基于httpd建立私有CA实现https加密连接

简介:

    有关于https是什么,点击连接查看百度百科:https://baike.baidu.com/item/https/285356?fr=aladdin

一、准备工作

    在开始实验之前,我们要准备至少两台主机还有自身的计算机,一台作为服务器,另外一台作为私有CA机构,我们要保证这两台主机之间可以互相ping通,并且都能于真实计算机ping通,也就是这三台机器能够互相通信。

    在这里,我准备了两台虚拟机,操作系统分别为CentOS 7 和 CentOS 6 ,CentOS 7 使用的IP地址为172.16.7.100,CentOS 6 使用的IP地址为172.16.128.4。我将CentOS 7 作为提供http服务的服务器,CentOS 6 作为CA机构,三台机器的功能如图:

wKiom1nh7I3zKeV4AAA7pE9XUbo768.png-wh_50

二、建立CA

    首先在IP为172.16.128.4的主机上建立CA,并将自己的信息写到认证中去:

1
2
3
4
5
~] # cd /etc/pki/                                                            #切换工作目录
CA] # touch index.txt                                #然后再当前目录下创建两个文件
CA] # echo 01 > serial                               #在认证时会用到,如果不创建会报错
CA] # (umask 077;openssl genrsa -out private/cakey.pem 2048)                     #创建私钥
CA] # openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 7300   #认证自己

wKiom1nh_-iANNelAAC6CciaKHw638.png-wh_50

三、创建申请

    CA建立完了,我们就要开始建立自身的认证了,首先回到当作服务器的主机(172.16.7.100),找到一个目录来存储认证文件,在这里我将“/myweb/wordpress/ssl”作为存放目录(随便放,后面使用绝对路径引用,放在一个安全的地方),然后使用下面的命令创建私钥:

1
2
ssl] # (umask 077;openssl genrsa -out httpd.key 1024)
ssl] # openssl req -new -key httpd.key -out httpd.csr

    在填写信息的时候注意:国家要求两个字符,服务器填写虚拟主机的域名

wKioL1niAXTjw1UIAADX99UBd78874.png-wh_50

四、申请及审批

    认证文件都创立完成之后,就可以把服务器上生成的申请信息发送到CA上进行认证,使用下面这条命令可以方便的将文件上传:

1
ssl] # scp httpd.csr root@172.16.128.4:/tmp/          #此命令在172.16.7.100(服务器上执行)

    在一段时间等待之后,就会提示要输入密码,在输入密码之后再等待一段时间,出现如图所示画面就说明文件上传成功:

wKioL1niAquS3DsCAABCx4drXo4327.png-wh_50

    切换到CA(172.16.128.4)上执行下面的命令完成认证(根据提示选择yes即可):

1
CA] # openssl ca -in /tmp/httpd.csr -out certs/myweb.wordpress.com.crt -days 365

    在认证完成之后,在通过scp命令将认证完成生成的文件传送回去:

1
CA] # scp certs/myweb.wordpress.com.crt 172.16.7.100:/myweb/wordpress/ssl/

    回到服务器(172.16.7.100)上,即可在“/myweb/wordpress/ssl”里边看到myweb.wordpress.com.crt文件,到这里私有CA和证书颁发就完成了。

五、浏览器查看

    证书颁发完成,但是我们还是不能在浏览器中看到,如果想要在浏览器里使用https,需要“mod_ssl”,使用下面的命令来安装:

1
~] # yum install -y mod_ssl

    在安装完成之后,就会在“/etc/httpd/conf.d/”下生成一个配置文件:ssl.conf,编辑这个文件:

1
~] # vim /etc/httpd/conf.d/ssl.conf

    将文件中下面两个选项(一般分别在101行和108行)改成下面这样(这两个文件放在哪就改成哪):

1
2
SSLCertificateFile  /myweb/wordpress/ssl/myweb .wordpress.com.crt
SSLCertificateKeyFile  /myweb/wordpress/ssl/httpd .key

    改完之后保存退出,重新加载httpd配置:

1
~] # systemctl restart httpd

    使用命令“ss -tnl”查看,可以看到443端口已经被监听了,这个端口就是默认的https端口:

wKiom1niCLTxzvmbAACEpuEMUvo807.png-wh_50

    到此https就配置完成,下面进行测试,在“/etc/httpd/conf.d/”中创建一个虚拟主机:

1
ssl] # vim /etc/httpd/conf.d/vhost.conf

    写入以下内容:

