบระบบเว็บแอพพลิเคชันที่ใช้งานระดับองค์กรจำนวนหลายโครงการให้กับหน่วยงานตั้งแต่ขนาดกลางถึงขนาดใหญ่ จึงจำเป็นต้องคำนึงถึงการรักษาความปลอดภัยข้อมูลเป็นนโยบายอันดับต้น โดยแนวทางการรักษาความปลอดภัยที่ได้รับความนิยมในปัจจุบันก็คือ OWASP (Open Web Applicatoin Security Project) ซึ่งได้รวบรวมจุดอ่อนทางด้านการรักษาความปลอดภัยของระบบเว็บแอพพลิเคชันไว้จำนวนมาก พร้อมทั้งแนะนำแนวทางป้องกันที่เป็นรูปธรรม สามารถนำมาใช้ปฏิบัติได้เพื่อป้องกันไม่ให้ระบบเว็บแอพพลิเคชันเกิดช่องโหว่ และถูกจู่โจมลักลอบใช้งานหรืออาจจะถูกเข้าถึงข้อมูลและนำไปใช้โดยผู้ที่ไม่พึงประสงค์ แนวทาง OWASP จุดอ่อนทางด้านการรักษาความปลอดภัยข้อมูล 10 อันดับแรก ที่ OWASP แนะนำไว้มีดังต่อไปนี้ 1.    Cross Site Scripting 2.    Injection Flaws 3.    Malicious File Execution 4.    Insecure Direct Object Reference 5.    Cross Site Request Forgery (CSRF) 6.    I...
อ่านเพิ่มเติม