Apache Httpd 2.2配置CA证书,实现Https加密通讯
来源:互联网 发布:淘宝页头图片怎么修改 编辑:程序博客网 时间:2024/05/16 19:19
Apache Httpd 2.2配置CA证书,实现Https加密通讯
于2017年9月29日发布
什么是CA证书
关于什么是CA证书,以及如何使用Open-SSL申请和搭建CA证书,我们在之前的文章中已经有过介绍,这里不再赘述。有有疑问,可参考之前的文章
。 pojun.tech/blog/2017/09/11/linux-middle-command-1
http://xiaoshuaigege.blog.51cto.com/6217242/1965113
http://blog.csdn.net/eumenides_s/article/details/ 78040787
Apache Httpd 2.2实现https加密通讯
实际生产中CA证书一般是向一些专业认证的国际机构来进行申请的。我们会模拟使用OpenSSL的生成的证书,来实现的Apache的安全加密通讯,这与实际生产中是类似的。
实验环境准备
准备两台虚拟主机。他们的作用和角色分别如下图所示。
接下来,我们分两个部分进行,在主机乙上搭建CA证书环境,然后在主机甲上配置证书环境。
主机乙上搭建CA证书环境
CA证书环境中,私钥的名称以及存放路径,还有证书的名称和存放路径都是有一定规则的,所以,如果不明白的话,查看可以
/etc/pki/tls/openssl.cnf
文件。
1,构建私钥文件
这里我们没有采用加密的方式。
[root@localhost ~]#(umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048 )Generating RSA private key, 2048 bit long modulus.............................................+++.........................+++e is 65537 (0x10001)
2,根据私钥文件,创建自签名的根CA证书
证书的名字必须是cacert.pem,而且存放路径必须是
/etc/pki/CA/cacert.pem
[root@localhost ~]#openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pemYou are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [XX]:CNState or Province Name (full name) []:shandongLocality Name (eg, city) [Default City]:qingdaoOrganization Name (eg, company) [Default Company Ltd]:pojun.techOrganizational Unit Name (eg, section) []:OptCommon Name (eg, your name or your server's hostname) []:ca.pojun.techEmail Address []:
此时如果我们去查看证书的内容话,是可以查看我们刚刚指定的这些信息的。
[root@localhost ~]#openssl x509 -in /etc/pki/CA/cacert.pem -noout -textCertificate: Data: Version: 3 (0x2) Serial Number: 17076170100312404196 (0xecfabe3b994470e4) Signature Algorithm: sha256WithRSAEncryption Issuer: C=CN, ST=shandong, L=qingdao, O=pojun.tech, OU=Opt, CN=ca.pojun.tech Validity Not Before: Sep 29 03:40:10 2017 GMT Not After : Sep 24 03:40:10 2037 GMT Subject: C=CN, ST=shandong, L=qingdao, O=pojun.tech, OU=Opt, CN=ca.pojun.tech *******************省略了公钥和签名信息*************************
3,创建颁发证书必须的两个文件
如果不提前创建这两个文件,那么在生成证书的过程中会出现错误。
我们将文件创建在配置文件中指定的路径下面。
- 生成证书索引数据库文件
touch /etc/pki/CA/index.txt
- 指定第一个颁发证书的序列号
echo 01 > /etc/pki/CA/serial
在主机A上申请证书
1、首先安装mod_ssl动态模块
首先在主机A上安装mod_ssl 模块 ,然后我们来查看一下这个模块里面都包含哪些内容
[root@centos6 ~]$rpm -ql mod_ssl/etc/httpd/conf.d/ssl.conf # 配置文件/usr/lib64/httpd/modules/mod_ssl.so # Apache 动态模块/var/cache/mod_ssl/var/cache/mod_ssl/scache.dir/var/cache/mod_ssl/scache.pag/var/cache/mod_ssl/scache.sem
打开
/etc/httpd/conf.d/ssl.conf
,就会发现,mod_ssl已经帮助我们添加了证书文件,只不过这个证书文件没有任何的意义,我们接下来就是要申请证书,并把他们替换掉。
2、生成私钥文件
因为私钥文件是给Web服务器来使用的,所以私钥文件可以存放在web服务器的配置目录下。这样方便管理 。
# 首先创建一个目录用来管理生成的私钥和证书请求文件,可根据自己的实际情况而定[root@centos6 ~]$ mkdir /etc/httpd/conf.d/ssl# 生成自己的私钥文件[root@centos6 ~]$(umask 066; openssl genrsa -out /etc/httpd/conf.d/ssl/httpd.key 1024)Generating RSA private key, 1024 bit long modulus.++++++...++++++e is 65537 (0x10001)
3、生成证书请求文件
生成自己的证书请求文件,这里的请求文件是要传给主机B(根CA)来申请证书的。其中的域名采用了范域名解析。
也就是说,当我们把所有的环境配置结束之后,就应该使用https://*.a.com的方式来访问网站,这样话,服务器就会自动采用加密的方式来处理我们的请求。
# 生成自己的证书申请文件,以 .csr 结尾的文件。[root@centos6 ssl]$openssl req -new -key /etc/httpd/conf.d/ssl/httpd.key -out /etc/httpd/conf.d/ssl/httpd.csrYou are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [XX]:CNState or Province Name (full name) []:shandongLocality Name (eg, city) [Default City]:yantaiOrganization Name (eg, company) [Default Company Ltd]:pojun.techOrganizational Unit Name (eg, section) []:optCommon Name (eg, your name or your server's hostname) []:*.a.comEmail Address []:Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:An optional company name []:
4、将证书请求文件发送给证书颁发机构(主机B)
