基于Liunx搭建https服务器(SSL协议/相关服务器搭建)

最新推荐文章于 2024-04-25 16:44:33 发布
最新推荐文章于 2024-04-25 16:44:33 发布
阅读量3.2k 收藏 10
点赞数 1
分类专栏: Linux服务器搭建 文章标签: linux 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44685426/article/details/121589996
版权

问题:在浏览器中输入www.baidu.com之后发生了什么?

 1.把www.baidu.com解析成ip-> 域名解析
           a.计算机查看浏览器的dns缓存,如果没有则b
           b.计算机的dns本地服务器,如果没有则c (此时开始从根目录开始依次询问)
           c.先去请求根服务器——> www.bai.com——> .com的域名服务器在哪儿?
           d.本地dns再去请求.com域名服务器——> baidu域名服务器在哪儿?
           e.本地dns再去请求baidu域名服务器——> www域名服务器在哪儿?
           f.本地dns去请求www服务器——> 如果www域名服务器,有这个ip返回给你,

                                                                  如果没有,未能解析
2. 进行tcp连接: 三次握手
3. 发送http请求(http/https)
4. 获取响应
5. 浏览器进行渲染解析
6. 断开连接的时候: tcp四次挥手

        超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS

        HTTPS并不是一个新协议,而是HTTP+SSL。原本HTTP和TCP组合通信,而加了SSL后,就变成HTTP先和SSL通信,再由SSL和TCP通信,相当于SSL被嵌在了HTTP和TCP之间。 

    SSL协议:

        ①SSL记录协议 (SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能。

        ②SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。

        SSL协议提供的服务:①认证用户和服务器,确保数据发送到正确的客户端和服务端②加密数据以防止数据中途被窃取③维护数据的完整性,确保数据在传输过程中不被改变。

    过程

    首先客户端向服务端发送请求:
          ①客户端支持的协议版本号
          ②客户端支持的加密算法(密钥,算法)
          ③客户端产生随机数random_client_num1
     然后服务端在收到客户端发来的请求后回复:
           ①服务端发送协商好的协议版本
           ②服务端发送协商好的加密算法
           ③服务端发送服务器证书AC
           ④服务器产生随机数random_server_num1
    客户端在接受服务端发送到数据后:
           首先验证服务器证书AC合法性,如果不合法,通讯断开如果合法,则可以从服务器证书中获取到公开的密钥。然后客户端通过证书里面的公钥产生一个对称密钥,然后用服务器公钥进行加密,并加密后的对称密钥传给服务器。
     此时,服务端接受到客户端发来的对称密钥:
        服务端通过用自己的私钥对客户端发来的对称密钥进行解密,并使用对称密钥进行文件传输。

SSL四次握手的具体过程:

        第一阶段: 此时客户端向服务端发送ClientHello包,服务端回复一个SeverHello包,此时客户端产生一个随机数client_null(这个阶段是客户端和服务端通信为hello包)

        第二阶段:此时服务端为唯一发送方,向客户端发送AC证书及其根连接发送给客户端,服务端会产生一个随机数server_null(Certificate[证书],Server Key Exchange[公钥],Certificate Request[验证客户端证书请求] 和ServerHello Done[hello结束])


        第三阶段:客户端成为这个阶段的唯一发送方,服务端成为唯一接收方。客户端在接受服务端发来的信息交流过程中产生第三个随机数:pre_master,这个随机数是根据服务端(根据公钥产生的对称密钥)和客户端产生的client_num和server_num通过密钥交换算法产生的。客户端将pre_master和产生这个随机数的对称密钥发给服务器。(此时客户和服务端都掌握三个随机数,利用相同算法算出main_master--->这就是对称密钥)

        第四阶段:此时服务端通过对称密钥将自己的算出的随机数发送给客户端,并达成SSL四次握手

关于AC证书:

搭建静态https的服务器:

