利用httpd+openssl来实现网站的https

最新推荐文章于 2021-05-07 04:14:41 发布
最新推荐文章于 2021-05-07 04:14:41 发布
阅读量439 收藏 1
点赞数
文章标签: 开发工具 数据库 网络
原文链接:https://yq.aliyun.com/articles/459706
版权

利用httpd+openssl来实现网站的https

                                        CA验证中心(颁发/吊销证书)
                                        /                 \ \  
                               CA 证书    /             下发   \ \ 证书请求 
                                         /             证书   \ \ 
                                   client <--------数字证书------ WEB 

1。web服务器,生成非对称加密密钥对(web公钥,web私钥) 
2。web服务器使用 web身份信息+web公钥 生成 web服务器的证书请求 ,并将证书请求发给CA服务器 
3。CA服务器使用 CA的私钥 对 web 服务器的证书请求 进行数字签名得到 web服务器的数字证书,并将web服务器的数字证书颁发给web服务器。 
4。client访问web服务器,请求https连接,下载web数字证书 
5。client下载 CA数字证书(CA身份信息+CA公钥,由上一级CA颁发,也可自签名颁发),验证 web数字证书(CA数字证书中有CA公钥,web数字证书是使用CA私钥签名的) 
6。client与web协商对称加密算法,client生成对称加密密钥并使用web公钥加密,发送给web服务器,web服务器使用web私钥解密 
7。使用对称加密密钥传输数据,并校验数据的完整性 



利用httpd+openssl来实现网站的https

下面呢我们来讲一下具体步骤 
配置CA服务器
======================================================== 
1.配置CA 172.16.1.2 生成CA自己的公钥 私钥 CA对自己进行证书自签名 (用脚本生成) 
[root@CA ~]# vim /etc/pki/tls/openssl.cnf 
dir             = /etc/CA                  # Where everything is kept      第45行 
basicConstraints=CA:TRUE     # 自签署的证书可以使用  第178行

[root@CA ~]# vim /etc/pki/tls/misc/CA
CATOP=/etc/CA            #第42行

[root@CA ~]# /etc/pki/tls/misc/CA -newca 
CA certificate filename (or enter to create) 
Making CA certificate ... 
Generating a 1024 bit RSA private key 
......++++++ 
.......................++++++ 
writing new private key to '../../CA/private/./cakey.pem'     #私钥 
Enter PEM pass phrase:123456                         #保护CA私钥
Verifying - Enter PEM pass phrase:123456 
----- 
You are about to be asked to enter information that will be incorporated into your certificate request. 
What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 
For some fields there will be a default value, 
If you enter '.', the field will be left blank.
----- 
Country Name (2 letter code) [GB]:CN                     #身份信息 
State or Province Name (full name) [Berkshire]:BEIJING 
Locality Name (eg, city) [Newbury]:HD 
Organization Name (eg, company) [My Company Ltd]:UPLOOKING 
Organizational Unit Name (eg, section) []:IT
Common Name (eg, your name or your server's hostname) []:CA.uplooking.com 
Email Address []:CA@uplooking.com 

Please enter the following 'extra' attributes to be sent with your certificate request 
A challenge password []: 
An optional company name []: 
Using configuration from /etc/pki/tls/openssl.cnf 
Enter pass phrase for ../../CA/private/./cakey.pem:123456     #使用私钥自签名 
Check that the request matches the signature 
Signature ok 
Certificate Details: 
       Serial Number: 0 (0x0) 
       Validity 
           Not Before: Mar 5 01:40:50 2012 GMT 
           Not After : Mar 5 01:40:50 2015 GMT 
       Subject:
           countryName = CN
           stateOrProvinceName = BEIJING
           organizationName = UPLOOKING
           organizationalUnitName = IT
           commonName = CA.uplooking.com
           emailAddress = CA@uplooking.com 
       X509v3 extensions: 
               X509v3 Basic Constraints: 
                   CA:TRUE 
               Netscape Comment: 
                   OpenSSL Generated Certificate 
               X509v3 Subject Key Identifier: 
                   61:D5:3A:C7:5C:0F:66:FE:D5:EF:5D:A1:94:8F:FD:C2:E5:94:7D:D3 
               X509v3 Authority Key Identifier:             
                   keyid:61:D5:3A:C7:5C:0F:66:FE:D5:EF:5D:A1:94:8F:FD:C2:E5:94:7D:D3 
Certificate is to be certified until Mar 5 01:40:50 2015 GMT (1095 days) 

