Debian 10.x自签发CA证书与Apache建立HTTPS安全连接网站

最新推荐文章于 2023-11-13 15:12:52 发布
最新推荐文章于 2023-11-13 15:12:52 发布
阅读量5.4k 收藏 26
点赞数 3
文章标签: apache https debian http 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34349020/article/details/122965151
版权

环境概述

  • Debian 10.x
  • 安装apache服务
  • Client可供管理员使用,有三台服务器Rserver,Server01,Server04
  • Client:10.10.100.x(DHCP获取)
  • Rserver: CA签发方
  • Rserver
  • Server01:172.16.100.201 (CA使用方)
  • Server04:192.168.10.4 (CA使用方)

需求概述

 由Server01,04提供www.sdskills.com
 skills公司的门户网站;
 使用apache服务;
 网页文件放在/data/share/htdocs/skills;
 服务以用户webuser运行;
 首页内容为“This is the front page of sdskills’s website.”;
 网站使用https协议;
 SSL使用RServer颁发的证书, 颁发给:
C = org
ST = China
L = ShangDong
O = skills
OU = Operations Departments
org = *.skills.com
 Sever01,04的CA证书路径:/CA/cacert.pem
 签发数字证书,颁发者:
C = org;
O = Inc
OU = www.skills.com
org = shill Global Root CA
 客户端访问https时应无浏览器(含终端)安全警告信息;
 当用户使用http访问时自动跳转到https安全连接;
 当用户使用sdskills.com或any.sdskills.com(any代表任意网址前缀)访问时,自动跳转到www.sdskills.com。

实现流程

在这里插入图片描述

实施步骤

PS:IP地址跟环境概述略有不同,请随机应变

安装Apache:

apt install -y apache2

安装bind9 :

apt install -y bind9

配置dns

创建区域文件

nano /etc/bind/name.conf

zone “sdskills.com”{
	type master;
	file “/etc/bind/db.sdskills.com”;
};
zone “100.16.172.in-addr-arpa”{
	type master;
	file “/etc/bind/db.100.16.172”;
};

创建正反向解析文件
首先复制模板 正向模板:db.local 反向模板 db.127

cp -p db.local db.sdskills.com
cp -p db.127 db.100.16.172

nano /etc/bind/db.sdsills.com

在这里插入图片描述

nano /etc/bind/db.100.16.172

在这里插入图片描述
配置dns转发 nano /etc/bind/named.conf.options
在这里插入图片描述
修改主机dns nano /etc/resolv.conf
在这里插入图片描述
重启服务:

 systemctl restart bind9

测试:

apt install -y dnsu* 		
nslookup sdskills.com 	
nslookup 172.16.100.201

在这里插入图片描述
在这里插入图片描述
CA服务端:

apt install openssl

测试:openssl
修改CA证书路径:nano /etc/ssl/openssl.conf
在这里插入图片描述
创建CA目录 mkdir /CA
复制配置模板 cp -rf /etc/ssl/* /CA
进/CA目录创建索引 touch index.txt

echo 01 > serial

生成根密钥

openssl genrsa -out private/cakey.pem 2048   //生成一个2048位根密钥,放在/CA/private目录下

生成根证书

openssl req -new -x509 -key ./private/cakey.pem -out cacert.pem //利用根密钥生成一个根证书(不要放在private目录,此目录专门存放私钥)

在这里插入图片描述
查看证书

 openssl x509 -in cacert.pem -text -noout

web服务器端
生成私钥

openssl genrsa -out server01.key 2048

生成证书请求

openssl req -new -key server01.key -out server01.csr

传送请求到CA服务端 scp -P {对方ssh服务端端口号} server01.csr {对方服务器IP}:/CA
注意:传输过程中两边文件夹权限要一致!

CA服务器端

生成证书
openssl x509 -req -in server01.csr -CA /CA/cacert.pem -CAkey /CA/private/cakey.pem -CAcreateserial -out server01.crt -days 365
在这里插入图片描述传输证书 scp
在这里插入图片描述
web服务器端
创建web站点文件: mkdir /data/share/htdocs/skills
创建web页面:

echo “This is the front page of sdskills's website.” > /data/share/htdocs/skills/index.html
echo “Staff Information.” > /data/share/htdocs/skills/staff.html

注意:对文件创建相应权限!
修改apache2主配置文件

nano /etc/apache2/apache2.conf

在这里插入图片描述
在这里插入图片描述
修改apache2自带ssl配置文件 nano /etc/apache2/site-available/default-ssl-conf
在这里插入图片描述注意:暂时先不写servername 本机测试成功后再写

在这里插入图片描述
添加文件映射

ln /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-enabled/ssl-default.conf

