apache服务器中openssl配置https

最新推荐文章于 2024-05-18 20:17:05 发布
最新推荐文章于 2024-05-18 20:17:05 发布
阅读量4.4k 收藏 1
点赞数 1
分类专栏: shell等 Web服务器

最近需要研究下apache的签名问题,主要是利用openssl来实现,就对openssl研究了下。

理论基础:

OpenSSL初接触的人恐怕最难的在于先理解各种概念
  公钥/私钥/签名/验证签名/加密/解密/非对称加密
  我们一般的加密是用一个密码加密文件,然后解密也用同样的密码.这很好理解,这个是对称加密.而有些加密时,加密用的一个密码,而解密用另外一组密码,这个叫非对称加密,意思就是加密解密的密码不一样.初次接触的人恐怕无论如何都理解不了.其实这是数学上的一个素数积求因子的原理的应用,如果你一定要搞懂,百度有大把大把的资料可以看,其结果就是用这一组密钥中的一个来加密数据,可以用另一个解开.是的没错,公钥和私钥都可以用来加密数据,相反用另一个解开,公钥加密数据,然后私钥解密的情况被称为加密解密,私钥加密数据,公钥解密一般被称为签名和验证签名.
  因为公钥加密的数据只有它相对应的私钥可以解开,所以你可以把公钥给人和人,让他加密他想要传送给你的数据,这个数据只有到了有私钥的你这里,才可以解开成有用的数据,其他人就是得到了,也看懂内容.同理,如果你用你的私钥对数据进行签名,那这个数据就只有配对的公钥可以解开,有这个私钥的只有你,所以如果配对的公钥解开了数据,就说明这数据是你发的,相反,则不是.这个被称为签名.
  实际应用中,一般都是和对方交换公钥,然后你要发给对方的数据,用他的公钥加密,他得到后用他的私钥解密,他要发给你的数据,用你的公钥加密,你得到后用你的私钥解密,这样最大程度保证了安全性.
  RSA/DSA/SHA/MD5
  非对称加密的算法有很多,比较著名的有RSA/DSA ,不同的是RSA可以用于加/解密,也可以用于签名验签,DSA则只能用于签名.至于SHA则是一种和md5相同的算法,它不是用于加密解密或者签名的,它被称为摘要算法.就是通过一种算法,依据数据内容生成一种固定长度的摘要,这串摘要值与原数据存在对应关系,就是原数据会生成这个摘要,但是,这个摘要是不能还原成原数据的,嗯....,正常情况下是这样的,这个算法起的作用就是,如果你把原数据修改一点点,那么生成的摘要都会不同,传输过程中把原数据给你再给你一个摘要,你把得到的原数据同样做一次摘要算法,与给你的摘要相比较就可以知道这个数据有没有在传输过程中被修改了.
  实际应用过程中,因为需要加密的数据可能会很大,进行加密费时费力,所以一般都会把原数据先进行摘要,然后对这个摘要值进行加密,将原数据的明文和加密后的摘要值一起传给你.这样你解开加密后的摘要值,再和你得到的数据进行的摘要值对应一下就可以知道数据有没有被修改了,而且,因为私钥只有你有,只有你能解密摘要值,所以别人就算把原数据做了修改,然后生成一个假的摘要给你也是不行的,你这边用密钥也根本解不开.
   CA/PEM/DER/X509/PKCS
  一般的公钥不会用明文传输给别人的,正常情况下都会生成一个文件,这个文件就是公钥文件,然后这个文件可以交给其他人用于加密,但是传输过程中如果有人恶意破坏,将你的公钥换成了他的公钥,然后得到公钥的一方加密数据,他就可以用他自己的密钥解密看到数据了.为了解决这个问题,需要一个公证方来做这个事,任何人都可以找它来确认公钥是谁发的.这就是CA,CA确认公钥的原理也很简单,它将它自己的公钥发布给所有人,然后一个想要发布自己公钥的人可以将自己的公钥和一些身份信息发给CA,CA用自己的密钥进行加密,这里也可以称为签名.然后这个包含了你的公钥和你的信息的文件就可以称为证书文件了.这样一来所有得到一些公钥文件的人,通过CA的公钥解密了文件,如果正常解密那么机密后里面的信息一定是真的,因为加密方只可能是CA,其他人没它的密钥啊.这样你解开公钥文件,看看里面的信息就知道这个是不是那个你需要用来加密的公钥了.
  实际应用中,一般人都不会找CA去签名,因为那是收钱的,所以可以自己做一个自签名的证书文件,就是自己生成一对密钥,然后再用自己生成的另外一对密钥对这对密钥进行签名,这个只用于真正需要签名证书的人,普通的加密解密数据,直接用公钥和私钥来做就可以了.
  密钥文件的格式用OpenSSL生成的就只有PEM和DER两种格式,PEM的是将密钥用base64编码表示出来的,直接打开你能看到一串的英文字母,DER格式是二进制的密钥文件,直接打开,你可以看到........你什么也看不懂!.X509是通用的证书文件格式定义.pkcs的一系列标准是指定的存放密钥的文件标准,你只要知道PEM DER X509 PKCS这几种格式是可以互相转化的.

