一、HTTPS
https协议由 http+ssl/tls 组成,其默认端口是:443
ssl和tls是HTTPS加密的主要协议,使用公钥加密和对称密钥加密的组合方式来保证通信的安全
数据加密
客户端:c
客户端(clienthello):将自身支持哪些版本,哪些加密算法,生成一组随机的32字节数据 random_c
clientkeyexchange:公钥的加密数据pre_master
服务端:s
服务端(serverhello):确定客户端的版本和加密算法,生成一组随机的32字节数据random_s
server certificate:公钥、证书
data:服务端收到pre_master---私钥(服务器自己的)进行解密
最后得到会话密钥:random_c + random_s + pre_master
每一次https会话传输所使用的密钥都是不同的
二、CA(证书颁发)搭建
证书颁发流程
web端生成私钥 ——> web端生成签署请求文件 ——> 发送到CA ——> CA签名 ——> CA服务器生成web证书 ——> web端下载证书
openssl命令选项
-x509 :生成自签名证书格式,专用于创建私有CA
-new :生成新证书的签署请求
-key :生成请求时用到的私钥文件路径
-out :生成后的文件存放的路径,如果是自签名操作,会直接生成签署过的证书
WEB服务端上篇(WEB服务)已经搭建过了,这里就直接搭建CA
1、先给web服务器和CA服务器配置时钟同步
yum -y install chrony
然后在者两台主机中将chronyd服务重启并enable然后同步一下
hwclock -w
2、修改WEB服务端的正向解析文件
将ca添加进去 (文件位于/var/named)
也可以修改web服务端的本地解析文件
3、创建工作目录
查看 etc/pki/tls/openssl.cnf文件,查找找到关于CA的信息
dir:是对应着的工作目录CA,但是在/etc/pki/下没有,需要创建
certs、crl_dir、database的完整目录也没有,需要在/etc/pki/CA/下创建
创建newcerts、private目录和serial文件
4、生成私钥
生成私钥的时候设置权限让除了root用户外没有权限查看
5、生成证书
在CA主机上为主机CA生成自签名证书
openssl req -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365
定义一个序列号
6、web端生成私钥
在web端etc/httpd/目录下没有ssl/目录,需要手动新建
在web端生成私钥存放在/etc/httpd/ss/中
(umask 007;openssl genrsa -out /etc/httpd/ssl/httpd.key)
7、web端生成签署请求文件
为web.example.com站点生成签署请求文件
openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr -days 365
从Country Name到Organization这些内容要和CA那边填写的一样
8、发送请求签署文件到CA
在发送之前要尝试能否 ping ca.example.com能ping通,否则就需要修改web端的网卡DNS指向
vim /etc/NetworkManager/system-connections/ens160.nmconnection
然后重启网卡服务和up ens160,这样就能ping通ca.example.com
scp /etc/httpd/ssl/httpd.csr root@ca.example.com:/etc/pki/CA/
在CA服务端进行授权
openssl ca -in /etc/pki/CA/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
9、下载证书
在web端将CA签署完成的证书下载
scp root@ca.example.com:/etc/pki/CA/certs/httpd.crt /etc/httpd/ssl/
10、修改/etc/httpd/conf.d/ssl.conf
先在WEB主机安装apche http扩展模块mod_ssl
yum -y install mod_ssl
再修改ssl.conf,证书和私钥的位置
配置网页,修改/etc/httpd/conf.d/httpd-vhosts.conf文件
重启apach服务
11、下载证书
使用一台新的主机,将时钟同步做好,ens160的dns配置好然后重启一下网卡服务能ping通ca.example.com就ok
我这里是最小化安装,如果你安装的是图形化的话
打开火狐浏览器,导入证书
设置--隐私与安全--证书--查看证书--导入--找到根证书,然后双击--把“信任使用此CA标识的网站”勾上--确定--确定
最后在火狐浏览器访问 https://web.example.com