Linux ❉ HTTPS服务器详解

最新推荐文章于 2024-04-29 09:26:24 发布
最新推荐文章于 2024-04-29 09:26:24 发布
阅读量1.1k 收藏 4
点赞数 1
分类专栏: Linux 云计算 文章标签: linux 服务器 https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangjie72270/article/details/122152440
版权

一 介绍

        HTTPS - Hyper Text Transfer Protocol over SecureSocket Layer,是以安全为目标的HTTP通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性;HTTPS在HTTP的基础下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL;HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)这个系统提供了身份验证与加密通讯方法,它被广泛用于万维网上安全敏感的通讯;服务端口为443
        

1 加密算法

        对称加密算法:使用一个秘钥进行数据加密和解密;
        非对称加密算法:加密和解密使用不同的秘钥,分为公钥和私钥,两个秘钥之间有着相互依存的关系,公钥和私钥成比例存在,公钥可以传输于公网,私钥不可外传;用其中一个加密的信息只能用其对应的另一个秘钥进行解密;

2 身份认证-数字签名

        通过标识和鉴别用户的身份,防止假冒合法的用户来获取访问权限;

PKI - Public Key Infrastructure 公开秘钥体系

        遵循标准的利用非对称加密技术为电子商务的开展提供一套安全基础平台的技术和规范;PKI就是利用公钥理论和技术建立的提供安全服务的基础设施,PKI采用证书管理公钥,通过第三方的可信任机构 - CA认证中心把用户的公钥和用户的其他标识信息(数字签名)捆绑在一起放在用户证书中,在互联网上验证用户的真实身份;

4 CA - 证书颁发机构

        签发证书、规定证书的有效期和通过发布证书废除列表确保必要时可以废除证书、以及对证书和秘钥进行管理,CA为每个使用公钥的用户发放一个数字证书,数字证书内包括了用户的数字签名与其公钥,CA中心的数字签名使得攻击者不能伪造和篡改,具有一定的安全性;

5 加密示意图(建议放大)

 过程解析

  1. Alice发送原始信息;
  2. 原始信息经过Hash运算得到信息摘要,Hash运算特点:不等长输入等长输出; 信息摘要经过Alice的私钥加密得到Alice的数字签名;
  3. 原始信息+Alice的数字签名+Alice的证书(内含Alice的公钥)经过Alice与Bob 的对称秘钥加密得到加密信息;
  4. 对称密码通过Bob的公钥进行加密,得到秘钥信封;
  5. 加密信息+秘钥信封组成加密数据包,在公网上进行传输到达Bob;
  6. Bob收到该数据包,用Bob的私钥解密秘钥信封(Bob的公钥进行加密)得到 Alice和Bob的对称秘钥;
  7. 使用对称秘钥解密加密信息得到:原始信息+Alice的数字签名+Alice的正式(内含Alice的公钥);
  8. 使用Alice的公钥解密Alice的数字签名(Alice的私钥加密)得到Alice经过Hash 运算的信息摘要;
  9. Bob将原始信息进行同样的Hash运算得到新的信息摘要;
  10. 比对这两个信息摘要内容,一致则接收,不一致则丢弃并重新请求Alice的信息;
上述数据传输同时使用了对称加密算法与非对称加密算法两种,我们通常使用对称加密
算法加密较长的信息,比如我们需要发送的原信息或文件;使用非对称加密算法加密较短的
信息,比如Hash运算后的信息;

        11种免费获取SSL证书的方式,分别是阿里云SSL证书服务、百度云SSL证书服务、腾讯云SSL证书服务、华为云SSL证书管理SCM、站长安全认证证书服务、CloudflareSSL证书服务、滴滴云SSL证书服务、青云SSL证书服务、AlwaysonSSL、景安基础级DV、FreeSSL.org

经过亲测之后,个人推荐使用FreeSSL.org
 

 

