https会话建立过程
1、client发起三次握手请求
2、完成tcp/ip三次握手
3、client和server协商使用的加密算法
4、协商完成后,server发送自己的证书给client
5、client验证server端证书,验证完成后生成一个对称秘钥发送给服务器端
6、client发送请求页面给server端,server通过client发送的秘钥加密后回送给client
证书生成过程
1、client和server端验证对方证书都是通过第三方颁发机构CA来验证。
2、CA给server端下发证书
3、客户端信任CA机构,把CA的验证证书放在自己家中,来验证对方的证书
4、服务器端生成一对秘钥,把公钥发送给CA。CA签署生成证书,回送给server
5、server配置自己的服务器以使用证书,在客户端请求时把证书发送给client。
6、client使用保存在自己的证书来验证server端。最终完成ssl会话。
注:ssl会话是不可以通过主机名来区分的,仅能支持IP地址来进行。也就是说如果服务器配置多个虚拟主机,只可配置一个虚拟主机来支持
实验拓扑
CA:192.168.11.101 web服务器:192.168.11.100 client:192.168.11.7 |
实验过程
1、要使http支持ssl功能,需要先安装mod_sll功能(192.168.11.100)
yum -y install mod_ssl #主配置文件在/etc/httpd/conf.d/ssl.conf |
2、生成CA字签证书(192.168.11.101)
cd /etc/pki/CA #生成秘钥 (umask 077; openssl genrsa -out private/cakey.pem 2048) #使用genrsa加密算法,-out表示存放路径,2048表示加密位数,umask 077表示秘钥权限 |
编辑生成证书的默认信息
vim /etc/pki/tls/openssl.cnf #配置文件 countryName_default = CN #国家 stateOrProvinceName_default = HeNan #省份 localityName_default = zhengzhou #城市 0.organizationName_default = yuliang #公司 organizationalUnitName_default = Tec #部门 |
生成自签证书
#openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655 (-new表示新创建证书,-x509表示使用的协议,-days 3655表示证书有效期) You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [CN]: #国家 State or Province Name (full name) [HeNan]: #省份 Locality Name (eg, city) [ZhengZhou]: #城市 Organization Name (eg, company) [yuliang]: #公司 Organizational Unit Name (eg, section) [Tech]: #部门 Common Name (eg, your name or your server's hostname) []:ca.yuliang.com 服务器名称 Email Address []:admin@yuliang.com #联系邮箱 |
修改CA服务器证书路径
[ CA_default ] dir = /etc/pki/CA # Where everything is kept certs = $dir/certs # Where the issued certs are kept crl_dir = $dir/crl # Where the issued crl are kept database = $dir/index.txt # database index file. #unique_subject = no # Set to 'no' to allow creation of # several ctificates with same subject. new_certs_dir = $dir/newcerts # default place for new certs. certificate = $dir/cacert.pem # The CA certificate serial = $dir/serial # The current serial number crlnumber = $dir/crlnumber # the current crl number # must be commented out to leave a V1 CRL crl = $dir/crl.pem # The current CRL private_key = $dir/private/cakey.pem# The private key RANDFILE = $dir/private/.rand # private random number file x509_extensions = usr_cert # The extentions to add to the cert |
根据配置中的路径,创建所需文件
mkdir certs crl newcerts touch index.txt echo 01 > serial #01表示证书颁发序列号从01开始 |
至此,CA准备完成。如果有web server需要申请证书,只需要自己生成一对密钥,并且把申请发送给CA,发出证书申请请求到CA服务器上,由CA来做签署。
3、在web server中生成密钥(192.168.11.100)
cd /etc/httpd/ mkdir ssl && cd ssl (umask 077; openssl genrsa 1024 >httpd.key) #生成密钥,>和上面的-out用法一样 |
在web server中生成证书请求
openssl req -new -key httpd.key -out httpd.csr 依次输入国家,城市,公司等信息。注意要与CA保持一致 ps:需注意Common Name项一定要填写最终让用户访问ssl的域名 |
生成完成后将证书申请请求发送到CA服务器
scp httpd.csr 192.168.11.101:/tmp |
4、CA服务器签署web server证书请求(192.168.11.101)
openssl ca -in /tmp/httpd.csr -out /tmp/httpd.crt -days 3650 #生成名叫httpd.crt的证书,证书有效期为10年 |
生成完成后将证书发送会web server(这里从web server直接拷会)
scp 192.168.11.101:/tmp/httpd.crt /etc/httpd/ssl/ |
注意:在证书申请完成后一定要把/tmp目录下的临时文件删除
5、配置web server可以使用证书(192.168.11.100)
vim /etc/httpd/conf.d/ssl.conf (注意先备份) Listen 443 #监听端口 AddType application/x-x509-ca-cert .crt #支持的证书类型 AddType application/x-pkcs7-crl .crl #证书吊销列表 SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000) #ssl缓存机制 SSLSessionCacheTimeout 300 #缓存清空时间 <VirtualHost _default_:443> #_default_表示使用本机默认地址,如果本机有多个地址,需要将_default_改为指定地址 ServerName www.margan.com #还需增加指定服务名称 DocumentRoot "/www/html/" #指定服务目录,需注意要和web保持一致 ErrorLog /logs/ssl_errot_log #错误日志保存目录 TransferLog /log/ssl_access_log #指定访问日志保存目录 LogLevel #日志级别 SSLEngine on #表示启用ssl SSLProtocol all -SSLv2 #指定ssl可用协议,但不支持SSLv2 SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW #指定加密机制 SSLCertificateFile /etc/httpd/ssl/httpd.crt #指定证书路径 SSLCertificateKeyFile /etc/httpd/ssl/http.key #指定web server私钥 |
至此配置结束,检测配置语法,并重启服务器
httpd -t service httpd restart |
在客户端修改hosts文件,即可通过https://www.morgan.com访问
但访问时会提示证书不可信
可将服务器证书下载下来,并改为cacert.crt文件,并放入到可信任的根证书颁发机构。
注:如果web server不小心丢失或者损坏了CA签署的证书,再次申请会报错
failed to update database TXT_DB error number 2 |
解决办法是:
删除/etc/pki/CA下的index.txt文件 然后touch index.txt 本文转自 亮公子 51CTO博客,原文链接:http://blog.51cto.com/iyull/1864368 |