基于httpd的https

服务器 IP 版本
CA 192.168.0.100/ca.abc.com CentOS7
httpd 192.168.0.110/www.abc.com CentOS6.7

1. 为httpd服务器申请数字证书

1.1 创建私有CA(CA服务器)

~]# cd /etc/pki/CA/

CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048)(创建私有CA)

CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 7300(生成自签证书,Ctrl+Backspace可进行修改)

自签证书依次填入:CN、Jiangsu、城市、公司、Ops、ca.abc.com、邮箱(可省略)

CA]# touch index.txt

CA]# echo 01 > serial

1.2 创建证书签署请求(httpd服务器)

在/etc/httpd/目录下创建ssl,进入ssl

ssl]# (umask 077;openssl genrsa -out httpd.key 1024)(生成私钥)

ssl]# openssl req -new -key httpd.key -out httpd.csr(创建证书签署请求)

注:请求信息中hostname为www.abc.com,必须与访问域名一致。

ssl]# scp httpd.csr CA_ServerIP:/tmp/(发送签署请求给CA服务器)

1.3 CA签证(CA服务器)

~]# cd /etc/pki/CA/

CA]# openssl ca -in /tmp/httpd.csr -out certs/httpd.crt(签署发送来的请求证书)

CA]# scp certs/httpd.crt HTTPD_ServerIP:/etc/httpd/ssl(将证书发送给客户端)

2. 配置httpd服务器支持ssl及使用的证书

~]# yum -y install mod_ssl(安装完即通过配置文件加载模块)

~]# vim /etc/httpd/conf.d/ssl.conf

DocumentRoot "/var/www/html"
#取消注释,如有需要修改当前路径
ServerName www.abc.com:443
#取消注释,并修改域名
SSLCertificateFile /etc/httpd/ssl/httpd.crt
#修改默认指定的SSL证书存放位置
SSLCertificateKeyFile /etc/httpd/ssl/httpd.key
#修改默认指定的SSL私钥文件存放位置

其他功能注解(无须修改):

SSLEngine on 
#开启SSL功能
SSLProtocol all -SSLv2 
#支持SSL所有协议,但不支持SSLv2
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA 
#支持的SSL加密方式,!表示不支持

~]# httpd -t(测试语法)

~]# service httpd restart(改变监听端口)

因为指向默认路径,故同时支持http和https,若只允许https,关闭Listen 80;但客户访问一般只会访问http,所以不能简单关闭80端口,需做URL重定向。

3. 测试基于https访问响应的主机

~]# openssl s_client

~]# openssl s_client -connect www.abc.com:443 -CAfile /etc/pki/CA/cacert.pem(CA服务器上验证)

其他客户端浏览器访问https需导入cacert.pem证书,否则为不安全的连接

时间: 2024-11-05 14:42:21

基于httpd的https的相关文章

基于lamp+fastcgi+https搭建phpMyAdmin和wordpress

前言: lamp为网站搭建的很基本的一个架构,如果仅仅只是静态的网页文件,我们就可以通过基本的web服务器来处理.当我们需要处理动态内容时,比如把用户数据放在数据库,从数据库取出数据等等,我们就必须借助CGI连接到处理动态请求的应用.FastCGI作为一个常驻型的CGI,可以独立于apache服务,可以实现分布式的部署.接下来我们用一台 主机来搭建phpMyAdmin和wordpress,并且让wordpress实现https. 正文: 部署之前我们先简单介绍下我们用到的架构,不用多说lamp就

如何实现基于lamp搭建https服务

如何实现基于lamp搭建https服务 lamp:服务架构 httpd:接收用户的web请求:静态资源则直接响应:动态资源为php脚本,对此类资源的请求将交由php来运行: php:运行php程序: MariaDB:数据管理系统: (一):  安装其相关服务 CentOS 6: httpd, php, mysql-server, php-mysql # service httpd  start # service  mysqld  start CentOS 7: httpd, php, php-

基于openssl的https服务的配置

openssl实现私有CA,并配置基于openssl的https服务的配置,原理如下图 在CA服务器上实现私有CA步骤如下: 1.生成一对密钥 2.生成自签证书 基本的配置如下代码; [[email protected] CA]# pwd /etc/pki/CA [[email protected] CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048) [[email protected] CA]# openssl req -ne

基于openssl搭建https服务

多种应用层协议,例如http,ftp,smtp等都是明文协议,而这些服务在互联网通信中是不可或缺的,而有时安全显得特别重要,例如网购的时候,所以出现了ssl/tls的技术,那么现在就来实现以下基于ssl搭建https服务 查看当前httpd服务器是否安装了mod_ssl模块 httpd -M 一般在使用rpm包安装的时候,不会安装该模块,在编译安装httpd的时候,在./configure --enable-ssl编译该模块 如果单独使用rpm安装mod_ssl,可以看到安装这个模块生成的文件

PHP基于HTTPD模块的方式跟MYSQL连接

实验环境: 1.VMware 2.两台linux子机 3.桥接,本机当客户机 实验目的: 1.编译HTTPD和编译PHP.编译MYSQL,熟悉编译过程和原理 2.HTTPD和PHP在同一台服务器上,PHP作为HTTPD的模块来与MYSQL建立连接 实验拓扑: 二进制格式安装mysql 1.安装包组和依赖所用到的包 #yum install pcre-devel #yum groupinstall 'development tools' #yum groupinstall 'desktop pla

配置基于httpd的yum本地库的注意事项

首先,这里有篇博文,讲的非常透彻,不再赘述 http://www.idimmu.net/2009/10/20/creating-a-local-and-http-redhat-yum-repository/ 在准备好本地的rpm的repo之后,通过httpd提供服务时,通常会遇到403的异常错误.通过调研发现,这基本上是由于SELinux服务所致,解决的办法就是不启动该项服务,即:setenforce 0 另外,如果要确保SELinux开机不启动,可修改/etc/sysconfig/selinu

基于mod_ssl配置https服务器

  实验须知: 实验主机1:192.168.1.11,作为web服务器 实验主机2:192.168.1.12,作为CA签署证书的主机 配置流程: (1)      为服务器申请数字证书:这里出于测试的目的,需要建立私有CA 创建私有CA 在web服务器上创建证书签署请求 CA证书签署 (2)      配置httpd支持使用ssl及使用的证书 (3)      测试基于https访问的主机 配置步骤: 在12主机: [[email protected] ~]# cd /etc/pki/CA [[

httpd及https学习笔记

一.基础概念介绍: 1.媒体类型:html        text/html类型 txt           text/plain类型jpeg        image/jpeg类型gif           image/gif类型 2.方法:客户端希望服务器端对资源执行的动作GET:从服务器获取一份web资源HEAD:只从服务器获取文档的首部POST:向服务器发送需要处理的数据(一般是表单提交)PUT:将请求报文的主体部分存储到服务器上DELETE:从服务器删除一份文件 3. 连接的输入/输出

配置httpd支持https

1.首先为192.168.108.159创建私有CA #cd /etc/pki/CA # (umask 077;openssl genrsa -out private/cakey.pem 2048) #ls private/ #touch index.txt #echo 01 index.txt 2.在服务器上创建自签证书 #openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 7300 3.在web服务器上生成证