apache下实现CA颁发及来源控制身份验证

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

环境rhel5.4  httpd-2.2. 3mod-ssl

原理

第一步:AB双方商量使用什么加密算法,怎么加密等等。 第二步:A发送证书给B,为了使B相信他。 第三步:B相信了,就生成对称密钥,将请求页面发送给A。 最后,A使用B发送的密钥加密后,将请求回应给B。

由于B要验证A的身份,因此,这里引入了第三方权威颁发机构,即CA,可以给A发证书。而B是相信CA的,因此,B拥有CA的证书。

则,A生成一对公钥,发送给CA进行签署(可以理解为盖章)得到证书,然后返回给自己,并且配置服务器,使之能使用证书。而B收到A的证书后,使用保存在主机上的CA证书去验证。

基本概念

1、SSL所使用的证书可以自己生成,也可以通过一个商业性CA(如Verisign 或 Thawte)签署证书。
    2
、证书的概念:首先要有一个根证书,然后用根证书来签发服务器证书和客户证书,一般理解:服务器证书和客户证书是平级关系。在SSL必须安装根证书和服务器证书来认证。 因此:在此环境中,至少必须有三个证书:根证书,服务器证书,客户端证书
在生成证书之前,一般会有一个私钥,同时用私钥生成证书请求,再利用证书服务器的根证来签发证书。

3、签发证书的问题:我最近找了很多关于openssl的资料,基本上只生成了根证书和私钥及服务器证书请求,并没有真正的实现签证。我这里参考了一些资料,用openssl自带的一个CA.sh来签证书,而不是用MOD_ssl里的sign.sh来签。用openssl语法来生成证书,有很多条件限定,如目录,key的位置等,比较麻烦,我实验了好几天,最后放弃了。有兴趣的可以参考一下openssl 手册。

 加密分类

对称加密 
    建立在双方互相信任的基础上,密钥只有一种,只有在拥有密钥的前提下才能解密数据。没有密钥,别人无法看到解密后的数据。

非对称加密
    先手动生成一对密钥,公钥和私钥,公钥可以被任何人拥有,私钥一般只有自己保存,公钥发布出去,自己用私钥加密后的数据文件被获取了公钥的另一方获取,就可以解密数据文件。一般用于,身份验证,让自己授权的一些人查看自己用私钥机密的数据,或者让对方用自己的公钥加密后的文件自己用私钥可以查看。

单向加密
    验证数据的完整性,一般用于数字签名。
    对数据单向加密,生成特征码,用来验证数据的完整性。数据发生微笑的变化,就会引发雪崩效应,从而能够确认数据是否完整。
目前的数字签名是建立在公共密钥体制基础上,它是公用密钥加密技术的另一类应用。它的主要方式是,报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的私人密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公用密钥来对报文附加的数字签名进行解密。如果两个散列值相同、那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别。

加密机制:

明文加密:telnet    ftp   pop3  密码不可靠sendmail   NFS  NIS    信息数据的不可靠;rsh   rcp    验证的不可靠

 

步骤:

CA产生

cd   /etc/pki   公钥基本设置

vim tls/openssl.cnf

图1

创建目录

mkdir  certs  newcerts   cr1

touch index.txe serial

echo 01>serial   在发起没一份证书时候都要在这个证书上面增加1

产生私钥文件

私钥文件   openssl  genrsa   1024  >私钥文件

openssl genrsa 1024>private/cakey.pem

chmod 600 private/*     私钥文件是不被其他人读取的,需要修改权限

 

请求文件

首先给自己颁发证书,这样别人才会相信你这个机构,方法:

请求文件  openssl  req  -new  -key  私钥文件  -out  请求文件

openssl req -new -key private/cakey.pem-x509 -out cacert.pem

更改默认值

图4

图2

可以利用88,90 s/match/optional来修改,这样其他的地区也可以颁发

图3

 

 

ssl服务设置

加载模块能接受443端口

rpm -ivh mod_ssl-2.2.3-31.el5.i386.rpm  产生依赖性

rpm -ivh distcache-1.4.5-14.1.i386.rpm  依赖于这个模块

loadModule ssl_module modules/mod_ssl.so

listen 443

服务器产生私钥

openssl genrsa 1024 > httpd.key

更改权限

Chmod 600 httpd.key

openssl req -new -key httpd.key -out httpd.req 产生请求

图5

产生证书

openssl ca -in httpd.req -out httpd.cert

图6

数据库已经更新

 

 

web服务器于证书绑定

vim /etc/httpd/conf.d/ssl.conf

首先指明证书文件存放的位置

sslcertificateFile /etc/httpd/certs/httpd.cert

私钥文件存放的位置

sslcertificateKeyFile /etc/httpd/certs/httpd.ke

启动fttpd

service httpd restart

检查错误,查看端口看是否启动

tail -f /var/log/httpd/error_log  查看apache的错误日志信息

netstat -tupln |grep httpd        查看端口

测试

分别使用http和https 来测试,当使用https来测试的时候系统会提示授权个你证书..

以上就是实现apache安装CA颁发

 

来源控制及身份验证

 /etc/httpd/conf/httpd.conf (主要配置文件) 

 documentRoot "/var/www/html"   <==可以改成你放置站点的主目录

 allow   Override               允许的覆写参数功能

选项:

    all:           全部的权限均可被覆写; 

    authConfig:    仅有网页认证 (账号密码) 可覆写; 

    indexes:       仅允许 Indexes 方面的覆写; 

    limits:        允许使用者利用 Allow, Deny 与 Order 管理可浏览的权限; 

    none:          不可覆写,亦即让 .htaccess 档案失效

    user apache     运行者的身份

    group apache

 

来源控制:

  <Directory>

         allow  Override all

         order, Allow, Deny    (对网页设置权限):

         deny,allow:以 deny 优先处理,但没有写入规则的则默认为 allow

          allow,deny:以 allow 为优先处理,但没有写入规则的则默认为 deny.

