RHCE3

最新推荐文章于 2022-10-29 09:42:14 发布
最新推荐文章于 2022-10-29 09:42:14 发布
阅读量238 收藏
点赞数
文章标签: apache ssl 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iid_code/article/details/121773194
版权

目录

1.ssl协议(https)工作流程

1. 客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;

2. 服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;

3. 客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;

4. 服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。

2.配置不同端的虚拟主机访问apache服务器

3.配置用户控制和虚拟目录访问apache服务器

4.配置使用ssl完成https访问apache服务器

5.配置访问apache的cgi程序

1.ssl协议(https)工作流程

总流程图

SSL建立过程总共有13个包,第一次建立至少需要9个包。

1. 客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;

SSL握手第一阶段:

image-20210906105042933

SSLclient通过Client Hello消息将它支持的SSL版本号、加密算法、密钥交换算法、MAC算法等信息发送给SSLserver

客户端密码套件格式:每个套件都以“SSL”开头,紧跟着的是密钥交换算法。用“With”这个词把密钥交换算法、加密算法、散列算法分开

例如:SSL_DHE_RSA_WITH_DES_CBC_SHA,DHE_RSA(带有RSA数字签名的暂时Diffie-HellMan)定义为密钥交换算法;DES_CBC定义为加密算法;SHA定义为散列算法。

2. 服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;

服务器启动SSL握手的第二阶段,是本阶段唯一的发送方,客户机是唯一的接收方。

证书:服务器将证书和根CA整个链发给客户端。使客户端能用服务器证书中的服务器公钥认证服务器。

服务器密钥交换: 由密钥交换算法决定的。

证书请求: 服务端可能会要求客户自身验证。

服务器握手完成:第二阶段结束,第三阶段开始。

Certificate消息(可选):

第一次建立必须要有证书。

一般情况下,除了会话恢复时不需要发送该消息,在SSL握手的全流程中,都需要包含该消息。

消息包含一个X.509证书,证书中包含公钥,发给客户端用来验证签名或在密钥交换的时候给消息加密。

这一步是服务器端将自己的证书下发给客户端,让客户端验证自己的身份,客户端验证通过后取出证书中的公钥。

Server Key Exchange(可选):

根据之前在ClientHello消息中包含的CipherSuite消息,决定了密钥交换方式。

因此在Server Key Exchange消息中便会包含完成密钥交换所需的一系列参数。

image-20210908111128350

这里使用的是Diffi-Hellman算法,所以需要发送服务器使用的DH参数,RSA算法不需要。

在Diffie-Hellman中,客户端无法自行计算预主密钥;双方都有助于计算它,因此客户端需要从服务器获取Diffie-Hellman公钥。

Certificate Request(可选): 

可以是单向的身份验证,也可以是双向的身份验证

服务器用来验证客户端,服务器发送Certificate Request消息,要求客户端发它自己的证书过来进行验证。

该消息中包含服务器支持的证书类型(RSA,DSA,ECDSA)和服务器端所信任的所有证书发行机构的CA列表。

客户端会用这些信息来筛选证书。

Server Hello Done

该消息表示服务器已经将所有信息发送完毕,接下来等待客户端的消息。

image-20210908113243161

3. 客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;

 客户端启动SSL握手的第三阶段,客户端使本阶段唯一的发送方,服务器端是唯一接收方

证书(可选):为了对服务器证明自身,客户端要发送一个证书消息,这是可选的。

客户机密钥交换(Pre-master-secret): 这里客户端要将预备主密钥发送给服务器,使用服务器端的公钥进行加密。

证书验证(可选):对预备主密钥和随机数进行签名,证明拥有证书的密钥

Certificate(可选):

如果在第二阶段服务器端要求发送客户端证书,客户端便会在该阶段将自己的证书发送过去。服务器端在之前发送的Certificate Request消息中包含了服务器端所支持的证书类型和CA列表,因此客户端会在自己的证书中选择满足这两个条件的第一个证书发送过去。若客户端没有证书,则发送一个no_certificate警告。

