1、https简介
https(hyper text transfer protocol secure),是一种基于ssl/tls的http,所有的http数据都是在ssl/tls协议封装之上进行传输的。
https协议是在http协议的基础上,添加了ssl/tls握手以及数据加密传输,也属于应用层协议。
https使用的默认端口是443。
2、ssl证书
证书类型简介
要设置安全服务器,使用公共钥创建一对公私钥对。大多数情况下,发送证书请求(包括自己的公钥),你的公司证明材料以及费用到一个证书颁发机构(ca)。ca验证证书请求及您的身份,然后将证书返回给您的安全服务器。
但是内网实现一个服务器端和客户端传输内容的加密,可以自己给自己颁发证书,只需要忽略掉浏览器不信任的警报即可!
由CA签署的证书为您的服务器提供两个重要的功能:
1、浏览器会自动识别证书并且在不提示用户的情况下允许创建一个安全连接。
2、当一个CA生成一个签署过的证书,它为提供网页给浏览器的组织提供身份担保。
多数支持ssl的web服务器都有一个CA列表,它们的证书会被自动接受。
当一个浏览器遇到一个其授权CA并不在列表中的证书,浏览器将询问用户是否接受或拒绝连接。
3、制作CA证书
3.1ca.key CA私钥:
openssl genrsa -des3 -out ca.key 2048
3.2 ca.crt CA根证书(公钥):
openssl req -new -x509 -days 365 -key ca.key -out ca.crt
3.3 制作网站的证书并用CA签名认证 ,这里,假设网站域名为www.example.cn,生成com.example.cn证书私钥:
openssl genrsa -des3 -out www.example.cn.pem 1024
3.4制作解密后的www.example.com证书私钥:
openssl rsa -
in
www.example.cn.pem -out www.example.cn.key
3.5生成签名请求:
|
openssl req -new -key www.example.cn.pem -out www.example.cn.csr
|
openssl ca -policy policy_anything -days 365 -cert ca.crt -keyfile ca.key -
in
www.example.cn.csr -out www.example.cn.crt
可能执行签名时,会出现 找不到文件的问题:
切换到提示的文件下面,执行以下命令
touch
index
.txt
touch
serial
echo
"01"
>
serial
执行完上面三个命令后再次执行签名命令即可
如果看不懂我写的,可查看http://blog.csdn.net/lifushan123/article/details/45629797