二 安装

1 安装服务

# 安装apache环境依赖
[root@localhost ~]# yum -y install mod_ssl openssl httpd
[root@localhost ~]# yum install -y make
# mod_ssl主配置文件
[root@localhost ~]# rpm -qc mod_ssl
/etc/httpd/conf.d/ssl.conf
/etc/httpd/conf.modules.d/00-ssl.conf

# 查看配置信息
# 主要的修改有3处,一是监听端口,这里最好使用默认的443
# 二是网站的根目录,DocumentRoot和ServerName字段
# 三是证书的位置以及证书名称,可以使用默认,在创建的时候改成相应的名字
[root@localhost ~]# vim /etc/httpd/conf.d/ssl.conf 
Listen 443 https											/监听端口
SSLEngine on												/SSL功能是否打开
SSLCertificateFile /etc/pki/tls/certs/localhost.crt			/证书文件路径
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key	/私钥文件路径

# 制作证书文件
# 注意在RHEL 8.2中是没有Makefile文件的,我们需要外部导入该文件来制作证书,此实验我从RHEL 7虚拟机中找到此文件发送到RHEL 8中
[root@localhost ~]# cd /etc/pki/tls/certs/
[root@localhost certs]# ls
ca-bundle.crt        localhost.crt    Makefile
ca-bundle.trust.crt  make-dummy-cert  renew-dummy-cert

2 制作证书

        创建自己的CA证书,注意:这里很多人喜欢使用rsa:4096,但在第三方平台上签署时一般都支持2048,所以不是越高越好  

# 必须在/etc/pki/tls/certs/该目录下创建
[root@localhost certs]# make zhengshu.crt
umask 77 ; \
/usr/bin/openssl genrsa -aes128 2048 > zhengshu.key
Generating RSA private key, 2048 bit long modulus
...................+++
...................................................................................+++
e is 65537 (0x10001)
Enter pass phrase: # redhat
Verifying - Enter pass phrase: # redhat
umask 77 ; \
/usr/bin/openssl req -utf8 -new -key zhengshu.key -x509 -days 365 -out zhengshu.crt 
Enter pass phrase for zhengshu.key: # redhat
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:henan
Locality Name (eg, city) [Default City]:shangqiu
Organization Name (eg, company) [Default Company Ltd]:Yss
Organizational Unit Name (eg, section) []:AMS
Common Name (eg, your name or your server's hostname) []:wangjie
Email Address []:qq.com
[root@localhost certs]# ls
ca-bundle.crt        localhost.crt    Makefile          zhengshu.crt
ca-bundle.trust.crt  make-dummy-cert  renew-dummy-cert  zhengshu.key

较复杂的创建方式如图,可以借鉴,如有需求可查看openssl详细信息

-days 1095 正好是有效期3年,1095是天数

3 服务配置

[root@localhost ~]# cat /etc/httpd/conf.d/vhost.conf
<virtualhost 192.168.247.132:443>
        servername 192.168.247.132
        documentroot /var/www/jiami
        SSLEngine on
        SSLCertificateFile /etc/pki/tls/certs/zhengshu.crt
        SSLCertificateKeyFile /etc/pki/tls/certs/zhengshu.key
</virtualhost>
<directory /var/www>
        allowoverride none
        require all granted
</directory>

# 创建对应路径和测试页面文件
[root@localhost ~]# mkdir -pv /var/www/jiami/
mkdir: created directory ‘/var/www/jiami/’
[root@localhost ~]# echo "this is jiami" >> /var/www/jiami/index.html
[root@localhost ~]#  cat /var/www/jiami/index.html
this is jiami
# 证书
[root@localhost ~]# ls /etc/pki/tls/certs/
ca-bundle.crt        localhost.crt    Makefile          zhengshu.crt
ca-bundle.trust.crt  make-dummy-cert  renew-dummy-cert  zhengshu.key

# 重启,输入密码redhat
[root@localhost ~]# systemctl restart httpd
Enter SSL pass phrase for 192.168.247.132:443 (RSA) : ******(redhat)

