Apache 使用CA证书实现https配置详解

简介:

https会话建立过程

     1、client发起三次握手请求

     2、完成tcp/ip三次握手

     3、client和server协商使用的加密算法

     4、协商完成后,server发送自己的证书给client

     5、client验证server端证书,验证完成后生成一个对称秘钥发送给服务器端

     6、client发送请求页面给server端,server通过client发送的秘钥加密后回送给client

证书生成过程

     1、client和server端验证对方证书都是通过第三方颁发机构CA来验证。

     2、CA给server端下发证书

     3、客户端信任CA机构,把CA的验证证书放在自己家中,来验证对方的证书

     4、服务器端生成一对秘钥,把公钥发送给CA。CA签署生成证书,回送给server

     5、server配置自己的服务器以使用证书,在客户端请求时把证书发送给client。

     6、client使用保存在自己的证书来验证server端。最终完成ssl会话。

注:ssl会话是不可以通过主机名来区分的,仅能支持IP地址来进行。也就是说如果服务器配置多个虚拟主机,只可配置一个虚拟主机来支持


实验拓扑

CA:192.168.11.101
web服务器:192.168.11.100
client:192.168.11.7

实验过程

1、要使http支持ssl功能,需要先安装mod_sll功能(192.168.11.100)

yum -y install mod_ssl            #主配置文件在/etc/httpd/conf.d/ssl.conf

2、生成CA字签证书(192.168.11.101)

cd /etc/pki/CA
#生成秘钥
(umask 077; openssl genrsa -out private/cakey.pem 2048)      #使用genrsa加密算法,-out表示存放路径,2048表示加密位数,umask 077表示秘钥权限

      编辑生成证书的默认信息

vim /etc/pki/tls/openssl.cnf       #配置文件

countryName_default             = CN            #国家
stateOrProvinceName_default     = HeNan             #省份
localityName_default            = zhengzhou              #城市
0.organizationName_default      = yuliang             #公司
organizationalUnitName_default  = Tec              #部门

       生成自签证书

#openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655
   (-new表示新创建证书,-x509表示使用的协议,-days 3655表示证书有效期)

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:      #国家
State or Province Name (full name) [HeNan]:       #省份
Locality Name (eg, city) [ZhengZhou]:         #城市
Organization Name (eg, company) [yuliang]:        #公司
Organizational Unit Name (eg, section) [Tech]:          #部门
Common Name (eg, your name or your server's hostname) []:ca.yuliang.com        服务器名称
Email Address []:admin@yuliang.com         #联系邮箱

       修改CA服务器证书路径

[ CA_default ]

dir                = /etc/pki/CA             # Where everything is kept
certs             = $dir/certs                # Where the issued certs are kept
crl_dir           = $dir/crl                    # Where the issued crl are kept
database        = $dir/index.txt        # database index file.
#unique_subject = no                     # Set to 'no' to allow creation of
                                                         # several ctificates with same subject.
new_certs_dir   = $dir/newcerts         # default place for new certs.

certificate     = $dir/cacert.pem        # The CA certificate
serial          = $dir/serial                    # The current serial number
crlnumber       = $dir/crlnumber        # the current crl number
                                                            # must be commented out to leave a V1 CRL
crl             = $dir/crl.pem                   # The current CRL
private_key     = $dir/private/cakey.pem# The private key
RANDFILE        = $dir/private/.rand    # private random number file

x509_extensions = usr_cert                 # The extentions to add to the cert

       根据配置中的路径,创建所需文件

mkdir certs crl newcerts
touch index.txt
echo 01 > serial          #01表示证书颁发序列号从01开始

       至此,CA准备完成。如果有web server需要申请证书,只需要自己生成一对密钥,并且把申请发送给CA,发出证书申请请求到CA服务器上,由CA来做签署。


3、在web server中生成密钥(192.168.11.100)

cd /etc/httpd/
mkdir ssl && cd ssl
(umask 077; openssl genrsa 1024 >httpd.key)    #生成密钥,>和上面的-out用法一样

      在web server中生成证书请求

openssl req -new -key httpd.key -out httpd.csr
依次输入国家,城市,公司等信息。注意要与CA保持一致
ps:需注意Common Name项一定要填写最终让用户访问ssl的域名

     生成完成后将证书申请请求发送到CA服务器

scp httpd.csr 192.168.11.101:/tmp


4、CA服务器签署web server证书请求(192.168.11.101)

openssl ca -in /tmp/httpd.csr -out /tmp/httpd.crt -days 3650
  #生成名叫httpd.crt的证书,证书有效期为10年

     生成完成后将证书发送会web server(这里从web server直接拷会)

scp 192.168.11.101:/tmp/httpd.crt /etc/httpd/ssl/

     注意:在证书申请完成后一定要把/tmp目录下的临时文件删除

 

5、配置web server可以使用证书(192.168.11.100)

vim /etc/httpd/conf.d/ssl.conf   (注意先备份)

