基于httpd建立私有CA实现https加密连接
????有關于https是什么,點擊連接查看百度百科:https://baike.baidu.com/item/https/285356?fr=aladdin
一、準備工作
????在開始實驗之前,我們要準備至少兩臺主機還有自身的計算機,一臺作為服務器,另外一臺作為私有CA機構,我們要保證這兩臺主機之間可以互相ping通,并且都能于真實計算機ping通,也就是這三臺機器能夠互相通信。
????在這里,我準備了兩臺虛擬機,操作系統分別為CentOS 7 和 CentOS 6 ,CentOS 7 使用的IP地址為172.16.7.100,CentOS 6 使用的IP地址為172.16.128.4。我將CentOS 7 作為提供http服務的服務器,CentOS 6 作為CA機構,三臺機器的功能如圖:
二、建立CA
? ? 首先在IP為172.16.128.4的主機上建立CA,并將自己的信息寫到認證中去:
三、創建申請
????CA建立完了,我們就要開始建立自身的認證了,首先回到當作服務器的主機(172.16.7.100),找到一個目錄來存儲認證文件,在這里我將“/myweb/wordpress/ssl”作為存放目錄(隨便放,后面使用絕對路徑引用,放在一個安全的地方),然后使用下面的命令創建私鑰:
ssl]#?(umask?077;openssl?genrsa?-out?httpd.key?1024) ssl]#?openssl?req?-new?-key?httpd.key?-out?httpd.csr????在填寫信息的時候注意:國家要求兩個字符,服務器填寫虛擬主機的域名
四、申請及審批
????認證文件都創立完成之后,就可以把服務器上生成的申請信息發送到CA上進行認證,使用下面這條命令可以方便的將文件上傳:
????在一段時間等待之后,就會提示要輸入密碼,在輸入密碼之后再等待一段時間,出現如圖所示畫面就說明文件上傳成功:
????切換到CA(172.16.128.4)上執行下面的命令完成認證(根據提示選擇yes即可):
????在認證完成之后,在通過scp命令將認證完成生成的文件傳送回去:
????回到服務器(172.16.7.100)上,即可在“/myweb/wordpress/ssl”里邊看到myweb.wordpress.com.crt文件,到這里私有CA和證書頒發就完成了。
五、瀏覽器查看
????證書頒發完成,但是我們還是不能在瀏覽器中看到,如果想要在瀏覽器里使用https,需要“mod_ssl”,使用下面的命令來安裝:
????在安裝完成之后,就會在“/etc/httpd/conf.d/”下生成一個配置文件:ssl.conf,編輯這個文件:
????將文件中下面兩個選項(一般分別在101行和108行)改成下面這樣(這兩個文件放在哪就改成哪):
????改完之后保存退出,重新加載httpd配置:
????使用命令“ss -tnl”查看,可以看到443端口已經被監聽了,這個端口就是默認的https端口:
????到此https就配置完成,下面進行測試,在“/etc/httpd/conf.d/”中創建一個虛擬主機:
ssl]#?vim?/etc/httpd/conf.d/vhost.conf????寫入以下內容:
????然后創建目錄“/myweb/wordpress”,并創建一個主頁:
????最后在真實計算機上使用瀏覽器打開“https://myweb.wordpress.com/”即可看到如下畫面(要修改hosts文件,參考前面的博客):
????可以看到都是剛才注冊的信息,報錯是因為這個CA為私有,無法經過它的驗證。但是在局域網內就可以使用這個證書來驗證信息來源的可靠性了。
轉載于:https://blog.51cto.com/11142243/1972413
總結
以上是生活随笔為你收集整理的基于httpd建立私有CA实现https加密连接的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: InstallShield 2015 生
- 下一篇: 本地Git关联远程Git时遇到的一些问题