设为首页 收藏本站
查看: 832|回复: 0

[经验分享] apache用户认证,ssl双向认证配置

[复制链接]

尚未签到

发表于 2017-12-24 21:44:07 | 显示全部楼层 |阅读模式
  安装环境:
  OS:contos 6.4
  httpd:httpd-2.2.15-59.el6.centos.i686.rpm
  openssl:openssl-1.0.1e-57.el6.i686.rpm
  mod_ssl:mod_ssl-2.2.15-59.el6.centos.i686.rpm
  一、配置apache的用户认证
  用户认证:用户需在进入web时,登录合法的用户,认证通过后,才能进入访问web服务器
  (1)安装httpd,编辑/etc/httpd/conf/httpd.conf
  在文件中大约338行左右有一行
  “AllowOverride  none” 这个是系统默认的,无控制列表,见附。
  我们这里将none改为AuthConfig,并添加以下几行内容,如下:
  AllowOverride AuthConfig
  AuthType Basic # 用户认证类型
  AuthName "Restricted Site" # 认证时显示的名字
  AuthUserFile /etc/httpd/conf/htpasswd # 认证时用户的账号密码文件
  #AuthGroupFile /etc/httpd/conf/htgroup #基于组的认证
  # Require user tom # 只有tom用户才能登录
  # Require group myusers # 允许哪个组中的用户登录
  Require valid-user # 出现在账号密码文件中的用户都能登录
  ps:若不支持utf-8,请将中文注释去掉
  (2)创建/etc/httpd/conf/htpasswd文件,及用户
  使用htpasswd命令创建用户,在第一次创建时加-c可创建文件
  htpasswd -c -m /etc/httpd/conf/htpasswd  dyz
  #连续输入两次密码
  # htpasswd -m /etc/httpd/conf/htpasswd  zzz
  #连续输入两次密码
  (3)若开启基于组的认证,则创建组文件/etc/httpd/conf/htgroup
  在文件中写入一行
  myusers:  dyz  zzz
  二、配置apache的ssl双向认证
  ssl单向认证:只服务端部署ssl证书,向用户提供了身份认证
  ssl双向认证:服务端部署ssl证书,向用户提供了身份认证。并且服务段需要客户端提供身份认证,只能是服务端允许的客户能去访问,安全性更高
  (1)安装openssl,使用openssl生成证书
  生成客户端证书密钥:
  openssl genrsa -des3 -out client.key 1024
  生成客户端证书签名请求:
  openssl req -new -key client.key -out client.csr
  生成CA证书密钥:
  openssl genrsa -des3 -out ca.key 1024
  生成CA证书:
  openssl req -new -x509 -keyout ca.key -out ca.crt
  生成客户端证书:
  openssl x509 -req -days 3650 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -o
  ut client.crt
  生成浏览器支持的证书格式p12:
  openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12
  输入的密码,在将证书导入浏览器时能用到
  ps:使用openssl verify -CAfile ca.crt client.crt命令,验证客户端证书和CA证书
  (2)安装mod_ssl,编辑/etc/httpd/conf.d/ssl.conf
  设置客户端证书目录:SSLCertificateFile /etc/pki/tls/certs/client.crt
  设置客户端证书密钥目录:SSLCertificateKeyFile /etc/pki/tls/certs/client.key
  设置CA证书目录:SSLCACertificateFile /etc/pki/tls/certs/ca.crt
  开启要求进行客户端认证:
  取消注释
  SSLVerifyClient require
  SSLVerifyDepth  10
  (3)将第一步生成的证书及证书密钥放入ssl.conf配置文件指定的目录/etc/pki/tls/certs/
  (4)重启httpd服务:service httpd restart

运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-427648-1-1.html 上篇帖子: Apache Struts2存在S2-045 下篇帖子: xampp中apache点击启动失败解决方法
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表