码迷,mamicode.com
首页 > Web开发 > 详细

基于httpd建立私有CA实现https加密连接

时间:2017-10-14 21:55:24      阅读:174      评论:0      收藏:0      [点我收藏+]

标签:ca   https   openssl   

    有关于https是什么,点击连接查看百度百科:https://baike.baidu.com/item/https/285356?fr=aladdin

一、准备工作

    在开始实验之前,我们要准备至少两台主机还有自身的计算机,一台作为服务器,另外一台作为私有CA机构,我们要保证这两台主机之间可以互相ping通,并且都能于真实计算机ping通,也就是这三台机器能够互相通信。

    在这里,我准备了两台虚拟机,操作系统分别为CentOS 7 和 CentOS 6 ,CentOS 7 使用的IP地址为172.16.7.100,CentOS 6 使用的IP地址为172.16.128.4。我将CentOS 7 作为提供http服务的服务器,CentOS 6 作为CA机构,三台机器的功能如图:

技术分享

二、建立CA

    首先在IP为172.16.128.4的主机上建立CA,并将自己的信息写到认证中去:

~]# cd /etc/pki/                                                            #切换工作目录
CA]# touch index.txt                                #然后再当前目录下创建两个文件
CA]# echo 01 > serial                               #在认证时会用到,如果不创建会报错
CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048)                     #创建私钥
CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 7300   #认证自己

技术分享

三、创建申请

    CA建立完了,我们就要开始建立自身的认证了,首先回到当作服务器的主机(172.16.7.100),找到一个目录来存储认证文件,在这里我将“/myweb/wordpress/ssl”作为存放目录(随便放,后面使用绝对路径引用,放在一个安全的地方),然后使用下面的命令创建私钥:

ssl]# (umask 077;openssl genrsa -out httpd.key 1024)
ssl]# openssl req -new -key httpd.key -out httpd.csr

    在填写信息的时候注意:国家要求两个字符,服务器填写虚拟主机的域名

技术分享

四、申请及审批

    认证文件都创立完成之后,就可以把服务器上生成的申请信息发送到CA上进行认证,使用下面这条命令可以方便的将文件上传:

ssl]# scp httpd.csr root@172.16.128.4:/tmp/          #此命令在172.16.7.100(服务器上执行)

    在一段时间等待之后,就会提示要输入密码,在输入密码之后再等待一段时间,出现如图所示画面就说明文件上传成功:

技术分享

    切换到CA(172.16.128.4)上执行下面的命令完成认证(根据提示选择yes即可):

CA]# openssl ca -in /tmp/httpd.csr -out certs/myweb.wordpress.com.crt -days 365

    在认证完成之后,在通过scp命令将认证完成生成的文件传送回去:

CA]# scp certs/myweb.wordpress.com.crt 172.16.7.100:/myweb/wordpress/ssl/

    回到服务器(172.16.7.100)上,即可在“/myweb/wordpress/ssl”里边看到myweb.wordpress.com.crt文件,到这里私有CA和证书颁发就完成了。

五、浏览器查看

    证书颁发完成,但是我们还是不能在浏览器中看到,如果想要在浏览器里使用https,需要“mod_ssl”,使用下面的命令来安装:

~]# yum install -y mod_ssl

    在安装完成之后,就会在“/etc/httpd/conf.d/”下生成一个配置文件:ssl.conf,编辑这个文件:

~]# vim /etc/httpd/conf.d/ssl.conf

    将文件中下面两个选项(一般分别在101行和108行)改成下面这样(这两个文件放在哪就改成哪):

SSLCertificateFile /myweb/wordpress/ssl/myweb.wordpress.com.crt
SSLCertificateKeyFile /myweb/wordpress/ssl/httpd.key

    改完之后保存退出,重新加载httpd配置:

~]# systemctl restart httpd

    使用命令“ss -tnl”查看,可以看到443端口已经被监听了,这个端口就是默认的https端口:

技术分享

    到此https就配置完成,下面进行测试,在“/etc/httpd/conf.d/”中创建一个虚拟主机:

ssl]# vim /etc/httpd/conf.d/vhost.conf

    写入以下内容:

<VirtualHost *:443>
        ServerName myweb.wordpress.com
        DocumentRoot /myweb/wordpress
        ErrorLog logs/wordpress-error_log
        CustomLog logs/wordpress-access_log combiend
        DirectoryIndex index.html
        <Directory "/myweb/wordpress">
                Options Indexes
                AllowOverride   None
                Require all granted
        </Directory>
</VirtualHost>

    然后创建目录“/myweb/wordpress”,并创建一个主页:

~]# mkdir /myweb/wordpress
~]# echo "wordpress Page" > /myweb/wordpress/index.html

    最后在真实计算机上使用浏览器打开“https://myweb.wordpress.com/”即可看到如下画面(要修改hosts文件,参考前面的博客):

技术分享

    可以看到都是刚才注册的信息,报错是因为这个CA为私有,无法经过它的验证。但是在局域网内就可以使用这个证书来验证信息来源的可靠性了。






基于httpd建立私有CA实现https加密连接

标签:ca   https   openssl   

原文地址:http://11142243.blog.51cto.com/11132243/1972413

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!