Write out database with 1 new entries 
Data Base Updated 



[root@CA ~]# ls /etc/CA/private/cakey.pem     #CA私钥
[root@CA ~]# ls /etc/CA/cacert.pem         #CA证书 
[root@CA ~]# ls /etc/CA/careq.pem         #CA证书请求 


配置web服务器 
===============================================================
web 生成自己的私钥 
[root@www ~]# openssl genrsa -des3 -out /etc/httpd/conf.d/server.key         #使用des3保护私钥 
Generating RSA private key, 512 bit long modulus
.........++++++++++++ 
......................++++++++++++ 
e is 65537 (0x10001) 
Enter pass phrase for /etc/httpd/conf.d/server.key:123456 
Verifying - Enter pass phrase for /etc/httpd/conf.d/server.key:123456 

生成证书请求(使用身份标识+公钥) 
[root@www ~]# openssl req -new -key /etc/httpd/conf.d/server.key -out /tmp/server.csr 
Enter pass phrase for /etc/httpd/conf.d/server.key:123456 
You are about to be asked to enter information that will be incorporated into your certificate
request.                    
What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 
For some fields there will be a default value, 
If you enter '.', the field will be left blank. 
----- 
------------------------------------------------------------------------------- 
Country Name (2 letter code) [GB]:CN                         #这部分信息要与CA一致 !!!
State or Province Name (full name) [Berkshire]:BEIJING 
Locality Name (eg, city) [Newbury]:HD 
Organization Name (eg, company) [My Company Ltd]:UPLOOKING 
Organizational Unit Name (eg, section) []:IT 
------------------------------------------------------------------------------- 
Common Name (eg, your name or your server's hostname) []:www.uplooking.com 
Email Address []:www@uplooking.com 

Please enter the following 'extra' attributes to be sent with your certificate request 
A challenge password []: 
An optional company name []: 

将证书请求发送给CA 
[root@www ~]# scp /tmp/server.csr CA.uplooking.com:/tmp/ 



CA服务器对证书请求进行数字签名 
=============================================================================  
[root@CA ~]# openssl ca -keyfile /etc/CA/private/cakey.pem -cert /etc/CA/cacert.pem -in /tmp/server.csr -out /tmp/server.crt

   /etc/CA/private/cakey.pem     (这是ca的私钥) 
   /tmp/server.csr             (httpserver的证书请求文件) 
   /etc/CA/cacert.pem           (ca的证书) 
   /tmp/server.crt             (生成的httpserver的证书的名字) 

Using configuration from /etc/pki/tls/openssl.cnf 
Enter pass phrase for /etc/CA/private/cakey.pem: 
Check that the request matches the signature 
Signature ok 
Certificate Details: 
       Serial Number: 1 (0x1) 
       Validity 
           Not Before: Mar 5 02:20:56 2012 GMT
           Not After : Mar 5 02:20:56 2013 GMT 
       Subject:
           countryName = CN
           stateOrProvinceName = BEIJING
           organizationName = UPLOOKING
           organizationalUnitName = IT
           commonName = www.uplooking.com
           emailAddress = www@uplooking.com 
       X509v3 extensions: 
           X509v3 Basic Constraints: 
               CA:TRUE 
           Netscape Comment: 
               OpenSSL Generated Certificate 
           X509v3 Subject Key Identifier: 
               D0:6E:C7:7D:FC:BE:0D:62:CA:B9:A2:E0:2A:9A:27:32:39:0B:91:F8 
           X509v3 Authority Key Identifier: 
               keyid:61:D5:3A:C7:5C:0F:66:FE:D5:EF:5D:A1:94:8F:FD:C2:E5:94:7D:D3 
Certificate is to be certified until Mar 5 02:20:56 2013 GMT (365 days) 
Sign the certificate? [y/n]:y 

