设为首页 收藏本站
查看: 874|回复: 0

[经验分享] Apache 使用CA证书实现https配置详解

[复制链接]

尚未签到

发表于 2018-11-19 09:51:11 | 显示全部楼层 |阅读模式
  https会话建立过程
  1、client发起三次握手请求
  2、完成tcp/ip三次握手
  3、client和server协商使用的加密算法
  4、协商完成后,server发送自己的证书给client
  5、client验证server端证书,验证完成后生成一个对称秘钥发送给服务器端
  6、client发送请求页面给server端,server通过client发送的秘钥加密后回送给client
  证书生成过程
  1、client和server端验证对方证书都是通过第三方颁发机构CA来验证。
  2、CA给server端下发证书
  3、客户端信任CA机构,把CA的验证证书放在自己家中,来验证对方的证书
  4、服务器端生成一对秘钥,把公钥发送给CA。CA签署生成证书,回送给server
  5、server配置自己的服务器以使用证书,在客户端请求时把证书发送给client。
  6、client使用保存在自己的证书来验证server端。最终完成ssl会话。
  注:ssl会话是不可以通过主机名来区分的,仅能支持IP地址来进行。也就是说如果服务器配置多个虚拟主机,只可配置一个虚拟主机来支持
  实验拓扑
CA:192.168.11.101  web服务器:192.168.11.100
  client:192.168.11.7
  实验过程
  1、要使http支持ssl功能,需要先安装mod_sll功能(192.168.11.100)
yum -y install mod_ssl            #主配置文件在/etc/httpd/conf.d/ssl.conf  2、生成CA字签证书(192.168.11.101)
cd /etc/pki/CA  #生成秘钥
  (umask 077; openssl genrsa -out private/cakey.pem 2048)      #使用genrsa加密算法,-out表示存放路径,2048表示加密位数,umask 077表示秘钥权限
  编辑生成证书的默认信息
vim /etc/pki/tls/openssl.cnf       #配置文件  countryName_default             = CN            #国家
  stateOrProvinceName_default     = HeNan             #省份
  localityName_default            = zhengzhou              #城市
  0.organizationName_default      = yuliang             #公司
  organizationalUnitName_default  = Tec              #部门
  生成自签证书
#openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655  (-new表示新创建证书,-x509表示使用的协议,-days 3655表示证书有效期)
  You are about to be asked to enter information that will be incorporated
  into your certificate request.
  What you are about to enter is what is called a Distinguished Name or a DN.
  There are quite a few fields but you can leave some blank
  For some fields there will be a default value,
  If you enter '.', the field will be left blank.
  -----
  Country Name (2 letter code) [CN]:      #国家
  State or Province Name (full name) [HeNan]:       #省份
  Locality Name (eg, city) [ZhengZhou]:         #城市
  Organization Name (eg, company) [yuliang]:        #公司
  Organizational Unit Name (eg, section) [Tech]:          #部门
  Common Name (eg, your name or your server's hostname) []:ca.yuliang.com        服务器名称
  Email Address []:admin@yuliang.com         #联系邮箱
  修改CA服务器证书路径
[ CA_default ]  dir                = /etc/pki/CA             # Where everything is kept
  certs             = $dir/certs                # Where the issued certs are kept
  crl_dir           = $dir/crl                    # Where the issued crl are kept
  database        = $dir/index.txt        # database index file.
  #unique_subject = no                     # Set to 'no' to allow creation of
  # several ctificates with same subject.
  new_certs_dir   = $dir/newcerts         # default place for new certs.
  certificate     = $dir/cacert.pem        # The CA certificate
  serial          = $dir/serial                    # The current serial number
  crlnumber       = $dir/crlnumber        # the current crl number
  # must be commented out to leave a V1 CRL
  crl             = $dir/crl.pem                   # The current CRL
  private_key     = $dir/private/cakey.pem# The private key
  RANDFILE        = $dir/private/.rand    # private random number file
  x509_extensions = usr_cert                 # The extentions to add to the cert
  根据配置中的路径,创建所需文件
mkdir certs crl newcerts  touch index.txt
  echo 01 > serial          #01表示证书颁发序列号从01开始
  至此,CA准备完成。如果有web server需要申请证书,只需要自己生成一对密钥,并且把申请发送给CA,发出证书申请请求到CA服务器上,由CA来做签署。
  3、在web server中生成密钥(192.168.11.100)
cd /etc/httpd/  mkdir ssl && cd ssl
  (umask 077; openssl genrsa 1024 >httpd.key)    #生成密钥,>和上面的-out用法一样
  在web server中生成证书请求
openssl req -new -key httpd.key -out httpd.csr  依次输入国家,城市,公司等信息。注意要与CA保持一致
  ps:需注意Common Name项一定要填写最终让用户访问ssl的域名
  生成完成后将证书申请请求发送到CA服务器
scp httpd.csr 192.168.11.101:/tmp  4、CA服务器签署web server证书请求(192.168.11.101)
openssl ca -in /tmp/httpd.csr -out /tmp/httpd.crt -days 3650  #生成名叫httpd.crt的证书,证书有效期为10年
  生成完成后将证书发送会web server(这里从web server直接拷会)
scp 192.168.11.101:/tmp/httpd.crt /etc/httpd/ssl/  注意:在证书申请完成后一定要把/tmp目录下的临时文件删除
  5、配置web server可以使用证书(192.168.11.100)
vim /etc/httpd/conf.d/ssl.conf   (注意先备份)  Listen 443    #监听端口
  AddType application/x-x509-ca-cert .crt          #支持的证书类型
  AddType application/x-pkcs7-crl .crl          #证书吊销列表
  SSLSessionCache         shmcb:/var/cache/mod_ssl/scache(512000)        #ssl缓存机制
  SSLSessionCacheTimeout  300            #缓存清空时间
       #_default_表示使用本机默认地址,如果本机有多个地址,需要将_default_改为指定地址
  ServerName
www.margan.com      #还需增加指定服务名称  DocumentRoot "/www/html/"     #指定服务目录,需注意要和web保持一致
  ErrorLog  /logs/ssl_errot_log      #错误日志保存目录
  TransferLog  /log/ssl_access_log     #指定访问日志保存目录
  LogLevel    #日志级别
  SSLEngine  on   #表示启用ssl
  SSLProtocol all -SSLv2      #指定ssl可用协议,但不支持SSLv2
  SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW    #指定加密机制
  SSLCertificateFile /etc/httpd/ssl/httpd.crt      #指定证书路径
  SSLCertificateKeyFile /etc/httpd/ssl/http.key       #指定web server私钥
  至此配置结束,检测配置语法,并重启服务器
httpd -t  service httpd restart
  在客户端修改hosts文件,即可通过https://www.morgan.com访问
  但访问时会提示证书不可信
  可将服务器证书下载下来,并改为cacert.crt文件,并放入到可信任的根证书颁发机构。
  注:如果web server不小心丢失或者损坏了CA签署的证书,再次申请会报错
failed to update database  TXT_DB error number 2
  解决办法是:
删除/etc/pki/CA下的index.txt文件  然后touch index.txt


运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-636867-1-1.html 上篇帖子: apache配置文件详解(二) 下篇帖子: 分析APACHE NGINX的LOG
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表