设为首页 收藏本站
查看: 1099|回复: 0

[经验分享] 使用https访问apache服务

[复制链接]

尚未签到

发表于 2018-11-20 08:23:20 | 显示全部楼层 |阅读模式
  实验环境:
      CentOS 7
      httpd-2.4.6-40.el7.centos.x86_64
  需要   

      openssl,mod_ssl
  

  安装(直接yum了):
[root@localhost pki]# yum install httpd openssl mod_ssl -y
  

  安装完之后可以访问一下本机,测试httpd服务器
  我的是 http://192.168.1.102/index.html

  

  接下来修改/etc/httpd/conf.d/ssl.conf
  在下找到
# General setup for the virtual host, inherited from global configuration
DocumentRoot "/var/www/html"
ServerName www.example.com:443

  

  将上面两行取消注释,保存。
  重启httpd服务即可。
  就可以使用 https://192.168.1.102/index.html访问了。

  

  当然,初次访问会提示不受信任的证书,这是因为没有CA签发证书。
  实验环境解决办法,创建私有CA,并给httpd签发证书或选择添加信任,继续访问。
  

  签发证书步骤如下:
  
(1) 生成私钥;
  # (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
  

(2) 生成自签证书;
  # openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365
-new:生成新证书签署请求;
-x509:生成自签格式证书,专用于创建私有CA时;
-key:生成请求时用到的私有文件路径;
-out:生成的请求文件路径;如果自签操作将直接生成签署过的证书;
-days:证书的有效时长,单位是day;
(3) 为CA提供所需的目录及文件;
      # mkdir  -pv  /etc/pki/CA/{certs,crl,newcerts}
      # touch  /etc/pki/CA/{serial,index.txt}
      # echo  01 > /etc/pki/CA/serial
此主机即是一台CA了。



(4)用到证书的主机(httpd主机)生成私钥;
  # mkdir  /etc/httpd/ssl
  # cd  /etc/httpd/ssl
  # (umask  077; openssl  genrsa -out  /etc/httpd/ssl/httpd.key  2048)
(5) 生成证书签署请求
  # openssl  req  -new  -key  /etc/httpd/ssl/httpd.key  -out /etc/httpd/ssl/httpd.csr  -days  365
(6) 在CA主机上签署证书;
  # openssl ca  -in  /etc/httpd/ssl/httpd.csr  -out  /etc/pki/CA/certs/httpd.crt  -days  365
  Using configuration from /etc/pki/tls/openssl.cnf
  Check that the request matches the signature
  Signature ok
  Certificate Details:
          Serial Number: 1(0x2)
          Validity
              Not Before: Apr 10 15:45:54 2016 GMT
              Not After : Apr 10 15:45:54 2017 GMT
          Subject:
              countryName               = CN
              stateOrProvinceName       = beijing
              organizationName          = ops
              organizationalUnitName    = ops
              commonName                = ops.com
              emailAddress              = admin@ops.com
          X509v3 extensions:
              X509v3 Basic Constraints:
                  CA:FALSE
              Netscape Comment:
                  OpenSSL Generated Certificate
              X509v3 Subject Key Identifier:
                  08:A3:DD:98:D3:E0:42:58:5E:B7:24:43:6C:3D:B1:D8:02:34:16:46
              X509v3 Authority Key Identifier:
                  keyid:75:63:44:2C:46:80:2F:84:CE:EF:C6:F1:F2:E7:75:2E:EF:17:37:C2
  Certificate is to be certified until Apr 10 15:45:54 2017 GMT (365 days)
  Sign the certificate? [y/n]:y
  1 out of 1 certificate requests certified, commit? [y/n]y
  Write out database with 1 new entries
  Data Base Updated
(7)查看证书中的信息:
  # openssl  x509  -in /etc/pki/CA/certs/httpd.crt  -noout  -serial  -subject
  

  注:由于为实验环境,还需将此证书导入到浏览器中方可。
  另还需注意本地hosts文件。





运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-637156-1-1.html 上篇帖子: RHEL 6下安装Apache 下篇帖子: Apache和Nginx防盗链的简单配置方法
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表