关于证书
1、每个人都可以使用一些证书生成工具为自己的https站点生成证书(比如jdk的keytool),大家称它为“自签名证书”,但是自己生成的证书是不被互联网承认的,所以浏览器会报安全提示,要求你手动安装证书。只有通过权威的CA机构付费获得的证书才能被互联网承认(有点类似于根域服务器的权威机构)。
2、证书(无客户端服务端之分)保存着ip信息、证书过期时间、证书所有者地址信息等。
 
双向认证
  1、先决条件是有两个或两个以上的证书,一个是服务端证书,另一个或多个是客户端证书。
  2、服务端保存着客户端的证书并信任该证书,客户端保存着服务端的证书并信任该证书。这样,在证书验证成功的情况下即可完成请求响应。
  3、双向认证一般企业应用对接。
 
单向认证
  1、客户端保存着服务端的证书并信任该证书即可
  2、https一般是单向认证,这样可以让绝大部分人都可以访问你的站点。

下面了解下证书一般需要三个,CA证书,服务器证书,客户端证书。


实现方法:

(1) 创建CA证书:
# basedir="/data/webapps/apache/ca"
# openssl genrsa -out private/ca.key 2048
# openssl req -new -key private/ca.key -out private/ca.csr
# openssl x509 -req -days 365 -in private/ca.csr -signkey private/ca.key -out private/ca.crt
# echo FACE > serial
# touch index.txt
# openssl ca -out ${basedir}/private/ca.crt -crldays 365 -config "${basedir}/conf/openssl.conf"

(2) 创建服务器证书
# openssl genrsa -out server/server.key 2048
# openssl req -new -key server/server.key -out server/server.csr
# openssl ca -in server/server.csr -cert private/ca.crt -keyfile private/ca.key -out server/server.crt -config "${basedir}/conf/openssl.conf"

(3) 创建client证书
# mkdir -p $base/users/
# openssl genrsa -des3 -out $base/users/client.key 1024
# openssl req -new -key $base/users/client.key -out $base/users/client.csr
# openssl ca -in $base/users/client.csr -cert $base/private/ca.crt -keyfile $base/private/ca.key -out $base/users/client.crt -config "${base}/conf/openssl.conf"
# openssl pkcs12 -export -clcerts -in $base/users/client.crt -inkey $base/users/client.key -out $base/users/client.p12

过程中还会需要输入一些注册信息。

在运行之前需要注意openssl.conf的配置文件,如下:

[ ca ]  
default_ca      = foo                                      # The default ca section  

[ foo ]  
dir            = /data/webapps/apache/ca                   # top dir  
database       = /data/webapps/apache/ca/index.txt         # index file.  
new_certs_dir  = /data/webapps/apache/ca/newcerts          # new certs dir  

certificate    = /data/webapps/apache/ca/private/ca.crt    # The CA cert  
serial         = /data/webapps/apache/ca/serial            # serial no file  
private_key    = /data/webapps/apache/ca/private/ca.key    # CA private key  
RANDFILE       =/data/webapps/apache/ca/private/.rand      # random number file

default_days   = 365                                       # how long to certify for  
default_crl_days= 30                                       # how long before next CRL  
default_md     = md5                                       # message digest method to use  
unique_subject = no                                        # Set to 'no' to allow creation of  
                                                           # several ctificates with same subject.  
policy         = policy_any                                # default policy      
[ policy_any ]  
countryName = match  
stateOrProvinceName = match  
organizationName = match  
organizationalUnitName = match  
localityName            = optional  
commonName              = supplied  
emailAddress            = optional
(4) 最后需要修改下apache的配置文件https-ssl.conf
SSLEngine on
SSLCertificateFile "/data/webapps/apache/ca/server/server.crt"
SSLCertificateKeyFile "/data/webapps/apache/ca/server/server.key"
SSLCACertificateFile "/data/webapps/apache/ca/private/ca.crt"
SSLVerifyClient require SSLVerifyDepth 10.