//①使用yum下载文件包,进行httpd文件安装
[root@localhost ~]# yum install mod_ssl -y
//②配置创建连接的index.html文件(访问的目录)
[root@localhost www]# mkdir -pv https
[root@localhost www]# cd /www/https/
[root@localhost https]# vim index.html 
    // vim编辑index的文件
   This is my first https page
//③配置更改阿帕奇登录页面的权限设置
[root@localhost certs]# cd /etc/httpd/conf.d
    autoindex.conf  host.conf  README  ssl.conf  userdir.conf  welcome.conf
[root@localhost conf.d]# vim host.conf 
        //<Directory>为分配权限 (文件位置,允许人,给予权限)
    <Directory "/www/https">  
    AllowOverride  none
    Require all granted
    </Directory>
        //监听这个ip地址下的443端口
    #listen 443
        // <VirtualHost>配置虚拟机(文档位置,服务名,ssl服务引擎打开,协议选择,密码选择套件,认证证书(公钥,信息),配置私钥)
    <VirtualHost 192.168.220.132:443>
    DocumentRoot "/www/https"
    ServerName 192.168.220.132
    SSLEngine on
    SSLCertificateFile /etc/pki/tls/certs/localhost.crt
    #证书
    SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
    #密钥
    </VirtualHost>
[root@localhost conf.d]# systemctl stop firewalld
//刷新,关闭防火墙,设置可信任
[root@localhost conf.d]# setenforce 0
[root@localhost conf.d]# systemctl restart httpd

这个时候去访问(https://192.168.220.132显示为一个不安全的连接(原因:自己搭建的服务器没有获得AC认证)) 

基于https协议下搭建一个访问需要验证的网页:

//由于之前已经ym配置好centos
//首先设置密码和密码文件位置
[root@localhost usr]#  htpasswd -c /usr/local/etc/passwords test
        //passwd:123456
[root@localhost usr]#  mkdir -pv /usr/local/mysecret
[root@localhost usr]#  echo "My secret" >> /usr/local/mysecret/index.html
        //转到密码文件的index.html 并将passwords存放在mysecret下
[root@localhost usr]#  cd /etc/httpd/conf.d
[root@localhost usr]#  vim host.conf 
        //设置为监听8001端口
    listen  8001
    <Directory "/usr/local/mysecret">
    AuthType Basic
    AuthName "Hello"
    AuthBasicProvider  file
    AuthUserFile "/usr/local/etc/passwords"
    Require user test
    </Directory>
    <VirtualHost "192.168.220.132:8001">
    alias "/mysecret"  "/usr/local/mysecret"
    ServerName 192.168.220.132
    </VirtualHost>
        //alias为一个转移符,将如果访问文件"/mysecret",则会转移到"/usr/local/mysecret"
[root@localhost conf.d]# systemctl stop firewalld
        //刷新,关闭防火墙,设置可信任
[root@localhost conf.d]# setenforce 0
[root@localhost conf.d]# systemctl restart httpd
//此时可能会报错,需要修改文件的权限/usr/local/mysecret(chown +x /usr/local/mysecret)

此时如果需要访问这个带密码的文档时,需要在ip地址后加上端口号和这个文件位置 /mysecret

 基于https协议下搭建一个CGI访问的网页(动态页面):

         WSGI(Web Server Gateway Interface)是一个统一的Python接口标准(PEP 3333),该标准描述了Python应用如何与Web服务器通信,多个Python应用之间如何级联以处理请求。

