Linux下Web服务器应用之网站安全-https

最新推荐文章于 2022-10-09 23:35:06 发布
最新推荐文章于 2022-10-09 23:35:06 发布
阅读量1k 收藏
点赞数
分类专栏: Linux
原创作品,允许转载,转载时请务必以超链接形式标明文章  原始出处  、作者信息和本声明。否则将追究法律责任。 http://xjzhujunjie.blog.51cto.com/3582724/808983

Linux下Web服务器应用之网站安全(https)解决方案

HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
案例应用1:Web服务器应用之https
1.   企业实现要求:
某公司要求在公司内部自行搭建CA证书服务器,用于提高证书服务(在windows server 2008上实现);并且为公司内部的WWW服务器提供证书服务,提供正常服务。
2.   案例应用简化拓扑图:

3.案例实现步骤:
(1)在windows server2008上搭建CA证书服务器

 

 

 

 
(2)在web服务器上安装相应的软件
[root@www ~]# mkdir /mnt/cdrom
[root@www ~]# mount /dev/cdrom /mnt/cdrom/
[root@www ~]# cd /mnt/cdrom/Server/
[root@www Server]# rpm -ivh httpd-2.2.3-22.el5.i386.rpm
[root@www ~]# yum install -y mod_ssl
(3)配置web服务器的虚拟主机
#创建网页文件
[root@www www]# cat html/index.html
--www
--xjzhujunjie
--2012/03/17
[root@www www]# cat tec/index.html
--tec
--xjzhujunjie
--2012/03/17
[root@www www]# cat mkt/index.html
--mkt
--xjzhujunjie
--2012/03/17
#编辑apache配置文件
[root@www ~]# vim /etc/httpd/conf/httpd.conf  
134 Listen 80
 
973 NameVirtualHost 192.168.101.111:80
 
992 <VirtualHost 192.168.101.111:80>
 993     ServerAdmin master@junjie.com
 994     DocumentRoot /var/www/html
 995     ServerName www.junjie.com
 996     ErrorLog logs/www-error_log
 997     CustomLog logs/www-access_log common
 998 </VirtualHost>
 999 <VirtualHost 192.168.101.111:80>
1000     ServerAdmin master@junjie.com
1001     DocumentRoot /var/www/tec
1002     ServerName tec.junjie.com
1003     ErrorLog logs/tec-error_log
1004     CustomLog logs/tec-access_log common
1005 </VirtualHost>
1006 <VirtualHost 192.168.101.111:80>
1007     ServerAdmin master@junjie.com
1008     DocumentRoot /var/www/mkt
1009     ServerName mkt.junjie.com
1010     ErrorLog logs/mkt-error_log
1011     CustomLog logs/mkt-access_log common
1012 </VirtualHost>
(4)重启web服务器,测试虚拟主机
[root@www ~]# service httpd restart          #重启apache服务
Win7客户端测试在C:\Windows\System32\drivers\etc\hosts添加:
192.168.101.250          www.junjie.com
192.168.101.250          tec.junjie.com
192.168.101.250          mkt.junjie.com
Win7客户端使用IE9浏览器测试结果如下(虚拟主机完成):

(5)为web服务器申请证书
[root@www httpd]# mkdir certs
[root@www httpd]# cd certs/
[root@www certs]# openssl genrsa 1024 >httpd.key
[root@www certs]# chmod 600 httpd.key
CN/HENAN/ZHENGZHOU/zzu/junjie/www.junjie.com/xjzhujunjie@hotmail.com///
在linux的web服务器上启动桌面环境,用于申请证书
在firefox浏览器中输入http://192.168.101.112/certsrv来申请证书

选择申请证书,即可进入申请证书页面,将刚才生成的请求文件填写在下面

 

可以看到,此时证书服务器已经向web服务器返回信息,提示正在审核中
此时进入windows server 2008证书服务器上,开始审核web服务器申请的证书,选择挂起的证书,即可看到web服务器提交的申请信息