4 验证

# 验证
[root@localhost ~]# curl -k https://192.168.247.132
this is jiami
[root@localhost ~]# curl -k https://192.168.247.132:443
this is jiami

三 附件

Makefile 文件内容,可以直接复制生成新文件,导入虚拟机即可使用

[root@localhost ~]# cat /etc/pki/tls/certs/Makefile
UTF8 := $(shell locale -c LC_CTYPE -k | grep -q charmap.*UTF-8 && echo -utf8)
DAYS=365
KEYLEN=2048
TYPE=rsa:$(KEYLEN)
EXTRA_FLAGS=
ifdef SERIAL
        EXTRA_FLAGS+=-set_serial $(SERIAL)
endif

.PHONY: usage
.SUFFIXES: .key .csr .crt .pem
.PRECIOUS: %.key %.csr %.crt %.pem

usage:
        @echo "This makefile allows you to create:"
        @echo "  o public/private key pairs"
        @echo "  o SSL certificate signing requests (CSRs)"
        @echo "  o self-signed SSL test certificates"
        @echo
        @echo "To create a key pair, run \"make SOMETHING.key\"."
        @echo "To create a CSR, run \"make SOMETHING.csr\"."
        @echo "To create a test certificate, run \"make SOMETHING.crt\"."
        @echo "To create a key and a test certificate in one file, run \"make SOMETHING.pem\"."
        @echo
        @echo "To create a key for use with Apache, run \"make genkey\"."
        @echo "To create a CSR for use with Apache, run \"make certreq\"."
        @echo "To create a test certificate for use with Apache, run \"make testcert\"."
        @echo
        @echo "To create a test certificate with serial number other than random, add SERIAL=num"
        @echo "You can also specify key length with KEYLEN=n and expiration in days with DAYS=n"
        @echo "Any additional options can be passed to openssl req via EXTRA_FLAGS"
        @echo
        @echo Examples:
        @echo "  make server.key"
        @echo "  make server.csr"
        @echo "  make server.crt"
        @echo "  make stunnel.pem"
        @echo "  make genkey"
        @echo "  make certreq"
        @echo "  make testcert"
        @echo "  make server.crt SERIAL=1"
        @echo "  make stunnel.pem EXTRA_FLAGS=-sha384"
        @echo "  make testcert DAYS=600"

%.pem:
        umask 77 ; \
        PEM1=`/bin/mktemp /tmp/openssl.XXXXXX` ; \
        PEM2=`/bin/mktemp /tmp/openssl.XXXXXX` ; \
        /usr/bin/openssl req $(UTF8) -newkey $(TYPE) -keyout $$PEM1 -nodes -x509 -days $(DAYS) -out $$PEM2 $(EXTRA_FLAGS) ; \
        cat $$PEM1 >  $@ ; \
        echo ""    >> $@ ; \
        cat $$PEM2 >> $@ ; \
        $(RM) $$PEM1 $$PEM2

%.key:
        umask 77 ; \
        /usr/bin/openssl genrsa -aes128 $(KEYLEN) > $@

%.csr: %.key
        umask 77 ; \
        /usr/bin/openssl req $(UTF8) -new -key $^ -out $@

%.crt: %.key
        umask 77 ; \
        /usr/bin/openssl req $(UTF8) -new -key $^ -x509 -days $(DAYS) -out $@ $(EXTRA_FLAGS)

TLSROOT=/etc/pki/tls
KEY=$(TLSROOT)/private/localhost.key
CSR=$(TLSROOT)/certs/localhost.csr
CRT=$(TLSROOT)/certs/localhost.crt

genkey: $(KEY)
certreq: $(CSR)
testcert: $(CRT)

$(CSR): $(KEY)
        umask 77 ; \
        /usr/bin/openssl req $(UTF8) -new -key $(KEY) -out $(CSR)