Listen 443    #监听端口
AddType application/x-x509-ca-cert .crt          #支持的证书类型
AddType application/x-pkcs7-crl .crl          #证书吊销列表
SSLSessionCache         shmcb:/var/cache/mod_ssl/scache(512000)        #ssl缓存机制
SSLSessionCacheTimeout  300            #缓存清空时间
<VirtualHost _default_:443>     #_default_表示使用本机默认地址,如果本机有多个地址,需要将_default_改为指定地址
ServerName 
www.margan.com      #还需增加指定服务名称
DocumentRoot "/www/html/"     #指定服务目录,需注意要和web保持一致
ErrorLog  /logs/ssl_errot_log      #错误日志保存目录
TransferLog  /log/ssl_access_log     #指定访问日志保存目录
LogLevel    #日志级别
SSLEngine  on   #表示启用ssl
SSLProtocol all -SSLv2      #指定ssl可用协议,但不支持SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW    #指定加密机制
SSLCertificateFile /etc/httpd/ssl/httpd.crt      #指定证书路径
SSLCertificateKeyFile /etc/httpd/ssl/http.key       #指定web server私钥

    至此配置结束,检测配置语法,并重启服务器

httpd -t
service httpd restart


在客户端修改hosts文件,即可通过https://www.morgan.com访问

但访问时会提示证书不可信

可将服务器证书下载下来,并改为cacert.crt文件,并放入到可信任的根证书颁发机构。


注:如果web server不小心丢失或者损坏了CA签署的证书,再次申请会报错

failed to update database
TXT_DB error number 2

解决办法是:

删除/etc/pki/CA下的index.txt文件
然后touch index.txt


本文转自  亮公子  51CTO博客,原文链接:http://blog.51cto.com/iyull/1864368

相关文章
|
27天前
|
安全 网络安全 数据安全/隐私保护
政务单位IP地址https证书
政务单位IP地址HTTPS证书是一种专为只有IP地址而无域名的政务网站设计的数字证书,用于加密通信、确保数据安全并提升用户信任度。申请流程包括选择证书颁发机构、提交申请并验证、部署证书等步骤。证书有效期通常为一年或多年,需定期更新以确保安全性。
|
2月前
|
存储 网络安全 对象存储
缺乏中间证书导致通过HTTPS协议访问OSS异常
【10月更文挑战第4天】缺乏中间证书导致通过HTTPS协议访问OSS异常
103 4
|
2月前
|
安全 算法 量子技术
【HTTPS】中间人攻击和证书的验证
【HTTPS】中间人攻击和证书的验证
59 1
|
2月前
|
存储 缓存 安全
https访问提示不安全,证书密钥验证上如何解决
【10月更文挑战第4天】访问提示不安全,证书密钥验证上如何解决
353 2
|
2月前
|
安全 网络安全 数据安全/隐私保护
HTTPS 请求中的证书验证详解(Python版)
HTTPS 请求中的证书验证详解(Python版)
135 0
|
4月前
|
存储 消息中间件 Java
Apache Flink 实践问题之原生TM UI日志问题如何解决
Apache Flink 实践问题之原生TM UI日志问题如何解决
47 1
|
2月前
|
SQL Java API
Apache Flink 2.0-preview released
Apache Flink 社区正积极筹备 Flink 2.0 的发布,这是自 Flink 1.0 发布以来的首个重大更新。Flink 2.0 将引入多项激动人心的功能和改进,包括存算分离状态管理、物化表、批作业自适应执行等,同时也包含了一些不兼容的变更。目前提供的预览版旨在让用户提前尝试新功能并收集反馈,但不建议在生产环境中使用。
703 13
Apache Flink 2.0-preview released
|
2月前
|
存储 缓存 算法
分布式锁服务深度解析:以Apache Flink的Checkpointing机制为例
【10月更文挑战第7天】在分布式系统中,多个进程或节点可能需要同时访问和操作共享资源。为了确保数据的一致性和系统的稳定性,我们需要一种机制来协调这些进程或节点的访问,避免并发冲突和竞态条件。分布式锁服务正是为此而生的一种解决方案。它通过在网络环境中实现锁机制,确保同一时间只有一个进程或节点能够访问和操作共享资源。
79 3
|
3月前
|
SQL 消息中间件 关系型数据库
Apache Doris Flink Connector 24.0.0 版本正式发布
该版本新增了对 Flink 1.20 的支持,并支持通过 Arrow Flight SQL 高速读取 Doris 中数据。
|
4月前
|
消息中间件 监控 数据挖掘
基于RabbitMQ与Apache Flink构建实时分析系统
【8月更文第28天】本文将介绍如何利用RabbitMQ作为数据源,结合Apache Flink进行实时数据分析。我们将构建一个简单的实时分析系统,该系统能够接收来自不同来源的数据,对数据进行实时处理,并将结果输出到另一个队列或存储系统中。
253 2

推荐镜像

更多