选择信息时,右键,所有任务,颁发证书,为web服务器颁发证书;接下来便可以在颁发的证书中看到已经颁发的证书;

Linux的web服务器再次在firefox浏览器中输入http://192.168.101.112/certsrv,查看挂起的证书,并下载证书

 

 

刚下载的证书,默认保存在桌面,将其移动到/etc/httpd/certs/下。
(6)修改web服务器证书文件
[root@junjie ~]# cd /etc/httpd/conf.d/ssl.conf
112 SSLCertificateFile /etc/httpd/certs/httpd.cer
119 SSLCertificateKeyFile /etc/httpd/certs/httpd.key
128 SSLCertificateChainFile /etc/httpd/certs/cacert.p7b
[root@www ~]# service httpd restart          #重启apache服务
(7)win7客户端使用https安全访问网页
使用win7的IE9测试,输入安全网址https://www.junjie.com
,此时浏览器提示安全警告,提示此网站的安全证书有问题,并将警告信息显示出来,具体如下:

如若:用户强制继续访问,侧依然可以访问,但是浏览器地址栏中,已经变成红色报警信息,提示此网站不安全

 

 说明:在此由于我没有使用IE9浏览器,没有解决证书问题,故又使用搜狗浏览器来解决证书错误问题!若,你可以帮助我解决请在本文留言,多谢了!

使用搜狗浏览器警报信息如下:

此时,选择查看证书-证书路径-查看安装根证书和web服务器证书

 

安装证书;

选择是继续安装证书,接着再查看就没有证书问题了,如下所示:

此时再win7下使用搜狗高速浏览器,Google Chrome 浏览器,Internet Explorer 9浏览器,都显示安全访问,如下所示:

 

 

 
***********************************************
案例应用1:Web服务器应用之https自签发
1.企业实现要求:
某公司要求在Linux上实现web服务器功能,并要求实现自签发证书(及要求:linux服务器即为web服务器又为证书服务器)
2.案例应用简化拓扑图:

3.案例实现步骤:
(1)在web服务器上安装相应的软件
[root@www ~]# mkdir /mnt/cdrom
[root@www ~]# mount /dev/cdrom /mnt/cdrom/
[root@www ~]# cd /mnt/cdrom/Server/
[root@www Server]# rpm -ivh httpd-2.2.3-22.el5.i386.rpm
[root@www ~]# yum install -y mod_ssl
(2)创建CA证书服务器的根证书文件
[root@www ~]# cd /etc/pki/
[root@www pki]# vim tls/openssl.cnf
45 dir             =/etc/pki/CA            # Where everything is kept
46 certs           = $dir/certs         # Where the issued certs are     kept
47 crl_dir         = $dir/crl              # Where the issued crl are ke    pt
48 database        = $dir/index.txt        # database index file.
51 new_certs_dir   = $dir/newcerts         # default place for new certs
53 certificate     = $dir/cacert.pem       # The CA certificate
54 serial          = $dir/serial           # The current serial number
58 private_key     = $dir/private/cakey.pem# The private key
 
88 countryName             = optional
89 stateOrProvinceName     = optional
90 organizationName        = optional
 
[root@www pki]# cd /etc/pki/CA/
[root@www CA]# mkdir certs crl newcerts
[root@www CA]# touch index.txt serial
[root@www CA]# echo "01" >serial
[root@www CA]# openssl genrsa 1024 >private/cakey.pem
Generating RSA private key, 1024 bit long modulus
........................++++++
....++++++
e is 65537 (0x10001)
[root@www CA]# chmod 600 private/cakey.pem
[root@www CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365
Country Name (2 letter code) [GB]:CN
State or Province Name (full name) [Berkshire]:HENAN
Locality Name (eg, city) [Newbury]:ZHENGZHOU
Organization Name (eg, company) [My Company Ltd]:zzu
Organizational Unit Name (eg, section) []:junjie
Common Name (eg, your name or your server's hostname) []:rootca.junjie.com
Email Address []:master@junjie.com
(3)为web服务器的签发证书
[root@www CA]# mkdir /etc/httpd/certs
[root@www CA]#cd /etc/httpd/certs
[root@www certs]# openssl genrsa 1024 >httpd.key
Generating RSA private key, 1024 bit long modulus
..............++++++
........++++++
e is 65537 (0x10001)
[root@www certs]# chmod 600 httpd.key
[root@www certs]# openssl req -new -key httpd.key -out httpd.csr
 