//首先配置cgi的文件
[root@localhost ~]# mkdir -p /www/cgi
[root@localhost ~]# cd /www/cgi
        //在cgi文件内写入内容
[root@localhost ~]# vim cgi
    #!/bin/bash
    printf "Context-type:text/html\n\n"
    printf "Hello World for CGI"
[root@localhost ~]# cd /etc/httpd/conf.d
[root@localhost conf.d]# vim host.conf
    <Directory "/www/cgi">
    AllowOverride none
    Options +ExecCGI
    AddHandler cgi-script .cgi .py .pl
    require all granted
    </Directory>
    listen 8002
    <VirtualHost 192.168.233.200:8002>
    ScriptAlias /cgi /www/cgi 
    ServerName 192.168.233.200
    </VirtualHost>
[root@localhost conf.d]# chown +x /www/cgi
//给予执行权限
[root@localhost conf.d]# systemctl stop firewalld
//刷新,关闭防火墙,设置可信任
[root@localhost conf.d]# setenforce 0
[root@localhost conf.d]# systemctl restart httpd

练习: 

//搭建一个基于https://www.zuoye.com:4443访问的web网站
//网站首页在/www/https/,内容为zuoye


//首先产生密钥和AC证书(地址在/etc/httpd/conf.d下)
[root@lxb conf.d]# openssl genrsa -aes128 2048 >1.key
Generating RSA private key, 2048 bit long modulus (2 primes)
..........................................+++++
................................................................+++++
e is 65537 (0x010001)
Enter pass phrase:
Verifying - Enter pass phrase:

//创建AC证书
[root@lxb conf.d]# openssl req -utf8 -new -x509 -key 1.key -out 1.crt
Enter pass phrase for 1.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:

//此时证书为1.crt,密钥为1.key.然后去配置文件
[root@lxb conf.d]# vim host2.conf 

listen 4443
<virtualhost 192.168.220.250 >
        SSLEngine on
        SSLCertificateFile  /etc/httpd/conf.d/1.crt
        SSLCertificateKeyFile  /etc/httpd/conf.d/1.key
        DocumentRoot /www/https
        ServerName 192.168.220.250
</virtualhost>
<directory /www/https>
        allowoverride none
        require all granted
</directory>

//然后去配置/www/https的文件
[root@lxb / ]#  cd /www/https
[root@lxb https]# echo zuoye  > index.html 

//然后重启服务(此时要输入密钥)
[root@lxb conf.d]# systemctl restart httpd
Enter TLS private key passphrase for 192.168.220.251:443 (RSA) : ****

//连接192.168.220.250:4443
[root@lxb conf.d]# curl https://192.168.220.250:4443 -k
zuoye

//而此时需要在window上产生物理缓存
C:\Windows\System32\drivers\etc\hosts
192.168.220.250     www.zuoye.com
此时再次登录,发现实现登录

