HTTP第二篇——加密

第一步：搭建CA服务器

 

1、部署证书签发环境：配置文件/etc/pki/tls/openssl.conf

2、创建私钥文件：命令 文件名称  存储位置  私钥

3、创建根证书文件：命令 文件名称  存储位置

4、共享根证书文件：使用那种服务共享 共享目录 共享名

5、测试配置：客户端下载按住嗯根证书文件

 

具体配置过程：

1、部署证书签发环境：配置文件/etc/pki/tls/openssl.conf

# which openssl            :查看是否有装openssl包，默认装

# rpm -qf /bin/openssl      :查看要装的包

# rpm -qc openssl-libs      :查看软件的配置文件

# vim  /etc/pki/tls/openssl.cnf

    40 [ CA_default ]                 :默认环境

    42 dir          = /etc/pki/CA      :CA相关文件的默认目录

    43 certs        = $dir/certs       :为用户颁发证书的存放位置

 建 45 database   = $dir/index.txt   :证书数据的索引文件，需手动建立 

 改 50 certificate   = $dir/my-ca.crt   :CA服务器根证书文件

 建 51 serial       = $dir/serial      :序号记录文件，需手动建立，从01开始

 改 55 private_key = $dir/private/my-ca.key  :CA服务器私钥文件

    83 [ policy_match ]   ：策略匹配

    85 countryName             = match   ：配置和CA一致

    86 stateOrProvinceName     = match

    87 organizationName        = match

    128 [ req_distinguished_name ]        //证书请求的识别信息

 改 129 countryName_default             = CN      ：国家

去#改134 stateOrProvinceName_default   = beijing ：省

 改 137 localityName_default              = beijing ：市

 改 140 0.organizationName_default       = tarena   ：公司名

去#改148 organizationalUnitName_default = ope     ：部门

 

根据需要建立index.txt、serial文件

# touch  /etc/pki/CA/index.txt

# chmod 600 /etc/pki/CA/index.txt

# touch  /etc/pki/CA/serial

# echo 01 > /etc/pki/CA/serial

# chmod 600  /etc/pki/CA/serial

 

2、创建CA服务器私钥文件：命令 文件名称  存储位置  私钥

# cd  /etc/pki/CA/private/

# openssl  genrsa  -des3  2048  >  my-ca.key (设置保护私钥的密码123456)

# chmod  600 my-ca.key  ：为啦安全，只有root有权限

# ls  my-ca.key

 

3、创建根证书文件：命令 文件名称  存储位置

# cd /etc/pki/CA

# openssl  req获取  -new新的  -x509证书格式  -key私钥  /etc/pki/CA/private/my-ca.key私钥文件  -days 365有效时间  > my-ca.crt根证书文件

   server's hostname:web

   Email Address []:lili@163.com

# chmod  600 my-ca.crt

 

4、共享根证书文件：使用那种服务共享 共享目录 共享名

#yum -y  install httpd

# systemctl restart httpd

# systemctl enable  httpd

# mkdir /var/www/html/ca

# cp /etc/pki/CA/my-ca.crt /var/www/html/ca/

# chmod 755 /var/www/html/ca/my-ca.crt查看浏览器安装的证书：首选项

http://192.168.4.100/ca/

浏览器--设置--高级--证书--导入

# ls /var/www/html/ca/my-ca.crt

# service httpd start; chkconfig httpd on

# systemctl stop firewalld

# setenforce 0

 

5、测试配置：客户端下载根证书文件

查看浏览器安装的证书：首选项

http://192.168.4.100/ca/

浏览器--设置--高级--证书--导入

 

①装包

# yum  -y  install  mod_ssl

②创建私钥文件：作用 命令  文件名  存储位置

# cd  /etc/pki/tls/private/

# openssl  genrsa  2048  >  www.key

③创建证书请求文件：命令 文件名 存储位置

# openssl req -new -key /etc/pki/tls/private/www.key > /root/www.csr

     ：证书请求文件以.csr结尾

    CN    guangdong    shenzhen    yiyi    ope

   your server's hostname) []:web  :本机网站服务名

   Email Address []:lili@163.com

 

④提交证书请求文件传给CA服务：scp

# scp /root/www.csr   192.168.4.15:/root/

 

⑤配置本机的网站在运行时调用私钥文件和数字证书文件mod_ssl、ssl.conf

# mv   /root/www.crt    /etc/pki/tls/certs/

# ls  /etc/pki/tls/private/www.key

# yum  -y   install  mod_ssl

# sed   -n  '100p;107p'  /etc/httpd/conf.d/ssl.conf

    100行 SSLCertificateFile /etc/pki/tls/certs/www.crt  ：改路径

    107行 SSLCertificateKeyFile /etc/pki/tls/private/www.key ：改路径

或

# vim /etc/httpd/conf.d/ssl.conf

    100行 SSLCertificateFile /etc/pki/tls/certs/www.crt  ：改路径

    107行 SSLCertificateKeyFile /etc/pki/tls/private/www.key ：改路径

 

⑥重启服务

# systemctl   restart  httpd

# netstat  -untlap  | grep httpd   （443  80）

 

⑦CA服务器配置

A、审核并签发数字证书： 命令 数字证书名称 数字证书文件存放的位置 知道私钥密码

# ls  /root/www.csr

# cd /etc/pki/CA/certs/

# openssl  ca  -in  /root/www.csr  >  www.crt    (web)

# cat  www.crt

 

B、下发数字证书给网络服务端：scp

# scp   www.crt   192.168.4.13:/root/  ：把证书版发给13服务器

# cat /etc/pki/CA/indedx.txt  ：看颁发证书记录

 

C、客户配置：验证使用https协议访问网站服务器，从CA服务器上下载根证书文件并安装

# sed -i '$a192.168.4.13  web'   /etc/hosts

或

# vim /etc/hosts

  192.168.4.13 web  :端口重定向访问

# ping -c 2  web

转载于:https://blog.51cto.com/13571706/2061165