Country Name (2 letter code) [GB]:CN
State or Province Name (full name) [Berkshire]:HENAN
Locality Name (eg, city) [Newbury]:ZHENGZHOU
Organization Name (eg, company) [My Company Ltd]:zzu
Organizational Unit Name (eg, section) []:junjie
Common Name (eg, your name or your server's hostname) []:www.junjie.com
///
[root@www certs]# openssl ca -in httpd.csr -out httpd.crt
[root@www certs]# chmod 600 *
(4)为web服务器的签发证书
[root@www certs]# cd /etc/httpd/conf.d
[root@www conf.d]# vim ssl.conf
112 SSLCertificateFile /etc/httpd/certs/httpd.crt
119 SSLCertificateKeyFile /etc/httpd/certs/httpd.key
128 SSLCertificateChainFile /etc/pki/CA/cacert.pem
(5)win7客户端使用https安全访问网页
[root@www ~]# service httpd restart          #重启apache服务
Win7客户端测试在C:\Windows\System32\drivers\etc\hosts添加:
192.168.101.250          www.junjie.com
使用win7的IE9测试,输入安全网址 https://www.junjie.com
,此时浏览器提示安全警告,提示此网站的安全证书有问题,并将警告信息显示出来,具体如下:

如若:用户强制继续访问,侧依然可以访问,但是浏览器地址栏中,已经变成红色报警信息,提示此网站不安全

说明:在此由于我没有使用IE9浏览器,没有解决证书问题,故又使用搜狗浏览器来解决证书错误问题!若,你可以帮助我解决请在本文留言,多谢了!
使用搜狗解决问题方案如下:

 

此时,选择查看证书-证书路径-查看安装根证书和web服务器证书

安装证书;
选择是继续安装证书,接着再查看就没有证书问题了,如下所示:
此时再win7下使用搜狗高速浏览器,Internet Explorer 9浏览器,都显示安全访问,如下所示:

 

查看证书信息:

 

《完》
--xjzhujunjie
--2012/03/18-0:26

 