$(CRT): $(KEY)
        umask 77 ; \
        /usr/bin/openssl req $(UTF8) -new -key $(KEY) -x509 -days $(DAYS) -out $(CRT) $(EXTRA_FLAGS)

wangjie722703
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux下实现https访问
qq_41436911的博客
01-05 3126
http转https
Linux HTTPS的配置
hzw199788的博客
11-15 488
文章目录ssl:加密服务CA生成一对密钥生成私钥提取公钥生成自签署证书读出cacert.pem证书的内容客户端生成密钥客户端生成证书签署请求客户端把证书签署请求发给CACA签署客户端提交的证书CA把签署好的证书httpd.crt发给客户端配置https ssl:加密服务 https服务需要ssl模块,需要在配置文件中开启 yum安装,配置文件在/etc/httpd/conf.modules.d/...
linux下C语言实现https请求源码
02-24
linux下C语言实现https请求源码
Linux—— HTTPS证书
最新发布
Xinan_____的博客
04-29 1243
HTTPS的工作原理HTTPS)是一种用于安全传输超文本的通信协议。它是HTT协议的安全版本,通过在HTTP和TCP之间添加SSL/TLS加密层,确保传输过程中的数据安全性和完整性。HTTPS的工作原理1.建立安全连接:客户端(通常是浏览器)向服务器发起HTTPS请求时,服务器会返回自己的数字证书,证明自己的身份。客户端会验证证书的合法性,如果证书有效且可信,则客户端生成一个随机数作为会话密钥,并使用服务器的公钥加密该密钥,然后将加密后的密钥发送给服务器。2.
linux系统SSL证书部署https单/多站点
wwwwestcn的博客
05-19 3541
ssl_certificate 证书文件路径/_www.domain.com.crt;SSLCertificateChainFile 证书文件路径/_www.domain.com_ca.crt # 对应wdcp中apache的bundle文件。ssl_certificate_key 证书文件路径/_www.domain.com.key;将www.domain.com.jks文件存放到conf目录下,然后配置同目录下的server.xml文件, 新增如下内容。
Linux服务器之WEB服务器-https
weixin_54822053的博客
10-09 455
web证书:web端生成私钥--web端生成签署请求文件--发送CA---CA签名---CA服务器端生成web证书--web端下载web证书。设置--首选项--高级--证书--查看证书--导入--找到根证书,然后双击--把“信任使用此CA标识的网站”勾上--确定--确定。4、在主机WEB上为主机WEB生成私钥,并将私钥存放在/etc/httpd/ssl目录中。7、在主机CA上 对签署请求进行数字签名,并指明所生成的Web证书的存放路径。8、在主机WEB上将CA主机上已经数字签名后的Web证书下载下来。
基于Liunx搭建https服务器(SSL协议/相关服务器搭建)
qq_44685426的博客
11-28 3251
http协议: 客户端:发送请求 客户端支持的协议版本号 客户端支持的加密算法(密钥,算法) 客户端产生随机数random_client_num1 服务端:回复 服务端发送协商好的协议版本 服务端发送协商好的加密算法 服务端发送服务器证书 服务器产生随机数random_server_num1 此时,客户端: 接受服务端发送的信息...
Linux服务器搭建实战详解
06-06
Linux服务器搭建实战详解
Linux服务器搭建实战详解.pdf
06-20
Linux 服务器搭建 实战详解
Linux服务器搭建实战详解》-pdf
09-12
学习服务器编程一定要看的一本书
详解Linux中搭建常用服务器
01-10
1、搭建telnet服务器 2、搭建DHCP服务器 3、搭建DNS服务器 4、搭建sendmail服务器 5、搭建FTP服务器 6、搭建web服务器 安装 apache tomcat 7、搭建samba服务器 一、搭建telnet服务器 1、查看是否有telnet服务 ...
LinuxHTTPS协议