灞波儿奔丶丶丶
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
liunx搭建git服务器
05-01
Linux系统中搭建Git服务器是开发团队协作的重要一环,它可以帮助团队成员高效地管理和版本控制代码。Git作为分布式版本控制系统,其强大的功能和灵活性深受程序员喜爱。本篇将详细介绍如何在Linux环境下设置一个...
nexus liunx版本搭建私服必备
12-11
1. 安全设置:Nexus支持SSL配置,可以通过设置HTTPS提供更安全的服务。 2. 备份与恢复:定期对Nexus的数据进行备份,以防数据丢失。Nexus提供了备份和恢复的功能,可以在管理界面进行操作。 3. 日志监控:监控Nexus...
Linuxhttps静态网站搭建案例
fuyuo的博客
03-03 786
https协议搭建的静态网站,大概解释原理。包含例题
HTTPS原理,三分钟轻松搞懂
qh1112的博客
06-06 1万+
HTTPS协议原理
Nginx 配置 SSLHTTPS)详解
最新发布
小楼一夜听春雨,深巷明朝卖杏花
04-25 5261
Nginx作为一款高性能的HTTP和反向代理,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx中配置SSL,实现HTTPS的访问。随着互联网安全性的日益重要,HTTPS协议逐渐成为网站加密通信的标配。Nginx作为一款高性能的HTTP和反向代理服务器,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx中配置SSL,实现HTTPS的访问。使用Nginx进行反向代理的时候,对于正常的http;流量使用location块并且配置proxy_pass。
搭建https服务器
飞腾创客
07-26 311
一、搭建https服务器:    1、对称加密    2、非对称加密      加密和解密使用不同的密钥(公钥、私钥)      网络传输公钥、      使用公钥加密,私钥解密      公钥相当于区块链收获地址,私钥相当于密码      常见的非对称加密算法:RSA算法      https的单向认证---CA机构认证公钥(证书)        MD5:-----&gt;数字摘要/消息摘要(不...
Linux服务器之WEB服务器-https
weixin_54822053的博客
10-09 455
web证书:web端生成私钥--web端生成签署请求文件--发送CA---CA签名---CA服务器端生成web证书--web端下载web证书。设置--首选项--高级--证书--查看证书--导入--找到根证书,然后双击--把“信任使用此CA标识的网站”勾上--确定--确定。4、在主机WEB上为主机WEB生成私钥,并将私钥存放在/etc/httpd/ssl目录中。7、在主机CA上 对签署请求进行数字签名,并指明所生成的Web证书的存放路径。8、在主机WEB上将CA主机上已经数字签名后的Web证书下载下来。
LinuxHTTPS服务器详解
wangjie72270的博客
12-26 1147
https服务器构建,验证及注意事项简单的梳理,makefile文件的粘贴
Liunx cetos下搭建SVN服务流程
10-14
这会下载并安装SVN服务器相关依赖。安装完成后,你可以通过`svnserve --version`检查安装的版本,确保安装成功。 2. 创建SVN版本库 创建SVN版本库是配置SVN服务的第一步。版本库是存储所有项目文件的地方。使用`...
linux搭建svn服务器
09-23
Linux环境下搭建SVN(Subversion)服务器是一个常见的任务,特别是在软件开发团队中,它用于集中管理和版本控制源代码。以下是一份详细的步骤指南,基于RHEL5.4最小化安装环境,涵盖所需软件包的安装、基本配置、...
Liunx Tomcat.7.0.56服务器
12-06
Linux下的Apache ...通过以上步骤,你可以在Linux环境中成功搭建和管理Apache Tomcat 7.0.56服务器,为你的Java Web应用提供稳定的服务。记住,持续学习和关注最新的技术动态,是保持服务器安全和高效运行的关键。
Linux中开放系统防火墙的HTTP和HTTPS访问(可以不用加 sudo),防火墙添加外部可以访问的端口,等等其他防火墙常用命令
qq_43987149的博客
12-06 4708
开放系统防火墙的HTTP和HTTPS访问(可以不用加 sudo) #开放系统防火墙的HTTP和HTTPS访问 sudo firewall-cmd --add-service=http --permanent sudo firewall-cmd --add-service=https --permanent #防火墙添加外部可以访问的端口 sudo firewall-cmd --permanent --zone=public --add-port=8899/tcp sudo firewall-cmd --pe
linux系统搭建https服务
Friendsofthewind的博客
09-10 1124
基础必知 SSL:安全套接字层,由Netscape公司于1994年创建,它旨在通过Web创建安全的Internet通信。 它是一种标准协议,用于加密浏览器和服务器之间的通信。它允许通过Internet安全轻松地传输账号密码、银行卡、手机号等私密信息。 SSL常见应用: https:启用ssl加密的安全HTTP传输协议 443 ipsec vpn PKI:公钥基础设施,主要功能是绑定证书持有者的身份和相关的密钥对(通过为公钥及相关的用户身份信息签发数字证书), 为用户提供方便的证书申请、证书作废、证书获取
Linux Centos7防火墙开启http、https服务
wangji5487的博客
10-18 7921
12123123
linux 搭建https server (apache)
