Apache 使用CA证书实现https配置详解

简介:

https会话建立过程

     1、client发起三次握手请求

     2、完成tcp/ip三次握手

     3、client和server协商使用的加密算法

     4、协商完成后,server发送自己的证书给client

     5、client验证server端证书,验证完成后生成一个对称秘钥发送给服务器端

     6、client发送请求页面给server端,server通过client发送的秘钥加密后回送给client

证书生成过程

     1、client和server端验证对方证书都是通过第三方颁发机构CA来验证。

     2、CA给server端下发证书

     3、客户端信任CA机构,把CA的验证证书放在自己家中,来验证对方的证书

     4、服务器端生成一对秘钥,把公钥发送给CA。CA签署生成证书,回送给server

     5、server配置自己的服务器以使用证书,在客户端请求时把证书发送给client。

     6、client使用保存在自己的证书来验证server端。最终完成ssl会话。

注:ssl会话是不可以通过主机名来区分的,仅能支持IP地址来进行。也就是说如果服务器配置多个虚拟主机,只可配置一个虚拟主机来支持


实验拓扑

CA:192.168.11.101
web服务器:192.168.11.100
client:192.168.11.7

实验过程

1、要使http支持ssl功能,需要先安装mod_sll功能(192.168.11.100)

yum -y install mod_ssl            #主配置文件在/etc/httpd/conf.d/ssl.conf

2、生成CA字签证书(192.168.11.101)

cd /etc/pki/CA
#生成秘钥
(umask 077; openssl genrsa -out private/cakey.pem 2048)      #使用genrsa加密算法,-out表示存放路径,2048表示加密位数,umask 077表示秘钥权限

      编辑生成证书的默认信息

vim /etc/pki/tls/openssl.cnf       #配置文件

countryName_default             = CN            #国家
stateOrProvinceName_default     = HeNan             #省份
localityName_default            = zhengzhou              #城市
0.organizationName_default      = yuliang             #公司
organizationalUnitName_default  = Tec              #部门

       生成自签证书

#openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655
   (-new表示新创建证书,-x509表示使用的协议,-days 3655表示证书有效期)

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:      #国家
State or Province Name (full name) [HeNan]:       #省份
Locality Name (eg, city) [ZhengZhou]:         #城市
Organization Name (eg, company) [yuliang]:        #公司
Organizational Unit Name (eg, section) [Tech]:          #部门
Common Name (eg, your name or your server's hostname) []:ca.yuliang.com        服务器名称
Email Address []:admin@yuliang.com         #联系邮箱

       修改CA服务器证书路径

[ CA_default ]

dir                = /etc/pki/CA             # Where everything is kept
certs             = $dir/certs                # Where the issued certs are kept
crl_dir           = $dir/crl                    # Where the issued crl are kept
database        = $dir/index.txt        # database index file.
#unique_subject = no                     # Set to 'no' to allow creation of
                                                         # several ctificates with same subject.
new_certs_dir   = $dir/newcerts         # default place for new certs.

certificate     = $dir/cacert.pem        # The CA certificate
serial          = $dir/serial                    # The current serial number
crlnumber       = $dir/crlnumber        # the current crl number
                                                            # must be commented out to leave a V1 CRL
crl             = $dir/crl.pem                   # The current CRL
private_key     = $dir/private/cakey.pem# The private key
RANDFILE        = $dir/private/.rand    # private random number file

x509_extensions = usr_cert                 # The extentions to add to the cert

       根据配置中的路径,创建所需文件

mkdir certs crl newcerts
touch index.txt
echo 01 > serial          #01表示证书颁发序列号从01开始

       至此,CA准备完成。如果有web server需要申请证书,只需要自己生成一对密钥,并且把申请发送给CA,发出证书申请请求到CA服务器上,由CA来做签署。


3、在web server中生成密钥(192.168.11.100)

cd /etc/httpd/
mkdir ssl && cd ssl
(umask 077; openssl genrsa 1024 >httpd.key)    #生成密钥,>和上面的-out用法一样

      在web server中生成证书请求

openssl req -new -key httpd.key -out httpd.csr
依次输入国家,城市,公司等信息。注意要与CA保持一致
ps:需注意Common Name项一定要填写最终让用户访问ssl的域名

     生成完成后将证书申请请求发送到CA服务器

scp httpd.csr 192.168.11.101:/tmp


4、CA服务器签署web server证书请求(192.168.11.101)

openssl ca -in /tmp/httpd.csr -out /tmp/httpd.crt -days 3650
  #生成名叫httpd.crt的证书,证书有效期为10年

     生成完成后将证书发送会web server(这里从web server直接拷会)

scp 192.168.11.101:/tmp/httpd.crt /etc/httpd/ssl/

     注意:在证书申请完成后一定要把/tmp目录下的临时文件删除

 

5、配置web server可以使用证书(192.168.11.100)

vim /etc/httpd/conf.d/ssl.conf   (注意先备份)

Listen 443    #监听端口
AddType application/x-x509-ca-cert .crt          #支持的证书类型
AddType application/x-pkcs7-crl .crl          #证书吊销列表
SSLSessionCache         shmcb:/var/cache/mod_ssl/scache(512000)        #ssl缓存机制
SSLSessionCacheTimeout  300            #缓存清空时间
<VirtualHost _default_:443>     #_default_表示使用本机默认地址,如果本机有多个地址,需要将_default_改为指定地址
ServerName 
www.margan.com      #还需增加指定服务名称
DocumentRoot "/www/html/"     #指定服务目录,需注意要和web保持一致
ErrorLog  /logs/ssl_errot_log      #错误日志保存目录
TransferLog  /log/ssl_access_log     #指定访问日志保存目录
LogLevel    #日志级别
SSLEngine  on   #表示启用ssl
SSLProtocol all -SSLv2      #指定ssl可用协议,但不支持SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW    #指定加密机制
SSLCertificateFile /etc/httpd/ssl/httpd.crt      #指定证书路径
SSLCertificateKeyFile /etc/httpd/ssl/http.key       #指定web server私钥

