الاتاصر بالسيرفر عبر شهادة الأمان فقط (يتم ارسال الشهادة مع الركويست)

لتأمين API باستخدام شهادة SSL متقدمة وتقييده للوصول فقط لحاملي نفس الشهادة

يجب اتباع الخطوات التالية:

1- شراء شهادة SSL متقدمة: يجب شراء شهادة SSL من مزود خدمة موثوق به. يفضل اختيار شهادة SSL Wildcard أو شهادة SSL متوسطة المستوى لتتمكن من تأمين API وجميع النطاقات الفرعية.

2- تثبيت شهادة SSL على الخادم: يجب تثبيت شهادة SSL على الخادم الذي يستضيف API. يمكن تثبيت الشهادة عن طريق الدخول إلى لوحة تحكم الخادم وتحميل الشهادة والمفتاح الخاص وإعداد ملفات الاعتماد اللازمة.

• قم بتنزيل ملف الشهادة والمفتاح الخاص (key) من مزود الخدمة الذي قمت بشراء الشهادة منه وحفظهما في مجلد على الخادم.
• تحقق من وجود openssl على الخادم وإذا لم يكن موجودًا، قم بتثبيته.
• قم بإنشاء ملف PEM وذلك بتشغيل الأمر التالي واستبدال example.com بمجال الويب الخاص بك:

cat example.com.crt example.com.key > example.com.pem

• تحقق من أن مجلد الـ PEM يمكن الوصول إليه من قبل المستخدم الذي يعمل API. يمكن استخدام الأمر chmod لتغيير أذونات الملف.

3- تحديث API للعمل عبر HTTPS:

يجب تحديث API ليعمل عبر HTTPS بدلاً من HTTP.

• اعتمد على اللغة التي تستخدمها API لتغيير URL بحيث يتم تحويل جميع الطلبات إلى HTTPS.

4- تكوين خادم الويب للتحقق من الشهادة:

يجب تكوين خادم الويب (مثل Apache أو Nginx) للتحقق من صحة الشهادة الواردة في الطلبات الواردة إلى الAPI. يمكن تكوين خادم الويب للتحقق من الشهادة SSL حيث يتم بإضافة بعض الإعدادات إلى ملفات التكوين الخاصة بالخادم. هناك طريقتان شائعتان لتحقق من الشهادة SSL على خادم الويب:

1- تحقق من شهادة SSL باستخدام OCSP (Online Certificate Status Protocol):

• تأكد من تثبيت برنامج OCSP على الخادم.
• يجب تعيين خادم الويب لاستخدام OCSP عند التحقق من صحة الشهادة. يمكن القيام بذلك بإضافة بعض الإعدادات إلى ملف التكوين الخاص بخادم الويب.

2- تحقق من شهادة SSL باستخدام CRL (Certificate Revocation List):

• يجب تنزيل CRL من مركز الشهادات.
• يجب تحديث CRL بانتظام.
• يجب تكوين خادم الويب للاستفسار عن CRL عند التحقق من صحة الشهادة. يمكن القيام بذلك بإضافة بعض الإعدادات إلى ملف التكوين الخاص بخادم الويب.

بالنسبة لـ Apache، يمكن تكوينه للتحقق من صحة الشهادة SSL بإضافة بعض الإعدادات إلى ملف httpd.conf. على سبيل المثال، يمكن إضافة الإعدادات التالية:

SSLVerifyClient require
SSLVerifyDepth 1
SSLCACertificateFile /path/to/CA/root.crt

بالنسبة لـ Nginx، يمكن تكوينه للتحقق من صحة الشهادة SSL بإضافة بعض الإعدادات إلى ملف nginx.conf. على سبيل المثال، يمكن إضافة الإعدادات التالية:

ssl_verify_client on;
ssl_verify_depth 1;
ssl_client_certificate /path/to/CA/root.crt;

يجب تعديل المسارات المحددة أعلاه وفقًا لمكان تثبيت شهادة SSL ومفاتيح الخادم وشهادات السلطة المصدرة

5- تكوين الأذونات:

يجب تكوين الأذونات على الخادم بحيث يتم السماح بالوصول إلى API فقط لحاملي الشهادة الموثوق بهم. يمكن ذلك عن طريق تكوين قواعد الإعدادات في ملفات التكوين الخاصة بالخادم.

• قم بإعداد ملف تكوين الخادم (مثل Apache أو Nginx) ليسمح بالوصول إلى API عبر HTTPS فقط ولحاملي الشهادة الموثوق بهم فقط.
• في حالة Apache، يمكنك استخدام ملف .htaccess لتكوين الأذونات والتحقق من أن المستخدم المتصل لديه الشهادة المناسبة. يمكن استخدام التعليمات التالية في ملف .htaccess:

SSLRequire %{SSL_CLIENT_S_DN_CN} eq "your_client_common_name"

• في حالة Nginx، يمكنك استخدام التوجيهات التالية في ملف تكوين الخادم لتحقق من صحة الشهادة وإذن فقط حاملي الشهادة للوصول إلى API:

ssl_verify_client on;
ssl_client_certificate /path/to/your/ca.pem;
if ($ssl_client_verify != SUCCESS) { return 403; }

بهذه الطريقة، يمكنك ضمان أنه سيتم الوصول إلى API عبر HTTPS فقط ولحاملي الشهادة الموثوق بهم فقط. يمكن تخصيص الأذونات لتناسب احتياجات المشروع الخاص بك وفقًا للملفات الخاصة بالخادم الخاص بك.