Client Key Exchange

根据之前从服务器端收到的随机数,按照不同的密钥交换算法(RSA,Diffie-Hellman)产生的一个48字节的key,算出一个pre-master(是整个握手阶段第三个随机数),发送给服务器,服务器端收到pre-master算出main master。而客户端当然也能自己通过pre-master算出main master。如此以来双方就算出了对称密钥。 如果是RSA算法,会生成一个48字节的随机数,然后用server的公钥加密后再放入报文中。 如果是DH算法,发送的就是客户端的DH参数,之后服务器和客户端根据DH算法,各自计算出相同的pre-master secret.

image-20210908114317139

本消息在给服务器发送的过程中,使用了服务器的公钥加密。服务器用自己的私钥解密后才能得到pre-master key.(向服务器证明自己的确持有客户端证书私钥。)

Certificate Verify(可选):

只有在客户端发送了自己证书到服务器端,这个消息才需要发送。其中包含一个签名,对从第一条消息以来的所有握手消息的HMAC值(用master_secret)进行签名。

4. 服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。

客户端启动SSL握手的第四个阶段,使服务器结束。该阶段分为四步,前两个消息来自客户机,后2个消息来自服务器。

建立起一个安全的连接,客户端发送一个Change Cipher Spec消息,并且把协商得到的CipherSuite拷贝到当前连接的状态之中。

客户端用新的算法、密钥参数发送一个Finished消息, 这条消息可以检查密钥交换和认证过程是否已经成功。其中包括一个校验值,对客户端整个握手过程的消息进行校验。服务器同样发送Change Cipher Spec消息和Finished消息。

握手过程完成,客户端和服务器可以交换应用层数据进行通信。

ChangeCipherSpec:

编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送(ChangeCipherSpec是一个独立的协议,体现在数据包中就是一个字节的数据,用于告知服务端,客户端已经切换到之前协商好的加密套件(Cipher Suite)的状态,准备使用之前协商好的加密套件加密数据并传输了)。

Clinet Finished:

客户端握手结束通知, 表示客户端的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供服务器校验(使用HMAC算法计算收到和发送的所有握手消息的摘要,然后通过RFC5246中定义的一个伪函数PRF计算出结果,加密后发送。此数据是为了在正式传输应用数据之前对刚刚握手建立起来的加解密通道进行验证。)

Server Finished:

服务端握手结束通知。

​ 1.使用私钥解密加密的Pre-master数据,基于之前(Client Hello 和 Server Hello)交换的两个明文随机数 random_C 和 random_S,计算得到协商密钥:enc_key=Fuc(random_C, random_S, Pre-Master);

2.计算之前所有接收信息的 hash 值,然后解密客户端发送的 encrypted_handshake_message,验证数据和密钥正确性;

3.发送一个 ChangeCipherSpec(告知客户端已经切换到协商过的加密套件状态,准备使用加密套件和 Session Secret加密数据了)

4.服务端也会使用 Session Secret 加密一段 Finish 消息发送给客户端,以验证之前通过握手建立起来的加解密通道是否成功。 ​ 根据之前的握手信息,如果客户端和服务端都能对Finish信息进行正常加解密且消息正确的被验证,则说明握手通道已经建立成功,接下来,双方可以使用上面产生的Session Secret对数据进行加密传输了。

2.配置不同端的虚拟主机访问apache服务器

// 创建两个根目录,并定义网页内容
[root@localhost ~]# mkdir -p /www/ip/{8080,1000}
[root@localhost ~]# echo "this is 8080" > /www/ip/8080/index.html
[root@localhost ~]# echo "this is 1000" > /www/ip/1000/index.html
// 定义基于不同端口来访问网站的配置文件并重启服务
[root@localhost ~]# cd /etc/httpd/conf.d
[root@localhost conf.d]# ls
autoindex.conf  myhosts.conf  README  ssl.conf  userdir.conf  welcome.conf
[root@localhost conf.d]# vim myhosts.conf