本文出自 “xjzhujunjie” 博客,请务必保留此出处http://xjzhujunjie.blog.51cto.com/3582724/808983

qinglu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux-->CE--登录认证,web服务器(HTTP)
AiTTTTTT的博客
07-24 601
Linux-->CE--登录认证,web服务器(HTTP
Linux下Apache服务器配置应用
08-02
熟练掌握Linux下Apache服务器配置应用 2.实训内容 1)利用Apache服务器建立个人web站点 建立一个人WEB站点;个人用户名为ahxh,个人站存在目录,与httpd.conf配置文件中的一致;建立个人WEB站点文件index....
Linux服务器WEB服务器-https
weixin_54822053的博客
10-09 420
web证书:web端生成私钥--web端生成签署请求文件--发送CA---CA签名---CA服务器端生成web证书--web端下载web证书。设置--首选项--高级--证书--查看证书--导入--找到根证书,然后双击--把“信任使用此CA标识的网站”勾上--确定--确定。4、在WEB上为WEB生成私钥,并将私钥存放在/etc/httpd/ssl目录中。7、在机CA上 对签署请求进行数字签名,并指明所生成的Web证书的存放路径。8、在WEB上将CA机上已经数字签名后的Web证书下载下来。
HTTPS原理,三分钟轻松搞懂
热门推荐
qh1112的博客
06-06 1万+
HTTPS协议原理
linux web服务器安全概述
u012684933的专栏
02-11 1014
看操作系统版本: debian:/etc/debian_version redhat:/etc/redhat-release ubuntu:lsb_release -a  获得内核版本: uname -a 显示时区信息: cat /etc/timezone 显示服务器是否开启了ntp: ps -edf | grep ntp 看能否连接到n
Linux Apache Web服务器安全的8种安全设置技巧
01-10
Apache服务器是一款开源的WEB服务器,是由非营利组织Apache软件基金会的支持的,我们很多的虚拟机、VPS等都会使用Apache服务器架构环境,但是任何的架构环境都会遭受各种可能的攻击、安全漏洞的检测、SQL注入、...
服务器监控(包括性能指标与web应用程序)
02-24
服务器使用Linux+Nginx-1.9.15+Tomcat7+Java搭建的。编写脚本检测错误日志和服务器性能指标,一旦新生错误日志或者性能降低到设定的阈值时,则使用云监控将报警上传到云账号。错误日志包含以下三个方面:nginx错误...
Linux下安装Tomcat服务器和部署Web应用.docx
06-06
Linux平台下,tomcat服务器的安装部署,包括环境变量配置,启动端口,服务器启动关闭等。以及如何打包上传java web程序到tomcat 服务器linux常用服务命令
基于Linux系统下的WEB服务器安全探讨
05-30
基于linux系统下的web服务器安全探讨
Linux服务器安全策略全接触之二——Web服务器安全策略.pdf
09-07
Linux服务器安全策略全接触之二——Web服务器安全策略.pdf
http服务器 c++写成 只使用socket 动态网页涉及和后台的通信
01-23
http服务器使用c++写成,前台页面使用了html javascript。前台和后台服务器通信使用ajax技术。内含服务器简要使用文档。 功能只有服务器所应有的基本功能比如:页面访问,图片视频载入,文件下载等。IP控制,数据库链接,日志等功能比较弱有待日后添加。不过目前因为功能比较单一,代码会较容易读懂。
WEB安全技术
10-08
http协议、常见漏洞攻击及防护,包括SQL注入、XSS跨站脚本攻击、文件上传漏洞、渗透工具的使用
linux web 服务器安全,linux http服务器web网页的不同安全机制
weixin_35625676的博客
05-03 153
Web网页的不同安全机制Linux通过apach的httpd服务建立的web服务有3种不同的安全方式身份验证(通过账号密码验证用户的身份)来源控制(通过ip地址的过滤限定访问的用户)加密访问(通过数字证书保证数据的安全性)一:身份验证的实现:Centos安装完成httpd服务后启动[root@wangPackages]#vim/etc/httpd/conf/httpd.conf...
Linux中实现https访问web站点
weixin_34099526的博客
08-21 350
Linux中实现https访问web站点 一、基础知识: web本意是蜘蛛网和网的意思。现广泛译作网络、互联网等技术领域。表现为三种形式,即超文本(hypertext)、超媒体(hypermedia)、超文本传输协议(HTTP)等。 1、WEB服务器种类: news.netcrfat.com 最常用的调查网站; 1)、Apache ...
linux web服务器安全配置,使用SELinux安全上下文保护Web服务器
weixin_29657209的博客
04-29 317
使用SELinux安全上下文保护Web服务器假设我们想要在Linux服务器上运行Apache Web服务器程序,由于这台服务器会运行一些关键应用,并暴露在互联网上,所以我们想确保这台Web服务器受到尽可能多的保护。如果你启动Web服务并尝试配置你的Web服务器允许执行某些CGI脚本,如hello.pl,那么如果不改变SELinux配置Linux系统日志和SELinux审计日志都会记录到错误。...
AXX_AIAPI-1.0.5-py3-none-any.whl.zip
最新发布
04-15
AXX_AIAPI-1.0.5-py3-none-any.whl.zip
web应用项目部署linux服务器
09-18
6. 启动Web应用项目:通过启动Web服务器,让Web应用可以在服务器上运行。 7. 测试和优化:进行一些基本的测试,确保Web应用服务器上正常运行,并依据实际需求进行性能优化,提升用户体验。 8. 监控和维护:使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值