weixin_34378045的博客
07-03 115
一、  安装准备 1.    安装Openssl  要使Apache支持SSL,须要首先安装Openssl支持。这里使用的是openssl-0.9.8k.tar.gz    下载Openssl:http://www.openssl.org/source/        tar -zxf openssl-0.9.8k.tar.gz    //解压安装包     ...
http服务搭建
阿森丶的博客
01-08 231
http服务器搭建   主配置文件在 /etc/httpd/conf/httpd.conf     安装http  yum install httpd -y 启动http服务器  systemctl start httpd.service 查看安装状态   systemctl status httpd.service 关闭防火墙 浏览器地址栏访问虚拟机IP  有页面代表服务器启...
Linux下配置基于用户认证的虚拟主机
weixin_46540009的博客
10-22 415
Linux下配置基于用户认证的虚拟主机 一、首先进入到/etc/httpd/conf.d 目录下 [root@localhost ~]# cd /etc/httpd/conf.d 二、向系统中添加所要创建的虚拟主机的IP [root@localhost conf.d]# nmcli connection modify ens160 +ipv4.addresses 192.168.48.130/24 三、启用一下网络连接 [root@localhost conf.d]# nmcli connection
https服务搭建
静水流深
08-10 1142
一、 构建Https服务器 新建工程 $ cd /home $ express -e ExpressServer $ cd ExpressServer $ sudo npm install 生成证书文件 # 创建一个文件夹存放证书 $ mkdir cert $ cd cert #生成私钥key文件: $ openssl genrsa -out privatekey.pem 1024 #通过私钥生成CSR证书签名 $ openssl req -new -key priva..
搭建自己的https服务器详解
热门推荐
zhengyikuangge的博客
01-09 2万+
研究了一天多,终于明白了域名、SSL证书和项目之间的关系了!!域名和云服务器都是买的腾讯云,SSL证书是在腾讯云里免费领取的。我推荐腾讯云是因为我觉得好用而已,不是为了打广告,花多少钱我会在准备工作中详细说明,请各位读者自行选择 准备工作: 一、申请域名 过程很简单,推荐xyz和club结尾的,十几块钱一年的 二、申请云服务器或有可供公网访问的服务器 过程很简单;由于我参加的是学生体验活动...
liunx 搭建smtp服务器
06-13
Linux系统中,常用的邮件服务器软件有Sendmail、Postfix、Exim等。以下是使用Postfix搭建SMTP服务器的步骤: 1. 安装Postfix:在终端中运行以下命令安装Postfix: ``` sudo apt-get update sudo apt-get install postfix ``` 2. 配置Postfix:在终端中运行以下命令打开Postfix的主配置文件: ``` sudo nano /etc/postfix/main.cf ``` 在文件中进行以下配置: ``` myhostname = example.com mydestination = example.com, localhost.localdomain, localhost relayhost = [smtp.example.com]:587 smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_sasl_security_options = noanonymous smtp_tls_CAfile = /etc/postfix/cacert.pem smtp_use_tls = yes ``` 其中,myhostname是你的主机名,mydestination是你的邮件目标地址,relayhost是你的SMTP服务器地址和端口,smtp_sasl_auth_enable启用SASL验证,smtp_sasl_password_maps指定SASL验证的用户名和密码,smtp_sasl_security_options禁用匿名登录,smtp_tls_CAfile指定TLS证书的路径,smtp_use_tls启用TLS加密。 3. 配置SASL密码文件:在终端中运行以下命令打开SASL密码文件: ``` sudo nano /etc/postfix/sasl_passwd ``` 在文件中添加SMTP服务器的用户名和密码: ``` [smtp.example.com]:587 username:password ``` 然后运行以下命令生成密码文件的哈希值: ``` sudo postmap /etc/postfix/sasl_passwd ``` 4. 配置TLS证书:在终端中运行以下命令生成TLS证书: ``` sudo openssl req -new -x509 -days 365 -nodes -out /etc/postfix/cacert.pem -keyout /etc/postfix/cacert.key ``` 在运行命令时,你需要填写一些证书信息。 5. 重启Postfix服务:在终端中运行以下命令重启Postfix服务: ``` sudo systemctl restart postfix ``` 现在你可以使用SMTP客户端来连接你的SMTP服务器并发送邮件了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值