激活ssl站点模块a2enmod ssl

重启服务 systemctl restart apache2
在浏览器输入域名或IP访问
在这里插入图片描述
配置虚拟主机文件 nano /etc/apache2/sites-enabled/000-default.conf
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
重启apache2 systemctl restart apache2
web站点根目录创建.htaccess 并编写如下内容,开启https重定向
在站点虚拟主机配置文件000-default.conf 添加如下内容

RewriteEngine on
RewriteCond   %{HTTPS} !=on
RewriteRule   ^(.*)  https://www.skills.com

开启https重定向 注意:最好也在.htaccess文件也添加

在这里插入图片描述
web站点根目录创建.htaccess 并编写如下内容,开启{any}.sdskills.com自动跳转到www.sdskills.com

RewriteEngine on
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^(.*)?$ https://%{SERVER_NAME}/$1 [L,R]

在这里插入图片描述
修改apache.conf
在这里插入图片描述
在这里插入图片描述
启动rewrite模块 a2enmod rewrite
再启动ssl模块 a2enmod ssl
重启服务 systemctl restart apache2

创建webuser用户 使该用户运行apache2

useradd -G www-data webuser

修改apache2.conf配置文件 nano /etc/apache2/apache2.conf
在这里插入图片描述
注释前两行 添加后两行
重启服务
top查看
在这里插入图片描述