gangaue的博客
06-18 971
本篇文章进行应用层中HTTPS协议的学习!!!概念数据摘要也叫数据指纹,它的基本原理是利用单向散列函数(Hash函数)对信息进行运算,生成一串固定长度的数据摘要数据摘要并不是一种加密机制,但可以用来判断数据有没有被篡改常见单向散列函数算法MD5、SHA1、SHA256等,它可以把无限的数据映射成有限,因此可能会有碰撞(两个不同的信息,算出的摘要相同,但概率非常低)特征:它和加密算法的区别是,摘要的主要工作不是进行加密,因为没有解密,只不过从摘要反推原数据是不可能的。
centos7/redhat7 安装部署Nginx集群+Keepalived 并配置反向代理http和https 负载均衡配置
ylsutpc的博客
10-14 945
centos7/redhat7 安装部署Nginx集群+Keepalived 并配置反向代理http和https 负载均衡配置
Linux -- 进阶 Web服务器 搭建基于 https 协议的静态网站 ( 预备知识 )
三毛与海子的博客
05-27 1972
HTTPS 协议 详解 , SSL 协议详解 、加密认证 ( 哈希算法 ), 共享密钥加密,公开密钥加密
Linux -- 进阶 Web服务器 搭建基于 HTTPS 协议的静态网站( HTTPS 安全加密机制详解
三毛与海子的博客
05-28 718
HTTPS安全加密机制详解
Linux基础之HTTP协议之HTTPS
weixin_55374007的博客
12-03 534
http协议是明文传输的,因此很容易被截取和解析,泄漏个人数据。https协议是在http和tcp之间多添加了一层,进行身份验证和数据加密。HTTPS 原理① 客户端将它所支持的算法列表和一个用作产生密钥的随机数发送给服务器服务器从算法列表中选择一种加密算法,并将它和一份包含服务器公用密钥的证书发送给客户端;该证书还包含了用于认证目的的服务器标识,服务器同时还提供了一个用作产生密钥的随机数 [2];③ 客户端对服务器的证书进行验证(有关验证证书,可以参考数字签名),并抽取服务器的公用密钥;
linux 搭建https server (apache)
weixin_34378045的博客
07-03 115
一、  安装准备 1.    安装Openssl  要使Apache支持SSL,须要首先安装Openssl支持。这里使用的是openssl-0.9.8k.tar.gz    下载Openssl:http://www.openssl.org/source/        tar -zxf openssl-0.9.8k.tar.gz    //解压安装包     ...
Linux系统升级及内核版本升级
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-23 3万+
一、背景 工作中有时会遇到系统版本过旧,无法满足安全扫描后的安全要求,系统漏洞数量多,处理难度较大,这时,我们就需要升级OS或Linux内核版本; 二、升级操作 2.1、 redhat/CentOS系统 三、附录:包升级命令 1)配置yum更新源 /etc/yum.repos.d目录下新建主机的yum源,.repos文件中,repositoryid:指定一个仓库,name指定仓库名称, baseurl:指定仓库的URL,mirrorlist指定仓库的镜像站点,enable是否启用本仓库,gpgcheck
linux系统搭建https服务
Friendsofthewind的博客
09-10 1124
基础必知 SSL:安全套接字层,由Netscape公司于1994年创建,它旨在通过Web创建安全的Internet通信。 它是一种标准协议,用于加密浏览器和服务器之间的通信。它允许通过Internet安全轻松地传输账号密码、银行卡、手机号等私密信息。 SSL常见应用: https:启用ssl加密的安全HTTP传输协议 443 ipsec vpn PKI:公钥基础设施,主要功能是绑定证书持有者的身份和相关的密钥对(通过为公钥及相关的用户身份信息签发数字证书), 为用户提供方便的证书申请、证书作废、证书获取
Linux -- 进阶 Web服务器 搭建基于 HTTPS 协议的静态网站 (实验实操)
三毛与海子的博客
06-01 1033
使用 Apache + mod_ssl 组件的加密认证网站

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值