    至此配置结束,检测配置语法,并重启服务器

httpd -t
service httpd restart


在客户端修改hosts文件,即可通过https://www.morgan.com访问

但访问时会提示证书不可信

可将服务器证书下载下来,并改为cacert.crt文件,并放入到可信任的根证书颁发机构。


注:如果web server不小心丢失或者损坏了CA签署的证书,再次申请会报错

failed to update database
TXT_DB error number 2

解决办法是:

删除/etc/pki/CA下的index.txt文件
然后touch index.txt


本文转自  亮公子  51CTO博客,原文链接:http://blog.51cto.com/iyull/1864368

相关文章
|
5天前
|
网络协议 应用服务中间件 网络安全
免费泛域名https证书教程—无限免费续签
随着互联网安全意识提升,越来越多网站采用HTTPS协议。本文介绍如何通过JoySSL轻松获取并实现免费泛域名SSL证书的无限续签。JoySSL提供永久免费通配符SSL证书,支持无限制域名申请及自动续签,全中文界面适合国内用户。教程涵盖注册账号、选择证书类型、验证域名所有权、下载与安装证书以及设置自动续签等步骤,帮助网站简化SSL证书管理流程,确保长期安全性。
|
19天前
|
安全 算法 网络协议
ip地址https证书免费试用—政企单位专用
IP地址HTTPS证书为基于公网IP的服务提供加密保护,JoySSL等机构提供免费试用,帮助政企用户降低安全成本。用户需注册账号、申请证书、提交CSR并验证IP所有权,最后安装证书并测试。免费证书有效期短,但能有效保障数据安全,提升用户信任度及合规性。
|
15天前
|
安全 网络安全 数据安全/隐私保护
内网/局域网IP地址申请https证书方法
为内网/局域网IP地址申请HTTPS证书,可增强数据传输的安全性。首先确定固定的内网IP地址,选择可信的证书颁发机构,注册并申请免费或付费SSL证书,提交相关信息,支付费用(如有)。证书申请成功后,下载并配置于服务器,确保通过浏览器访问时显示为安全连接。注意定期更新证书,确保持续的安全保障。此过程适用于局域网内部通信加密,提升内网服务的安全水平。
|
23天前
|
安全 数据安全/隐私保护
IP地址https证书免费申请教程
本教程详细介绍如何免费申请IP地址HTTPS证书,涵盖准备、申请、审核、下载与部署阶段。从确认IP地址、选择CA、注册账户到验证控制权,最后完成证书部署,确保数据传输安全。注意证书有效期较短,需及时续签。
|
29天前
|
安全 物联网 数据建模
IP地址能否申请HTTPS证书?
IP地址可申请HTTPS证书,但需满足特定条件。首先,该IP须为公网IP,具备唯一性和可控性。证书类型限于DV或OV级别,不支持EV。申请过程包括所有权验证及端口开放。适用于服务器间通信及IoT设备等场景。申请时需注意成本、浏览器兼容性和安全性问题。
|
1月前
|
安全 应用服务中间件 网络安全
免费ip地址https证书申请方法
IP SSL证书用于保障IP地址与浏览器间的数据传输安全,多数需付费购买。JoySSL现提供免费试用版,申请流程包括:访问官网、注册账号(需输入特定注册码230922)、选择证书类型、填写申请信息、验证IP控制权、等待审核、下载及部署证书。确保IP地址独立可控,信息准确,及时续期。
|
1月前
|
安全 应用服务中间件 网络安全
49.3k star,本地 SSL 证书生成神器,轻松解决 HTTPS 配置痛点
mkcert是一款由Filippo Valsorda开发的免费开源工具,专为生成受信任的本地SSL/TLS证书而设计。它通过简单的命令自动生成并安装本地信任的证书,使本地环境中的HTTPS配置变得轻松无比。mkcert支持多个操作系统,已获得49.2K的GitHub Star,成为开发者首选的本地SSL工具。
125 10
|
1月前
|
安全 网络安全 数据安全/隐私保护
政务单位IP地址https证书
政务单位IP地址HTTPS证书是一种专为只有IP地址而无域名的政务网站设计的数字证书,用于加密通信、确保数据安全并提升用户信任度。申请流程包括选择证书颁发机构、提交申请并验证、部署证书等步骤。证书有效期通常为一年或多年,需定期更新以确保安全性。
|
2月前
|
存储 分布式计算 druid
大数据-152 Apache Druid 集群模式 配置启动【下篇】 超详细!(一)
大数据-152 Apache Druid 集群模式 配置启动【下篇】 超详细!(一)
44 1
大数据-152 Apache Druid 集群模式 配置启动【下篇】 超详细!(一)
|
1月前
|
安全 网络协议 网络安全
怎么给ip地址配置https访问
为了配置公网IP地址的HTTPS访问,首先需明确需求并选择受信任的证书颁发机构(如JoySSL)。接着,在JoySSL官网注册并登录,填写特定注册码230922以获取免费IP证书的测试权限。提交证书申请时,填写IP地址及相关验证信息,并完成IP地址验证。验证通过后,下载证书文件。最后,使用浏览器访问IP地址,检查安全连接标志,确保无证书错误。通过以上步骤,可成功配置IP地址的HTTPS访问,提升数据传输安全性和可信度。

推荐镜像

更多