参考:

https://blog.csdn.net/qsj123one/article/details/53151412

https://blog.csdn.net/oldmtn/article/details/52208747




路一步一步的走
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenSSL 在 PHP (Apache)下的配置
Candy_home的专栏
07-04 6560
windows下开启方法: 1: 首先检查php.ini;extension=php_openssl.dll是否存在, 如果存在的话去掉前面的注释符‘;’, 如果不存在这行,那么添加extension=php_openssl.dll。 2: 讲php文件夹下的: php_openssl.dll, ssleay32.dll, libeay32.dll 3个文件拷贝到 WINDOWS\s
配置ApacheOpenSSL
mm350670610的专栏
04-29 7677
环境:Fedora 12,OpenSSL 0.9.8l,httpd 2.3.5,假设,机子上没有安装openssl和httpd。  这篇日志描述了在Fedora 12上编译并安装ApacheWeb服务器,并打开433号端口,提供HTTPS服务。要说明的是,不用在mod_ssl的官网上再下载mod_ssl了,因为现在httpd已经把mod_ssl做为一个模块放到它自己的源码里,只
Windows下OpenSSL的下载,安装,环境变量配置,以及基于Visual Stdio项目的配置
最新发布
m0_61882573的博客
05-18 4948
2. 将所安装的OpenSSL的include路径添加到包含目录,本文的include路径为:D:\Program Files\OpenSSL-Win64\include(文件夹如下图所示)。2.测试环境变量是否配置成功:cmd打开命令框,执行命令:opensll version,如下图所示,如果可以给出OpenSSL的版本即可证明已成功安装并成功配置环境变量。将lib路径添加到库目录的步骤为:链接器 -> 常规 -> 附加库目录,然后将选择的lib路径添加到附加库目录。正确的运行结果如下图所示。
OpenSSL ca证书命令操作详解
N阶二进制的博客
11-10 1353
OpenSSL 的ca命令用于操作证书颁发机构(CA,Certificate Authority)的操作,包括签发、撤销和管理证书。以下是 OpenSSL 版本 3.0 openssl ca命令的详细使用手册。请注意,由于文本长度限制,以下内容可能不包含所有参数的详细说明。你可以使用命令在终端获取帮助信息。
Apacheopenssl配置https详解
新雪兰
07-03 2539
1、 openssl genrsa -des3 -out c:\des3.key 2048 https://www.cnblogs.com/tugenhua0707/p/10927722.html https://blog.csdn.net/wanggong_1991/article/details/88391478
Apache服务的搭建与配置(超详细版)
Mortalz7
10-29 3万+
Apache是一种常见的Web服务器软件,广泛用于Linux和其他UNIX操作系统上。它是自由软件,可以通过开放源代码的方式进行自由分发和修改。Apache提供了处理静态和动态内容的能力,而且还支持多种编程语言和脚本,如PHP、Python和Perl。此外,Apache还支持SSL、TLS和虚拟主机等功能,可以很好地满足大量的Web应用程序的需求。
Apache openssl配置安装,https服务器架设,问题总结
LuYiming_Ben的博客
07-23 3483
  最近几天完成了多级证书签发,架设https服务器导入证书等工作,证书的签发相对简单。相关程序的配置安装却花了好一番功夫。这次作业具体过程我就不赘述了,主要说说自己过程遇到的一些问题和解决的方式,以及仍旧未解决的问题。   证书签发 多级证书签发基本和二级证书签发过程一样,只需把此前用自签证书签发的二级证书当作新的签发证书签发下级证书,可是需要注意几点是 1.默认生成的二级证书是不具有...
Apache+openssl实现https
艾泽拉斯队友克星
10-17 773
Apache+openssl实现https 前言 本试验由于原理部分较长,单独整理一篇文档以作记录,如有偏差处,欢迎大家指正批评。 基本理论说明 HTTP HyperText Transfer Protocol,超文本传输协议,是互联网上使用最广泛的一种协议,所有WWW文件必须遵循的标准。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。 使用TCP端口为:80 HTTPS Hyper Text Transfer Protocol over Secure Sock