1 out of 1 certificate requests certified, commit? [y/n]y 
Write out database with 1 new entries 
Data Base Updated 

将签名后的数字证书颁发给web 
[root@CA ~]# scp /tmp/server.crt www.uplooking.com:/etc/httpd/conf.d/ 




配置web支持ssl实现https 
========================================================== 
[root@www ~]# yum install httpd mod_ssl 
[root@www ~]# vim /etc/httpd/conf.d/ssl.conf 
SSLCertificateFile /etc/httpd/conf.d/server.crt 
SSLCertificateKeyFile /etc/httpd/conf.d/server.key 

[root@www ~]# netstat -tunpl | grep 443 
tcp 0 0 :::443 :::* LISTEN 2000/httpd 

Client下载CA证书并导入到浏览器,然后访问www服务器
==================================================================================
client需要下载CA证书并导入浏览器,使用https访问web,浏览器验证web数字证书是否由CA颁发 打开firefox,编辑------>首选项----->高级----> 加密----->查看证书------>导入


如果还有不明白怎么生产openssl证书的可以去看下我的这篇文章:

http://sangh.blog.51cto.com/6892345/1355878  我在上次的时候就发表了大家可以看看


本文转自Devin 51CTO博客,原文链接:http://blog.51cto.com/devingeng/1384464

weixin_33982670
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ssl:httpd的运用
yeqixian123456的博客
05-12 570
ssl: 启用模块:编辑/etc/httpd/conf.modules.d/00-base.conf文件,添加下面这行,如果已经有了但是注释了,则取消注释即可 LoadModule ssl_module modules/mod_ssl.so 配置https步骤: 生成证书:证书生成 证书有3种 自己生成(只用于实验,内网) https://www.freehao123.com/lets-encrypt/(免费证书,有期限,不建议,个人网站) 公司买的 openssl实现私有CA: CA的配置文件
httpd服务详解及基于openssl的使用
weixin_33724046的博客
04-25 340
httpd常见特性 1.事先创建空闲进程。 2.按需维持适当的进程。 3.使用模块化设计,核心比较小,各种功能都以模块方式添加。 4.支持运行时配置,支持单独编译模块。 5.支持多种方式的虚拟主机配置。 6.支持https协议,通过mod_ssl模块实现。 7.支持用户认证 8.支持基于IP或主机名的ACL 9.支持基于每目录的访问控制。 10.支持URL重写。MPM(Mu...
OpenSSL配置HTTPS
weixin_34413802的博客
05-05 68
Windows平台下配置HTTPS可以用Wndows提供的certficate service来创建CA,颁发证书。它以GUI的形式来方便使用,但是正是由于GUI,所以配置HTTPS起来就比较费时,需要点很多next,重复输入同样的信息(不知道有没有命令行)。 OpenSSLhttp://www.openssl.org/)是一个支持SSL的开源项目,可支持很多操作系统。可以通过它来快速配置...
httpd系列-04-基于openSSL配置HTTPS
hylexus的博客
11-09 1710
说明 准备 私有CA生成自签署的证书 为httpd配置SSL支持 1 生成私钥 2 生成证书颁发请求 3 颁发证书 4 httpd配置 5 ssl配置 6 访问 说明此处介绍在CentOS6.8系统上,使用openSSL建立私有CA,并颁发证书,以配置httpd支持https。多数内容来自于大牛 马哥的教程。1 准备 安装mod_ssl模块 yum install -y mod_ssl# 查看mod
CentOS 6.10源码编译及使用ansible编译安装httpd2.4.39
09-15
然后,我们可以分别在`tasks/main.yml`、`files`、`vars/main.yml`、`templates`和`handlers/main.yml`中编写相应的任务、文件、变量、模板和处理程序,实现httpd的源码编译和安装的自动化。 总结起来,这个教程...
Nagios+Cacti详细配置及应用
10-15