cp -p cacert.pem /usr/local/share/ca-certificates/cacert.crt #以crt方式添加到证书信
任列表

update-ca-certificates #更新证书列表

火狐导入pem证书文件到根证书颁发机构
在这里插入图片描述
在这里插入图片描述

视频教程:https://www.bilibili.com/video/BV1pg41177Ev?share_source=copy_web

是个英雄豪杰鸭
关注
  • 3
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache2 服务
weixin_46396917的博客
08-20 322
(2)把/etc/ssl/skills.crt 证书文件和/etc/ssl/skills.key私钥文件转换成含有证书和私钥的/etc/ssl/skills.pfx 文件;然后把/etc/ssl/skills.pfx 转换为含有证书和私钥的/etc/ssl/skills.pem文件,再从/etc/ssl/skills.pem 文件中提取证书和私钥分别到/etc/ssl/apache.crt 和/etc/ssl/apache.key。(3)客户端访问 Apache 服务时,必需有 ssl 证书
Debian 7.X.X 详细图解安装教程
01-08
Debian 7.X.X 详细图解安装教程 7以上都可以用 很详细
.配置 linux1 为 apache2 服务器,使用 skills.com 或 any.skills.com(any 代表任意网址前缀,用 linux1.skills.com 和 web.skill...
weixin_42591908的博客
02-11 656
为了配置 linux1 作为 Apache2 服务器,使用 skills.com 或 any.skills.com 访问时自动跳转到 www.skills.com,您需要完成以下步骤: a. 编辑 Apache 配置文件,以配置虚拟主机。 b. 通过在配置文件中添加重定向规则来实现自动跳转。 c. 禁止使用 IP 地址访问,可以在 Apache 配置文件中指定虚拟主机名。 d. 默认首页...
Debian配置CA证书颁发机构)-AppSrv
新时代先锋的博客
03-28 7745
3.数字证书颁发:CA颁发数字证书,用于证明某个实体(如个人、组织或网站)的身份和信息。4.证书吊销:如果数字证书失效或不再需要使用,CA可以将其吊销,以保证数字证书安全性。总的来说,CA的作用是确保数字证书的真实性、安全性和可信度,从而保护网络通信的安全。2.数字签名:CA用自己的私钥对数字证书进行签名,确保数字证书的有效性和完整性。1.身份验证:CA负责验证证书申请者的身份和信息,以确保证书的真实性和可信度。5.信任链维护:CA维护数字证书的信任链,确保数字证书的可信度和安全性。
2020年全国职业院校技能大赛网络系统管理(样题二)模块A:Linux环境
m0_55444054的博客
11-13 434
按照题目要求,提交符合模板的WORD文件以及对应的PDF文件(利用Office Word另存为pdf文件方式生成pdf文件),所有截图建议除了配置文件截图外,还需要截功能测试的图,能在终端client上测试的就一定要在终端上测试并截图,否则功能测试部分不得分。2. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。4. 比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。Linux server(待装)
Apache服务的搭建与配置
qq_45429357的博客
02-27 5150
这是apache服务的搭建和配置。基于域名 和基于端口的两种方式
系统添加根证书
u011238098的博客
01-26 828
How to add CA to system root Reference KERIO Overview If you want to send or receive messages signed by root authorities and these authorities are not installed on the server, you must add a trusted root certificate manually. Use the following steps to
[linux上路] 开发环境准备四 Debian8 导入CA证书
天堂向左
05-09 3289
邮件配置成POP3,但是在同步时发生SSL错误,意思是CA认证失败。根本的原因是系统中没有安装证书
Debian10自签CA证书
笨笨的博客
02-12 1325
基础知识 1.3思路 想构建CA必须要了解CA构建的情况,请先参照加密解密方面博客 简单思路如下; 构建私有CA: 生成私钥; 自签署证书; (2)给节点发放证书: 节点申请证书: 生成私钥 生成证书签署请求 把请求文件发送给CA (3)CA签署证书: 验正请求者的信息 签署证书 把签署好的证书发还给请求者 命令中用到的选项解释: -new:表示生成一个新证书签署请求 -x509:专用于CA生成自签证书,如果不是自签证书则不需要此项 -key:...
centos 配置证书_如何在CentOS 8上设置和配置证书颁发机构(CA
08-16 3797
centos 配置证书 介绍 (Introduction) A Certificate Authority (CA) is an entity responsible for issuing digital certificates to verify identities on the internet. Although public CAs are a popular choice for ...
mysql-server_8.0.25-1debian10.zip
07-09
适用于Debian Linux 10 (x86, 64-bit) 压缩包内容: mysql-community-server_8.0.25-1debian10_amd64.deb、 mysql-community-server-core_8.0.25-1debian10_amd64.deb、 mysql-community-server-core-dbgsym_8.0.25-...
debian_deploy:通过 preseed.cfg 和准备好的 netinstall.iso 自动安装 Debian
07-03
debian_deploy 通过 preseed.cfg 和准备好的 netinstall.iso 自动安装 Debian。 ##手动的## 预置 以下 修改 ISO 以下 ####复制ISO进行修改#### mkdir 循环目录 mount -o loop debian-jessie-DI-b2-amd64-...
Debian 7.x 64 位.vmdk
10-04
Debian 7.x 64 位.vmdk
Debian 5.x安装手册.doc
07-10
Debian 5.x安装手册 ,图文解说,以及内核编译,显卡驱动安装,双链路设置
Mail 邮件服务
hu_66666的博客
04-26 986
Server01(DNS服务端,我这里是server01,只要客户端可以解析到mail.sdskills.cn即可)~ Postfix~ sdskill.com 的邮件发送服务器~~ 支持smtps(465)协议连接,使用Rserver颁发的证书,证书路径/CA/cacert.pem~ 创建邮箱账户“user1~user99”(共99个用户),密码为Chinaskill20!;~ sdskill.com 的邮件接收服务器;
Debian apache
qq_68135064的博客
06-23 1185
Apache 是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一
WEB动静分离部署(二)
m0_60655253的博客
11-10 416
1、进程调度 调度器收到客户端请求后,会根据调度列表规则,对访问请求进行转发。 调度规则有多种类型:轮询,最小连接,加权,基于源地址 nginx服务默认支持轮询调度。 2、根据拓扑图,进行服务器基本配置部署 nginx服务器:ip地址 192.168.10.1 安装nginx软件 httpd1服务器:IP地址 192.168.10.2 安装httpd php httpd2服务器:IP地址 192.168.10.3 安装httpd php tomcat1服务器:IP地址 192.168...
Centos apache(httpd)+ssl+重定向配置
weixin_42171644的博客
07-21 1896
Centos apache+ssl+重定向配置
Debian 10上设置和配置证书颁发机构(CA
weixin_45849066的博客
06-07 2067
步骤 1 — 安装 Easy-RSA sudo apt update sudo apt install easy-rsa 步骤 2 — 准备公钥基础设施目录 mkdir ~/easy-rsa ln -s /usr/share/easy-rsa/* ~/easy-rsa/ chmod 700 /home/sammy/easy-rsa cd ~/easy-rsa ./easyrsa init-pki 第 3 步 - 创建证书颁发机构 cd ~/easy-rsa nano vars 更给如下操作 set_va
debian 8.X上安装mysql8
最新发布
01-06
Debian 8.X上安装MySQL 8的步骤如下: 1. 首先,确保你的系统已经更新到最新版本: ```shell sudo apt-get update sudo apt-get upgrade ``` 2. 添加MySQL APT存储库。打开终端并执行以下命令: ```shell wget https://dev.mysql.com/get/mysql-apt-config_0.8.17-1_all.deb sudo dpkg -i mysql-apt-config_0.8.17-1_all.deb ``` 在安装过程中,你将会看到一个配置界面。选择"OK"并按Enter键,然后选择"Debian"作为你的操作系统。 3. 更新APT缓存并安装MySQL服务器: ```shell sudo apt-get update sudo apt-get install mysql-server ``` 在安装过程中,你将会被要求设置MySQL的root密码。 4. 安装MySQL客户端: ```shell sudo apt-get install mysql-client ``` 5. 验证MySQL服务器是否成功安装: ```shell sudo service mysql status ``` 如果MySQL正在运行,你将会看到"active (running)"的字样。 6. 进一步的配置(可选): 你可以根据需要进一步配置MySQL服务器。例如,你可以修改MySQL的配置文件`/etc/mysql/my.cnf`来更改默认的端口号、字符集等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值