Apache SSL服务器配置SSL详解
01-20
1.安装必要的软件 引用 我用的是apahce2.0.61版,可以直接官方提供的绑定opensslapache. 文件名是:apache_2.0.61-win32-x86-openssl-0.9.7m.msi 否则单独安装windows下的openssl比较麻烦,要么找到一个第三方的...
apache openssl配置快速的https网站
09-27
在这个过程,我们需要配置 Apache HTTP 服务器以支持 SSL 协议,这将确保数据在客户端和服务器之间传输时得到加密。以下是对配置过程的详细说明: 1. **获取软件包**:首先,你需要从官方网站下载 Apache 和 ...
apache安装并配置HTTPS
10-11
在完成以上步骤后,你的Apache服务器就已经配置HTTPS支持,可以安全地提供网页内容。请注意,实际操作可能需要根据你的系统环境和具体需求调整配置。同时,为了保持服务器的安全性,建议定期更新Apacheopenssl...
APACHE SSL配置 https 安全设置
02-15
本文档将指导您如何在 Linux 环境设置 Apache 支持 SSL,包括安装 ApacheOpenSSL、生成安全密钥、配置 Apache SSL 等步骤。 一、安装 ApacheOpenSSL 在 Linux 环境,需要安装 ApacheOpenSSL。...
apache服务器安装.zip
04-16
Apache服务器在编译时需要一些依赖库,如OpenSSL用于加密,PCRE库用于URL重写等。安装这些依赖: ``` sudo apt-get install build-essential libssl-dev libpcre3-dev ``` 三、下载Apache源码 从Apache官方网站下载...
OpenSSL做自签名的证书(by quqi99)
技术并艺术着
08-19 3182
作者:张华 发表于:2014-04-18 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (http://blog.csdn.net/quqi99 ) 注:csdn居然丢文章,这篇2014年的就丢了,这是从互联网上找到的其他网站的转载备份。 加密技术回顾 非对称加密算法如RSA的特点如下: 1, 公钥加密私钥解密, 大家都可以用我的公钥给我发加密的数据了, 因为只有我有私钥才能解密. 2, 私钥加密公钥解密叫数字签名(例如所谓的UEFI secure boot就是在
Apache配置与运用
欲买桂花同载酒
05-29 2260
Apache配置与运用,含配置命令,步骤详细讲解
Apache配置与应用
qq_64333664的博客
10-20 662
基于域名:为每个虚拟主机使用不同的域名,但是其对应的 IP 地址是相同的。Web主机指的是在同一台服务器运行多个Web站点,其每一个站点实际上并不独立占用整个服务器,因此被称为“虚拟”Web 主机。基于端口:这种方式并不使用域名、IP地址来区分不同的站点内容,而是使用了不同的TCP端口号,因此用户在浏览不同的虚拟站点时需要同时指定端口号才能访问。虚拟主机相当于一个在同一台服务器却相互独立的站点,从而实现一台主机对外提供多个 web 服务,每个虚拟主机之间是独立的,互不影响的。3.添加虚拟主机配置
Apache部署超详细教程
热门推荐
weixin_38044888的博客
05-23 4万+
Apache服务器部署背景Apache与Nginx对比Apache的部署安装Apache的基础信息修改Apache默认配置修改默认端口修改默认发布文件修改默认发布目录Apache的虚拟主机如何配置虚拟主机排错思路Apache内部的访问控制基于IP基于用户 背景 百度百科:Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,...
保姆级讲解 Apache服务器配置与管理
晚妍
04-23 1万+
Apache(或httpd)服务,是Internet上使用最多的Web服务器技术之一,通俗来讲就是一个用于搭建网站的服务。http:超文本传输协议,通过线路以明文形式发送,默认使用80端口/TCPhttps:经TLS/SSL安全加密的超文本传输协议,默认使用443端口/TCP。
Apache服务器证书配置指南:OpenSSL下载、生成私钥、申请证书
Apache证书手册1 ...Apache证书手册涵盖了OpenSSL的下载及安装配置、生成私钥、生成CSR证书请求文件、下载服务器证书、修改Apache配置文件等多个方面的内容,为Apache服务器的证书配置提供了详细的指导。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值