<Directory /www>
      AllowOverride none
      Require all granted
</Directory>

Listen 8080
<VirtualHost 192.168.75.128:8080>
      DocumentRoot "/www/ip/8080"
      ServerName 192.168.75.128
</VirtualHost>

Listen 1000
<VirtualHost 192.168.75.128:1000>
    DocumentRoot  "/www/ip/1000"
    ServerName 192.168.75.128
</VirtualHost>

[root@localhost conf.d]# systemctl restart httpd

测试

 

3.配置用户控制和虚拟目录访问apache服务器

//创建密码文件
[root@localhost ~]# htpasswd -c /usr/local/etc/passwords test
New password: 
Re-type new password: 
Adding password for user test

//创建需要保护的目录,在首页输入内容
[root@localhost ~]# mkdir -p /usr/local/mysecret
[root@localhost ~]# echo "Test User Secret" >> /usr/local/mysecret/index.html 

//定义基于加密文件的配置并重启https服务
[root@localhost ~]# vim /etc/httpd/conf.d/myhosts.conf

<Directory "/usr/local/mysecret">  #配置目录权限
AuthType Basic					#选择被用于认证用户的方法
AuthName "Hello Secret"  #双引号内是提示信息
AuthBasicProvider file
AuthUserFile "/usr/local/passwords"  #指定创建的密码文件路径
Require user test	#指定可以访问该服务器的用户
</Directory>

Listen 80
<VirtualHost 192.168.75.100:80>
  alias "/mysecret" "/usr/local/mysecret"
  ServerName 192.168.75.100
</VirtualHost>

[root@localhost ~]# systemctl restart httpd

测试:

在浏览器输入:192.168.75.100/mysecret/

 

4.配置使用ssl完成https访问apache服务器

//安装ssl
[root@localhost ~]# yum install mod_ssl -y
Repository extras is listed more than once in the configuration
Last metadata expiration check: 18:19:00 ago on Mon 06 Dec 2021 10:31:03 AM EST.
Package mod_ssl-1:2.4.37-43.module_el8.5.0+1022+b541f3b1.x86_64 is already installed.
Dependencies resolved.
Nothing to do.
Complete!

//创建https目录
[root@localhost ~]# mkdir -p /www/https/

//在首页写入内容
[root@localhost ~]# cd /www
[root@localhost www]# ls
cgi  https  ip
[root@localhost www]# cd https/
[root@localhost https]# ls
index.html
[root@localhost https]# echo "This is nt first https page" > index.html

//定义基于443端口加密访问的配置并重启https服务
[root@localhost https]# vim /etc/httpd/conf.d/myhosts.conf

<Directory /www/https>
  AllowOverride none   
  Require all granted
</Directory>

#Listen 443 https
<VirtualHost 192.168.75.128:443>
  DocumentRoot "/www/https"
  ServerName 192.168.75.128
  SSLEngine on
  SSLProtocol all -SSLv2
  SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA
  SSLCertificateFile /etc/pki/tls/certs/localhost.crt
  SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
</VirtualHost>

[root@localhost https]# systemctl restart httpd

测试:

在浏览器输入:https://192.168.75.128:443

 高级—继续访问

5.配置访问apache的cgi程序

cgi:Common Gateway Interface——公共网关接口,是Web 服务器运行时外部程序的规范,几乎所有服务器都支持CGI。

1.创建一个cgi的目录: /www/cgi

//创建一个cgi的目录: /www/cgi
[root@localhost ~]# mkdir -p /www/cgi

//在这个目录下创建一个cgi程序
[root@localhost cgi]# vim test.cgi

#!/bin/bash
printf "Context-type:text/html\n\n"
printf "Hello World For Cgi"

//配置目录权限(让这个目录具有可执行cgi权限的权限,设定cgi的后缀名)
[root@localhost cgi]# cd /etc/httpd/conf.d
[root@localhost conf.d]# vim myhosts.conf

<Directory "/www/cgi">
  AllowOverride none
  Options +ExecCGI
  AddHandler cgi-script .cgi .py .pl
  Require all granted
</Directory>

