一、基础知识

httpd: ssl

ssl模块
单独成包
ssl会话基于IP地址创建,所以,每一个IP仅创建一个SSL会话;
ssl握手要完成的工作:
交换协议版本号
选择双方都支持的加密方式
客户端对服务器端实现身份验正
密钥交换
https协议: 基于SSL二进制编码, 443/tcp
openssl s_client
客户端验正服务器端证书:
有效性检测:证书是否仍然在有效期内
CA的可信度检测:
证书的完整性检测:
持有者的身份检测

二、Openssl知识的回顾

Cd /etc/pki/CA
(umask 077; openssl genrsa -out private/cakey.pem 1024)
Vim /etc/pki/tls/openssl.cnf
Openssl req -new -x509 -key privvate/cakey.pem -out cacreat.pem -days 1000
Touch serial index.txt
Mkdir /etc/httpd/ssl
Cd /etc/httpd/ssl
(umask 077; openss genrsa -out httpd.key 1024)
Openssl req -new  -key httpd.key -out httpd.csr
Openssl ca -in httpd.csr -out httpd.crt -days 1000

三、实验

配置httpd工作于https:

1安装mod_ssl模块

# yum install mod_ssl

2、服务器自建CA 并签署

wps_clip_p_w_picpath-31891

修改配置文档Vim /etc/pki/tls/openssl.cnf

wps_clip_p_w_picpath-1178

3、系列号、为服务端生成私钥,

wps_clip_p_w_picpath-16404

并为其提供证书;签署后的证书为:/etc/httpd/ssl/httpd.crt

wps_clip_p_w_picpath-17894

4、 配置使用https的虚拟主机模块ssl

Vim /etc/conf.d/ssl.conf

SSLCertificateFile

SSLCertificateKeyFile

wps_clip_p_w_picpath-13024

5、虚拟主机的配置

<VirtualHost IP:443>

DocumentRoot

ServerName

</VirtualHost>

wps_clip_p_w_picpath-15121

6、重新装载配置

wps_clip_p_w_picpath-5582

7、实验结果、

wps_clip_p_w_picpath-18843