基于自建CA搭建apache上的https服务
具体要求:
在Ubuntu环境或其它Linux系统下,用OpenSS创建一个小型CA;
生成CA的证书与密钥;
创建服务器的公私密钥对;
使用CA的私钥对服务器的公钥证书进行签名;
配置一个Apache服务器;
启动SSL服务;
实现浏览器与Apache服务器之间的https链接。
这是毕业实训课题内容,总体觉得挺有意思的,做完觉得再一次对lnuix_OS有了全新的想法,过程也是挺曲折的,具体过程如下:
1.环境
操作系统 | kali-rolling |
---|---|
ca生成 | openssl 2 1.1.h |
浏览器 | Firefox-ESR |
WEB服务器 | apache |
特别注意,这里一定要注意自己的版本,比如我此处的apache2就和别的版本在命令和操作方式有很大的区别。
2.基础知识
既然是要搭建CA来签名,从而实现HTTPs通信,那么必须对CA与HTTPs有一定的了解,下面是于与https的通行示意过程:
这个图里还是有许多不恰当的地方,比如第二阶段服务器发送给客户端的其实是CA签名(用自己的私钥签名)的服务器的证书(X.509证书格式),而CA的公钥是每个人都可以获得的。
https具体过程可以点击此处查看
3.配置
1.确认安装OpenSSL
$openssl version
如果版本低于1.0.1f,建议升级,因为1.0.1f版本之下的OpenSSL有一个Heartbleed漏洞。
2.安装OpenSSL:
$sudo apt-get install openssl
(如果无法安装,别忘了更新apt-get)
3.自建CA
因为向CA申请签名是需要收费的,所以我们选择自己搭建一个CA来完成这个实验过程。
首先建立myCA目录用于存放CA相关信息
$ cd
$ mkdir -p myCA/signedcerts
$ mkdir myCA/private
$ cd myCA
myCA : 用于存放 CA 根证书,证书数据库,以及后续服务器生成的证书,密钥以及请求
signedcerts:保存签名证书的 copy.bak
private: CA私钥
在myCA目录下进行:
& echo '01'>serial
& touh index.txt
然后创建 caconfig.cnf 文件:
vim ~/myCA/caconfig.cnf
caconfig.cnf内容如下:注意汉字注释部分
# My sample caconfig.cnf file.
#
# Default configuration to use when one is not provided on the command line.
#
[ ca ]
default_ca = local_ca
#
#
# Default location of directories and files needed to generate certificates.
#
[ local_ca ]
dir = /home/<username>/myCA # 这里要将username替换为你
的用户名(或者自建一个目录)
certificate = $dir/cacert.pem
database = $dir/index.txt
new_certs_dir = $dir/signedcerts
private_key = $dir/private/cakey.pem
serial = $dir/serial
#
#
# Default expiration and encryption policies for certificates.
#
default_crl_days = 365
default_days = 1825
default_md = SHA256
#
policy = local_ca_policy
x509_extensions = local_ca_extensions
#
#
# Default policy to use when generating server certificates. The following
# fields must be defined in the server certificate.
#
[ local_ca_policy ]
commonName = supplied
stateOrProvinceName = supplied
countryName = supplied
emailAddress = supplied
organizationName = supplied
organizationalUnitName = supplied
#
#
# x509 extensions to use when generating server certificates.
#
[ local_ca_extensions ]
subjectAltName = DNS:localhost
basicConstraints = CA:false
nsCertType = server
#
#
# The default root certificate generation policy.
#
[ req ]