</Directory>

 

身份验证:

       vim.htaccess 产生说明文件

       authuserfile+你需要验证的账号库的地址

       authname提示文字

       authtype身份验证的类型

       require对访问者的要求

       htpasswd c  产生账号新文件

    directoryIndex index.html index.html.var<==首页『档案的档名』设定

/etc/httpd/conf.d/*.conf (很多的额外参数档,扩展名是 .conf)

你系统升级的时候,你几乎不需要更动原本的配置文件,只要将你自己的额外参数档复制到正确的地点

/usr/lib64/httpd/modules/, /etc/httpd/modules/外挂模块

/var/www/html/        首页所在目录

/var/www/error/       服务器设定错误,或者是浏览器端要求的数据错误时,在浏览器上出现错误讯息就以这个目录的默认讯息为主!

/var/www/icons/       图示文件

/var/www/cgi-bin/CGI  (网页程序) 程序放置的目录

/var/log/httpd/Apache  登录档

/usr/sbin/apachectlApache 的主要执行档

/usr/sbin/httpdApache  二进制执行文件

/usr/bin/htpasswdApache 密码保护

至于 MySQL 方面,你需要知道的几个重要目录与档案有

/etc/my.cnf            MySQL的配置文件

/var/lib/mysql/MySQL   数据库档案放置

针对服务器环境的设定项目

vim /etc/httpd/conf/httpd.conf

serverTokens OS          客户端我们服务器的版本与操作系统而已

serverRoot "/etc/httpd"  服务器设定的最顶层目录

pidFile run/httpd.pid    放置 PID 的档案

timeout 6060             秒则该次联机就中断

keepAlive On             是否允许持续性的联机

maxKeepAliveRequests 500 该次联机能够传输的最大传输数量

keepAliveTimeout 15则    该次联机在最后一次传输后等待延迟的秒

startServers=启动 httpd 时,唤醒几个 PID 来处理服务

针对中文 big5 语系编码的设定参数修改

vim /etc/httpd/conf/httpd.conf

找到底下这一行,应该是在 747 行左右# AddDefaultCharset UTF-8<请将批注掉!

 










本文转自 only223wym 51CTO博客,原文链接:http://blog.51cto.com/ymchaofeng/1292228,如需转载请自行联系原作者
目录
相关文章
|
运维 Kubernetes Cloud Native
MSE 支持 Apache Shenyu 网关实现全链路灰度
我们希望可以对这些服务的新版本同时进行小流量灰度验证,这就是微服务架构中特有的全链路灰度场景,通过构建从网关到整个后端服务的环境隔离来对多个不同版本的服务进行灰度验证。
567 5
MSE 支持 Apache Shenyu 网关实现全链路灰度
|
监控 Java 关系型数据库
Apache Flume-自定义 source(扩展)--功能测试实现|学习笔记
快速学习 Apache Flume-自定义 source(扩展)--功能测试实现
 Apache Flume-自定义 source(扩展)--功能测试实现|学习笔记
|
运维 Kubernetes Cloud Native
MSE支持Apache Shenyu网关实现全链路灰度
微服务引擎MSE面向业界主流开源微服务项目, 提供注册配置中心和分布式协调(原生支持Nacos/ZooKeeper/Eureka)、云原生网关(原生支持Ingress/Envoy)、微服务治理(原生支持Spring Cloud/Dubbo/Sentinel,遵循 OpenSergo 服务治理规范)能力。
MSE支持Apache Shenyu网关实现全链路灰度
|
弹性计算 前端开发 JavaScript
在阿里云ECS上配置Apache+wsgi实现blog的部署
利用Django框架搭建个人博客网站,将网站通过Apache+wsgi部署到阿里云服务器。主要采用html、css、javascript作为前端,并使用了JQuery框架和Bootstrap框架;采用django框架作为后台开发技术、后台数据库使用mysql。本篇幅着重于Django框架介绍、数据库mysql配置和服务器部署。
在阿里云ECS上配置Apache+wsgi实现blog的部署
|
关系型数据库 MySQL 数据挖掘
使用 Flink CDC 实现 MySQL 数据实时入 Apache Doris
本文通过实例来演示怎么通过Flink CDC 结合Doris的Flink Connector实现从Mysql数据库中监听数据并实时入库到Doris数仓对应的表中。
3317 0
使用 Flink CDC 实现 MySQL 数据实时入 Apache Doris
|
存储 Java Apache
java积累——apache commons fileupload 实现文件上传
java积累——apache commons fileupload 实现文件上传
363 0
|
网络安全 Apache 数据安全/隐私保护
phpstudy集成下Apache配置SSL证书实现https加密访问
phpstudy集成下Apache配置SSL证书实现https加密访问
|
JavaScript Apache 开发者
通过 express 模拟 Apache 实现静态资源托管服务(补充)|学习笔记
快速学习通过 express 模拟 Apache 实现静态资源托管服务(补充)
|
JSON JavaScript Apache
通过 express 模拟 Apache 实现静态资源托管服务|学习笔记
快速学习通过 express 模拟 Apache 实现静态资源托管服务
|
Cloud Native Java 数据处理
通过 MSE 实现基于Apache APISIX的全链路灰度
微服务引擎MSE面向业界主流开源微服务项目, 提供注册配置中心和分布式协调(原生支持Nacos/ZooKeeper/Eureka)、云原生网关(原生支持Ingress/Envoy)、微服务治理(原生支持Spring Cloud/Dubbo/Sentinel,遵循 OpenSergo 服务治理规范)能力。
通过 MSE 实现基于Apache APISIX的全链路灰度

推荐镜像

更多