立httpd服务,要求:
  (1) 提供两个基于名称的虚拟主机www1, www2;有单独的错误日志和访问日志;
  (2) 通过www1的/server-status提供状态信息,且仅允许tom用户访问;
  (3) www2不允许192.168.0.0/24网络中任意主机访问;
2、为上面的第2个虚拟主机提供https服务;

 

在三台主机服务器安装软件包:


[root@zyx ~]# yum -y install httpd mod_ssl
[root@zyx1 ~]# yum -y install httpd mod_ssl
[root@zyx2~]# yum -y install bind


搭建私有DNS服务和私有CA服务:
私有DNS服务域名“ppp.com"
DNS主配置文件:/etc/named.conf


options {
    directory "/var/named";
    listen-on port 53 { localhost; };
    allow-recursion { 172.16.0.0/16; };
    };
zone "." IN {
    type hint;
    file "named.ca";
};
zone "test.com" IN {
    type master;
    file "test.com.zone";
};


ppp.com域的数据库文件:/var/named/ppp.com.zone



$TTL 1D@       IN SOA  ns1.ppp.com. root.ppp.com. (
                     0
                     1D
                     1H
                     1W
                     3H )
   NS      ns1
ns1  A       172.16.9.72
ca      A       172.16.9.72
websrv1   A       172.16.9.61
www1      CNAME   websrv1
www2      CNAME   websrv1
websrv2   A       172.16.9.71
www3      CNAME   websrv2
www4      CNAME   websrv2


启动服务:[root@zyx]# systemctl startnamed.service


建立CA:

定制CA :
vim /etc/pki/tls/openssl.cnf
(1)cd /etc/pki/CA;touch index.txt数据库文件;echo 01 > serial

生成私钥:
(umask 066;openssl genrsa -out private/cakey.pem 1025)

创建CA:
      openssl rep -new -x509 -key private/cakey.pem -days 3650 -out cacert.pem
省略此步骤。。。。。

查看证书文件:

(1)openssl x509 -in cacert.pem -noout -text
(2)cd /etc/pki/tls/private
(3)umask 066;openssl genrsa -out httpd.key 2048 )
(4)    cd /etc/pki/tls/
(5)openssl req -new -key private/httpd.key -out certs/httpd.csr -days
申请证书
    ..填信息跟CA一致:
   (1)scp certs/httpd.csr 0.0.0.0:/etc/pki/CA/newcerts 
   (2)openssl ca -in httpd.csr -out httpd.crt -dats 365
   (3)cp 01.pem ../certs/
   (4)scp httpd.crt 0.0.0.0:/etc/pki/tls/certs 证书 c