设为首页 收藏本站

运维网

 找回密码
 立即注册
查看: 890|回复: 0

[经验分享] 征服 Apache + SSL

[复制链接]
mahonglin123456

尚未签到
发表于 2016-12-29 11:20:40 | 显示全部楼层 |阅读模式
在Tomcat下配置数字证书,搭建SSL模块,构建HTTPS平台固然必要,但是如果有多个Tomcat需要共享HTTPS服务,并需要负载均衡,这个安全加固的工作还是让Apache代劳更为合适!


相关内容:
征服 Apache + SSL
征服 Apache + SVN
征服 Apache + SVN +  LDAP
征服 Apache + Tomcat
征服 Nginx
征服 Nginx + Tomcat

动手,在Ubuntu上做Apache+SSL!
步骤

  • 安装Apache
  • 安装SSL模块
  • 生成证书
  • 配置生效

1.安装Apache
这里系统选用Ubuntu Server 10.04版本,Apache选用2.2.14,OpenSSL选用0.98k。
安装Apache2
sudo apt-get install apache2
这个就不用解释了,不明白可以查Ubuntu/Debian技术手册。
2.安装SSL模块
Ubuntu版Apache提供了两个命令用于配置SSL站点、模块:
sudo a2ensite default-ssl
这个命令建立了基本ssl站点配置
也就是构建了文件/etc/apache2/sites-available/default-ssl
我们稍后需要修改这个文件,添加自己的证书!
sudo a2enmod ssl
这个命令用于配置SSL模块,完成操作后,可以在/etc/ssl中,发现一些目录、文件。并且/etc/ssl/private目录仅限root帐户才能查看
DSC0000.jpg
完成上述操作后一定要重新启动Apache!
sudo /etc/init.d/apache2 restart

详细内容参考/usr/share/doc/apache2.2-common/README.Debian.gz
其实,这个时候你可以访问https://localhost,查看配置是否生效。如果你打开浏览器会提示你证书(localhost)未验证!
3.生成证书
这里我们需要通过OpenSSL生成证书,如果还没有OpenSSL,那就下载安装:
sudo apt-get install openssl
然后,我们切换到/etc/ssl路径下,构建自签名证书:
sudo openssl req -x509 -newkey rsa:1024 -keyout private/zlex.key -out certs/zlex.pem -nodes -days 3650 -subj "/C=CN/ST=BJ/L=BJ/O=zlex/OU=zlex/CN=www.zlex.org"
req请求证书
-x509签发X.509格式证书
-newkey rsa:1024非对称加密算法为RSA,密钥长度为1024bits
-keyout private/zlex.key私钥输出到private中,名为zlex.key
-out certs/zlex.pem密钥库输出至certs中,名为zlex.pem
-nodes显示详情
-days 3650有效期时间,为3650天
-subj "/C=CN/ST=BJ/L=BJ/O=zlex/OU=zlex/CN=www.zlex.org"证书主题,注意CN指向主机域名,这里为‘www.zlex.org’
DSC0001.jpg
再看看certs和private里原始的证书、密钥库,以及我们刚刚生成的证书密钥库。
DSC0002.jpg
DSC0003.jpg
4.配置生效
由于这里使用www.zlex.org,这就需要通过修改/etc/hosts,让系统绑定www.zlex.org到本机:
sudo /etc/hosts
追加如下内容:
引用
127.0.0.1       www.zlex.org

然后,我们需要修改证书路径,指向刚才生成证书:
sudo vi /etc/apache2/sites-available/default-ssl
找到SSLCertificateFileSSLCertificateKeyFile,修改指向刚才生成的证书和密钥库:
DSC0004.jpg
然后,重启apache:
sudo /etc/init.d/apache2 restart
访问https://www.zlex.org,
DSC0005.jpg
点击添加例外:
DSC0006.jpg
然后看到如下内容:
DSC0007.jpg
现在再看看浏览器标识:
DSC0008.jpg
点开看看:
DSC0009.jpg
我们可以点击查看证书,看看庐山真面目:
DSC00010.jpg
这里用的是自签名证书,所以无法验证! DSC00011.gif
好了,这样就可以完成简单Apache+SSL平台搭建了,当然,这仅仅是基于单向认证服务!
更多细节如下图红框标注,建立证书链,双向认证服务,验证深度等等:
DSC00012.jpg
命令
sudo vi /etc/apache2/sites-available/default-ssl


相关内容:
征服 Apache + SSL
征服 Apache + SVN
征服 Apache + SVN +  LDAP
征服 Apache + Tomcat
征服 Nginx
征服 Nginx + Tomcat

运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-321061-1-1.html 上篇帖子: apache jk 转发 下篇帖子: Apache Mina 学习
回复

使用道具 举报

返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服 E-mail:iyunvcom@gmail.com

本站由青云提供云计算服务

运维网--中国最专业的运维工程师交流社区

豫ICP备20007574号-1 Copyright © 2012-2025

关于我们

发展历程

联系我们

关注我们

广告服务

广告案例

隐私条款

免责声明

用户登录

用户注册

版主守则

申请版主

手机版

金币获取

帮助中心

每日签到

Good Good

Study

Day Day

UP


客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表