我们需要将证书请求文件发送给证书颁发机构。
[root@centos6 ssl]$scp /etc/httpd/conf.d/ssl/httpd.csr 172.18.2.77:/etc/pki/CA/root@172.18.2.77's password: httpd.csr 100% 647 0.6KB/s 00:00
5、在根CA(主机B)颁发证书
我们需要将证书请求文件发送给证书颁发机构。
# 根据主机A提交的证书申请内容,生成证书[root@localhost ~]#openssl ca -in /etc/pki/CA/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365*****************中间省略了输出信息***********************
将生成的证书文件颁发给申请者(主机A)
# 前面我们说过,证书文件都存放在/etc/httpd/conf.d/ssl/目录下[root@localhost ~]#scp /etc/pki/CA/certs/httpd.crt 172.18.2.66:/etc/httpd/conf.d/ssl/The authenticity of host '172.18.2.66 (172.18.2.66)' can't be established.RSA key fingerprint is 00:c0:e5:a6:39:e9:a7:bb:1b:f4:ab:0d:75:9b:38:b0.Are you sure you want to continue connecting (yes/no)? yesWarning: Permanently added '172.18.2.66' (RSA) to the list of known hosts.root@172.18.2.66's password: httpd.crt 100% 3714 3.6KB/s 00:00
同时将根CA的证书也发送给Web服务器(主机A)。这一点很重要。
[root@localhost ~]#scp /etc/pki/CA/cacert.pem 172.18.2.66:/etc/httpd/conf.d/ssl/root@172.18.2.66's password: cacert.pem 100% 1334 1.3KB/s 00:00
在主机A上配置Web服务器
首先配置Web服务器的私钥文件和证书文件,编辑”/etc/httpd/conf.d/ssl.conf”
然后将根CA的证书路径,配置在配置文件中。
配置FQDN
关于在Apache httpd 2.2 上如何配置FQDN,已经在我的另外一片文章中介绍过了,如果有疑问的话,可移步下列站点查看
http://www.pojun.tech/blog/2017/09/27/linux-middle-command-5
http://xiaoshuaigege.blog.51cto.com/blog/6217242/1969618
http://blog.csdn.net/eumenides_s/article/details/78130561
我们这里直接给出配置的内容,该配置文件位于
/etc/httpd/conf.d/
路径下。
[root@centos6 conf.d]$cat ca.conf # 这句话一定要加上NameVirtualHost *:80 <VirtualHost *:80>ServerName www.a.comDocumentRoot "/var/www/html"</VirtualHost><VirtualHost *:80>ServerName mail.a.comDocumentRoot "/var/www/html"</VirtualHost>
测试实验结果
经过了上面的配置之后,我们已经实现了Apache https 的加密通讯,下面我们来验证一下实验的结果。
我们需要一台浏览器来访问一下 我们在FQDN中配置的网络地址。www.a.coom
和www.b.com
注意:这里应该需要配置一下DNS。我们这里偷个懒,因为我使用的windows主机上的浏览器,所以,我们简要的修改下C:\Windows\System32\drivers\etc\hosts
这个文件,并在文件的末尾添加一行。
# 添加这样一句解析。172.18.2.66 www.a.com mail.a.com
添加上面的解析之后,我们就可以通过浏览器访问我们的web服务了(建议使用IE浏览器)。
通过IE浏览器可以查看一下我们的证书路径。注意:根证书是需要安装的,如果不明白,可以查阅资料。
综上,经历了这么多的配置,我们整体就会明白,https 通讯加密,以及证书申请到底是怎么回事。在实际生产中也可以结合此案例来进行操作。若有疑问,欢迎留言。
博客转自曲良同学 http://www.pojun.tech
- Apache Httpd 2.2 配置CA证书,实现Https加密通讯
- Apache Httpd 2.2配置CA证书,实现Https加密通讯
- CA证书 配置 https
- CA加密,网络安全HTTPS SSL-ca证书
- https配置CA证书安装教程
- 对称加密,非对称加密,签名,证书,CA,HTTPS
- CA加密,网络安全-CA(证书颁发机构)配置概述
- https-ssl-nginx-apache-httpd-tomat申请ssl证书小结
- nginx配置https和生成自己的CA证书
- 购买阿里云免费https证书,配置tomcat实现https加密访问
- nginx服务器使用自签ca配置https加密访问
- apache httpd 2.2 + tomcat 配置
- nginx配置ca证书
- Apache+OpenSSL实现证书服务器提供HTTPS
- apache配置httpd-vhosts实现虚拟主机访问
- https证书加密
- android 实现https通讯,通过读取cer或pfx证书
- 配置https服务器系列之一:自制ca证书并配置到nodejs-express服务器
- Java并发编程实战笔记(3)-对象的组合
- 微信小程序学习笔记---定位
- MonoSingleton——Unity中的单例模式
- 【iOS开发】打开另一个APP(URL Scheme与openURL)
- js对象、Json对象和Json字符串的区别
- Apache Httpd 2.2配置CA证书,实现Https加密通讯
- 图片抖动(节流)效果
- 四川润易投资有限公司诈骗24万元血汗钱,请大家求职找工作看招聘信息或者理财客户投资的时候注意防范
- 重写与重载总结
- 如何计算double类型的百分比
- 火热轻量级网络框架okhttp3的使用
- 单进程gevent版-TCP服务器(python 版)
- java 值传递和引用传递
- laravel框架整合workerman