1
2
3
4
5
6
7
8
9
10
11
12
<VirtualHost *:443>
         ServerName myweb.wordpress.com
         DocumentRoot  /myweb/wordpress
         ErrorLog logs /wordpress-error_log
         CustomLog logs /wordpress-access_log  combiend
         DirectoryIndex index.html
         <Directory  "/myweb/wordpress" >
                 Options Indexes
                 AllowOverride   None
                 Require all granted
         < /Directory >
< /VirtualHost >

    然后创建目录“/myweb/wordpress”,并创建一个主页:

1
2
~] # mkdir /myweb/wordpress
~] # echo "wordpress Page" > /myweb/wordpress/index.html

    最后在真实计算机上使用浏览器打开“https://myweb.wordpress.com/”即可看到如下画面(要修改hosts文件,参考前面的博客):

wKiom1niCzbAEJ2dAAC5cGRCENI861.png-wh_50

    可以看到都是刚才注册的信息,报错是因为这个CA为私有,无法经过它的验证。但是在局域网内就可以使用这个证书来验证信息来源的可靠性了。













本文转自正经的青年51CTO博客,原文链接:http://blog.51cto.com/11142243/1972413 ,如需转载请自行联系原作者



相关文章
|
7天前
|
安全 数据安全/隐私保护
HTTPS加密的过程
HTTPS加密的过程
|
5天前
|
监控 安全 网络安全
探讨网站加密访问的安全性问题:HTTPS的防护与挑战
**探讨HTTPS在网站加密中的角色,提供数据加密和身份验证,防范中间人攻击。心脏滴血漏洞示例显示持续维护的必要性。面临证书管理、性能影响和高级攻击挑战,应对措施包括更新、HSTS策略及用户教育。HTTPS是安全基础,但需不断优化以应对新威胁。**
26 2
|
28天前
|
安全 算法 数据安全/隐私保护
HTTPS 加密工作过程
HTTPS 加密工作过程
|
1月前
|
安全 算法 网络安全
HTTPS 的加密流程
HTTPS (Hyper Text Transfer Protocol Secure) 是基于 HTTP 协议之上的安全协议,用于在客户端和服务器之间通过互联网传输数据的加密和身份验证。它使用 SSL/TLS (Secure Sockets Layer/Transport Layer Security) 协议来保护数据的安全性,可以防止数据被窃听、篡改或伪造。
44 3
|
1月前
|
安全 网络协议 应用服务中间件
一文读懂HTTPS⭐揭秘加密传输背后的原理与Nginx配置攻略
一文读懂HTTPS⭐揭秘加密传输背后的原理与Nginx配置攻略
|
1月前
|
存储 运维 Nacos
nacos常见问题之连接用户名和密码把明文用户名和密码进行加密如何解决
Nacos是阿里云开源的服务发现和配置管理平台,用于构建动态微服务应用架构;本汇总针对Nacos在实际应用中用户常遇到的问题进行了归纳和解答,旨在帮助开发者和运维人员高效解决使用Nacos时的各类疑难杂症。
512 2
|
1月前
|
SQL 安全 网络安全
IDEA DataGrip连接sqlserver 提示驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接的解决方法
IDEA DataGrip连接sqlserver 提示驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接的解决方法
155 0
|
1月前
|
安全 网络协议 网络安全
网络原理(5)--HTTPS是如何进行加密的
网络原理(5)--HTTPS是如何进行加密的
38 0
|
2天前
|
SQL 安全 网络安全
网络安全与信息安全:漏洞、加密与意识的三重奏
【6月更文挑战第22天】在数字化浪潮中,网络安全和信息安全成为保护个人隐私和企业资产的关键防线。本文将深入探讨网络安全的薄弱环节,包括常见漏洞及其成因,介绍现代加密技术的原理与应用,并强调提升安全意识的必要性。通过实例分析和技术讲解,旨在为读者提供一套综合性的安全策略,以应对日益复杂的网络威胁。
16 8
|
1天前
|
安全 算法 网络安全
网络安全与信息安全:漏洞、加密与意识的三重奏
【6月更文挑战第23天】在数字化时代的交响乐中,网络安全与信息安全的重要性愈发凸显。本文将深入探讨网络安全的薄弱环节——漏洞,分析其成因及对策;解密加密技术的神秘面纱,揭示其在保护数据中的关键角色;并强调安全意识的培养对于构筑坚固防线的必要性。三者如同乐器合奏,共同维护着网络世界的和谐与秩序。