Listen 8001
<VirtualHost 192.168.75.200:8001>
  ScriptAlias "/cgi" "/www/cgi"
  ServerName 192.168.75.200
</VirtualHost>

[root@localhost conf.d]# systemctl restart httpd

测试:

发生了内部错误,查了错误日志也没改好,有没有大佬知道怎么改 

禾兔兔
关注
SSL连接建立过程分析
06-18
SSL连接建立过程分析 包括应用程序接口和SSL实现过程分析 非常详细
rhce8-env:RHCE8的练习环境
03-25
RHCE 8练习环境 由Ansible and Vagrant提供支持 苹果系统 安装 Gatekeeper可以阻止virtualbox的安装。 您所要做的只是进入“系统偏好设置”的“安全性和隐私”,然后在“常规”选项卡下单击“允许”,然后重新运行...
SSL工作过程
xnasda的博客
12-03 7554
SSL介绍: SSL 是“Secure Sockets Layer”的缩写,中文叫做“安全套接层”。它是在上世纪90年代中期,由网景公司设计的。到了1999年,SSL 应用广泛,已经成为互联网上的事实标准。IETF 就把SSL 标准化。标准化之后SSL被改为 TLS(Transport Layer Security传输层安全协议)。 SSL协议分为两层: SSL记录协议 (SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能。 SS
SSL是如何工作的?
经营人生
09-09 1289
文章导读这是一篇比较好的文章,深入浅出介绍了SSL -- 安全套接层的工作原理密钥密码系统介绍  这篇文章向大家阐述了Netscape公司是如何使用RSA的公用密钥密码系统来实现因特网安全的。Netscape的安全套接层的实现就利用了这篇文章中所讨论的技术。  RSA的公用密钥密码系统广泛地应用于计算机工业的认证和加密方面。Netscape得到RSA数据安全公司的许可可以使用公用密钥密码系统以及其
ssl工作流程
m0_55753980的博客
12-04 3292
1.ssl工作流程 SSL位于应用层和传输层之间,它能够为基于TCP等可靠连接的应用层协议提供安全性保证。SSL协议本身分为两层: 上层为SSL握手协议(SSL handshake protocol)、SSLpassword变化协议(SSL change cipher spec protocol)和SSL警告协议(SSL alert protocol)。 底层为SSL记录协议(SSL record protocol)。 1.SSL握手协议:是SSL协议很重要的组成部分。用来协商通信过程中使用的加密套件(加
SSL协议工作过程
weixin_60719780的博客
10-29 4596
1、客户端首先发送client hello消息到服务端,服务端收到客户端的消息后,再发送sever hello消息到客户端(用来协商),其中所发的hello包中包含所支持的版本号,加密套件列表,压缩算法列表,客户端、服务端随机数还有会话id。通过该过程产生的客户端随机数与服务器端随机数以及预主密钥,他们组合计算得出主密钥,然后会通过主密钥分别生成共享密钥(对称加密的密钥)、Hmac认证密钥(认证)以及初始化向量。终端安全是在请求内网主机上部署一个软件,通过该软件检查终端的安全性包括:主机检查,缓存清除。
RHCE U3:Luks加密分区与Ext4文件系统优化
RHCE_U3 分区加密luks是Linux高级管理员认证(Red Hat Certified Engineer)课程中的一项重要技能,主要涉及磁盘分区管理和加密技术。本文将深入探讨使用fdisk工具进行简单分区和文件系统操作,以及Linux文件系统Ext...
RHCE教学视频38讲.zip
07-08
3--linux的虚拟化.zip 4.1--软件管理及操作演示.zip 4.2--管理软件.zip 5--基础.zip 6.0--文件系统及操作.zip 7--文件系统深度讨论.zip 8.1--vim编辑器.zip 9--用户,组,权限.zip 10--权限.zip 11--认证.zip 12--主...
RHCE 8.2教学笔记PDF版
09-23
【RHCE 8.2教学笔记PDF版】是一份详细阐述Red Hat Certified Engineer(RHCE)认证考试核心技能的教程,适用于准备参加8.2版本考试的学员。这份笔记涵盖了Linux系统管理、网络服务配置、安全管理等多个关键领域的...