default_bits = 2048
default_keyfile = /home/<username>/myCA/private/cakey.pem # 这里要将username替换为你
的用户名
default_md = SHA256
#
prompt = no
distinguished_name = root_ca_distinguished_name
x509_extensions = root_ca_extensions
#
#
# Root Certificate Authority distinguished name. Change these fields to match
# your local environment!
#
[ root_ca_distinguished_name ]
commonName = MyOwn Root Certificate Authority # CA机构名
stateOrProvinceName = JS # CA所在省份
countryName = CN # CA所在国家(仅限2个字符)
emailAddress = XXXX@XXX.com # 邮箱
organizationName = XXX #
organizationalUnitName = XXX #
#
[ root_ca_extensions ]
basicConstraints = CA:true
4.生成 CA 根证书和密钥
export OPENSSL_CONF=~/myCA/caconfig.cnf #该命令用于给环境变量 OPENSSL_CONF 赋值为caconfig.cnf。
openssl req -x509 -newkey rsa:2048 -out cacert.pem -outform PEM -days 1825
该命令需要用户设置密码。不要忘记。
以上步骤生成了 CA 自签名根证书,和 RSA 公/私密钥对。证书的格式是 PEM,有效期是1825天。
/myCA/cacert.pem: CA 根证书(CA自己的私钥签名)
/myCA/private/cakey.pem: CA 私钥
上述生成文件名不一定为cakey.pem,有可能是privkey.pem,也不一定在private下,但必然在myCA内部
5.创建服务器公私钥
$ vim ~/myCA/exampleserver.cnf
exampleserver.cnf文件内容如下:
#
# exampleserver.cnf
#
[ req ]
prompt = no
distinguished_name = server_distinguished_name
[ server_distinguished_name ]
commonName = localhost # 服务器域名
stateOrProvinceName = JS # 服务器所在省份
countryName = CN # 服务器所在国家(仅限2个字符)
emailAddress = XXXX@XXX.com # 邮箱
organizationName = XXX #
organizationalUnitName = XXX
6.生成服务器证书和密钥
openssl req -newkey rsa:1024 -keyout tempkey.pem -keyform PEM -out tempreq.pem -outform PEM
# export OPENSSL_CONF =~/myCA/exampleserver.cnf(可选)
如果希望将 key 保持为加密状态,直接改名:
mv tempkey.pem server_key.pem
6.使用 CA key 对服务器证书签名
export OPENSSL_CONF=~/myCA/caconfig.cnf
openssl ca -in tempreq.pem -out server_crt.pem
过程错误处理:
- Can’t open /home/shawn/myCA/index.txt.attr for reading, No such file or directory
140344032040704:error:02001002:system library:fopen:No such file or directory:crypto/bio/bss_file.c:74:fopen(’/home/shawn/myCA/index.txt.attr’,‘r’)
140344032040704:error:2006D080:BIO routines:BIO_new_file:no such file:crypto/bio/bss_file.c:81:
解决:在myCA目录下再touch一个index.txt.attr即可 - 下面这个问题也不可忽视
*#大概意思就是在caconfig.cnf添加默认ca,就是下面这个东西(我自己的caconfig.cnf)
现在,自签名的服务器证书和密钥对便产生了:
server_crt.pem : 服务器证书文件(被CA签名)
server_key.pem : 服务器密钥文件
到这里证书告一段落了,接下来就是去配置web服务器
4.apache2配置(kali)
- 如下目录将会频繁使用
1、开启SSL模块
sudo a2enmod ssl
2、启用SSL站点
sudo a2ensite default-ssl
- 配置SSL证书
$ gedit /etc/apache2/sites-available/default-ssl.conf
修改内容如下:
<VirtualHost *:443>
SSLEngine On
SSLCertificateFile /home/shawn/myCA/server_crt.pem #
SSLCertificateKeyFile /home/shawn/myCA/server_key.pem #
SSLCACertificateFile /home/shawn/myCA/cacert.pem #
ServerName 127.0.0.1:443 #
DocumentRoot /var/www/html/
</VirtualHost>
跟#的都需要做相应的修改
- 测试(关闭防火墙-有必要的话)
iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
用火狐浏览器访问时会遇到如下的错误:
- apache https服务器SSL_ERROR_RX_RECORD_TOO_LONG
solution:
$ sudo a2enmod ssl
$ sudo a2ensite default-ssl.conf
5.测试结果
(此处用的是内部自带的HTML文本,可以看到左上角是有个小锁的,但是却不是绿色的,这是因为CA是不是权威机构,浏览器不会信任)
我们接着看从其他主机访问(chrome):
左上角依然显示的是不安全,接着来看原因:
很明显是证书不可信,可以去把生成的CA自签名证书导入浏览器,这样就可以被信任了。
看后续把,暂时就这样了。
续上述测试结果:对于浏览器对于自签名证书的不信任问题,上网找了许多solutions,具体的如下:
- 把cacert.pem格式转换为.crt,然后导入浏览器,让其信任(对于我。没什么卵用)
- 开启Chrome 的in-secure {也没用}
- 换个浏览器,也没用,可能现在的浏览器安全做的比较好吧
- and so on;
最后就决定不做了,但你如何知道自己在访问自己建立的网站时是否用的HTTP或HTTPS?很简单,用wireshark抓包(如果使用的是虚拟机-主机模式搭建的话,最好用虚拟机里的wireshark抓,实体物理机似乎无法抓到包)个人抓包如下:
client:192.168.43.25
server:192.168.43.150
firefox的提示内容如下
(至少证明是安全可用的)
客户端的建立过程如上,红色标记部分就是HTTPS过程,我们也可以看到,确实成功了,最终也成功的发送了数据。所以QTMD不信任吧。