接着,我们需要安装httpd、gcc、glibc、gd、php、php-mysql、mysql、mysql-server、mysql-devel和openssl-devel等依赖包,这些都是Nagios正常运行的基础。 Nagios的安装步骤主要包括创建nagcmd用户组和nagios用户,...
apache+php+mysql安装配置问题参考.pdf
12-08
2. **启动安装**:双击apache_2.2.10-win32-x86-openssl-0.9.8i.msi安装文件,进入安装向导。 3. **接受协议**:阅读并接受软件许可协议。 4. **设置系统信息**:输入域名、服务器名和电子邮件地址,通常可以采用...
通过基于虚拟化的外包计算来保护加密功能
03-05
加密功能(例如加密/解密库)是应用程序增强数据机密性的常用工具。 但是,不受信任的操作系统或其他应用程序发起的细微攻击可能会... 我们还对OpenSSL的接口和Apache httpd进行了性能评估,以显示CFA集成引起的开销。
Linux下mysql+php+apache环境的搭建借鉴.pdf
12-25
对于CentOS用户,可以利用系统内置的`yum`命令来安装和升级所需的软件包。以下是安装一些基础依赖的命令: ```bash sudo -s LANG=C yum -y install gcc gcc-c++ cmake autoconf libjpeg libjpeg-devel libpng ...
linux 安装Apache+openssl 过程
05-14
详细描述 linux 安装Apache+openssl 过程,以及每个步骤所需安装包的下载地址
win7 apache+openssl 安装
08-05
NULL 博文链接:https://hlhpyasd.iteye.com/blog/2066631
openssl+http实现https
weixin_34348174的博客
10-22 1099
openssl详解及实现httpsopenssl详解及实现httpsOpenSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。秘钥算法和协议:对称加密: 加密和解密使用同一个密钥,原始数据分成固定大小块,算法不同 秘钥过多,秘钥分发困难 DES,3DES AES Blowfish T...
linux下httpssl服务,Linux下ssl+http 实现 HTTPS 访问服务器设置
weixin_33637634的博客
05-07 1302
yum install httpd php1.配置CA服务器vim /etc/pki/tls/openssl.cnf修改第45行,更改存放证书目录dir = ../../CAdir = /etc/CA修改第178行,让服务器支持自签名#basicConstraints=CA:FALSE自签名的证书可以使用basicConstraints=CA:TRUEcd /etc/pki/CA配置生成C...
minihttp安装配置ssl和c语言实现cgi
weixin_30877755的博客
04-21 285
概述:参考了大牛们的方法,结合自己的环境做了修改,主要是讲:minihttp安装配置ssl和c语言实现cgi接收字符串并且保存系统环境:centos6.5 开发版 依赖软件包: mini_httpd-1.19.tar.gz cgic206.tar.gz openssl openssl-devel 说明:前面因需要已经安装过opensslopenssl-d...
Apache及openssl配置https详解
新雪兰
07-03 2460
1、 openssl genrsa -des3 -out c:\des3.key 2048 https://www.cnblogs.com/tugenhua0707/p/10927722.html https://blog.csdn.net/wanggong_1991/article/details/88391478
apache服务器中openssl配置https
一口吃不了胖子
05-10 4452
最近需要研究下apache的签名问题,主要是利用openssl实现,就对openssl研究了下。理论基础:OpenSSL初接触的人恐怕最难的在于先理解各种概念  公钥/私钥/签名/验证签名/加密/解密/非对称加密  我们一般的加密是用一个密码加密文件,然后解密也用同样的密码.这很好理解,这个是对称加密.而有些加密时,加密用的一个密码,而解密用另外一组密码,这个叫非对称加密,意思就是加密解密的密码...
Ubuntu下 利用httpd和OpenSSL搭建HTTPS web服务器
rock4you
11-12 2061
Ubuntu下 利用httpd和OpenSSL搭建HTTPS web服务器
利用管道编程实现命令 ps-ea lgrep httpd 的功能。
最新发布
05-31
可以使用管道将 `ps -ea` 命令的输出作为 `grep httpd` 命令的输入,实现类似于 `ps -ea | grep httpd` 的功能。 具体实现方法如下: ```c #include #include #include #include int main() { int fd[2]; ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值