RHCE9认证之ansible6.3自动化运维实战学习
最新发布
12-22
3. Playbooks(剧本):Ansible 的剧本是 Ansible 的核心组件之一,提供了批量执行命令的功能。 Ansible 的工作原理: 1. 加载自己的配置文件,默认/etc/ansible/ansible.cfg 2. 查找对应的主机配置文件,找到要...
ssl建立连接全过程
05-04
ssl建立连接全过程,中文版!
ssl流程
yinchangxin的专栏
11-09 1103
网上看的,之前看源码糊里糊涂的,看过这篇,然后对着源码看,顿时茅塞顿开,不是说写的多好,只能说,配合代码看,这篇文章算是最合适的。 一、概述       SSL协议是最早Netscape公司开发的安全通信协议,用于浏览器安全通信。到SSL Version3,提交作为IFTF草案,已经广泛的应用Intetnet通信。之后IETF对SSLv3稍作改动并更名为TL
SSL协议的握手过程
chris
07-30 1037
为了便于更好的认识和理解 SSL 协议,这里着重介绍 SSL 协议的握手协议。SSL 协议既用到了公钥加密技术又用到了对称加密技术,对称加密技术虽然比公钥加密技术的速度快,可是公钥加密技术提供了更好的身份认证技术。SSL 的握手协议非常有效的让客户和服务器之间完成相互之间的身份认证,其主要过程如下:   ①客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的随机数,...
SSL过程
海绵汽水的博客
10-19 2508
会话(Session)和连接(Connection)是SSL中两个重要的概念,在规范中定义如下。 (1)SSL连接:用于提供某种类型的服务数据的传输,是一种点对点的关系。一般来说,连接的维持时间比较短暂,并且每个连接一定与某一个会话相关联。 (2)SSL会话:是指客户和服务器之间的一个关联关系。会话通过握手协议来创建。它定义了一组安全参数。 一次会话过程通常会发起多个SSL连接来完成任务,例
SSL工作原理
weixin_33720956的博客
06-18 309
关键词:SSL,PKI,MAC 挑    希望:SSL使用数据加密、身份验证和消息完整性验证机制,基于TCP和其他的应用层协议提供可靠的连接安全保障。本文介绍了SSL后台、安全机制、工作过程和典型网络应用。 缩略语: 缩略语 英文全名 中文解释 AES Advanced Encryption Standard...
ssl证书传输工作过程是什么?
蔚可云的博客
08-12 534
随着互联网在人们的生活当中应用的范围越来越广泛,对于互联网的安全问题也受到了越来越多人的重视,给网站安装SSL证书,在当下受到了很多人的重视,毕竟网站安装了SSL证书,那么网站之间的数据传输就是加密的,但是网站是明文传输,容易受到第三方以及黑客的篡改,对网站的核心数据和用户的隐私信息都是不利的,那么ssl传输是怎么样?ssl工作过程是什么? ssl传输怎么样? ssl协议在当下的应用是很普遍的,SSL协议被广泛的应用是因为它主要是保护网络上数据传输的安全,通过数据传输加密的工具,对网络的数据安全进行
SSL交互(握手)过程详解
热门推荐
volcan1987的专栏
05-30 1万+
原文:http://www.cpplive.com/html/1387.html 普通的TCP通信无法保证数据的安全,它随时可能被第三方截获而泄漏通信双方之间的隐私,这显然是我们不希望看到的,尤其在跟用户名、密码、个人信息息息相关的通信过程(如网上银行交易、机密文件传输等等)尤其看重数据交互的隐秘性,所以我们常常用SSL协议来建立安全保密的通信,SSL协议能够保证交互双方的数据按
SSL协议的工作流程
weixin_30548917的博客
04-19 342
SSL协议的工作流程 服务器认证阶段: 1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接; 2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息; 3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器; 4)服务器恢复该主密钥,并返回给...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值