RH358配置Web服务器--使用 Apache HTTPD 配置 HTTPS-阿里云开发者社区

RH358配置Web服务器–使用 Apache HTTPD 配置 HTTPS

介绍Https和证书如何配置实现Https访问。

RH358专栏地址：https://blog.csdn.net/qq_41765918/category_11532281.html

文章目录

- RH358配置Web服务器--使用 Apache HTTPD 配置 HTTPS

1. 描述 TLS 协议：

TLS (Transport Layer Security)是HTTPS协议中用来保护web流量的真实性、保密性和完整性免遭攻击的协议。
TLS使用公钥加密建立安全的TLS会话。一个密钥能加密的，只有它匹配的密钥才能解密。
每个服务器都必须安装TLS证书。该证书包含关于该证书属于哪个服务器、过期时间以及密钥对的一半的信息；公共密钥。它还由证书颁发机构**(CA)进行数字签名**，该签名可用于验证服务器证书的真实性。服务器还必须安装与证书的公钥相匹配的私钥。
当客户端连接到服务器并请求TLS会话时，它们执行一次初始握手，以就双方都可以支持的一组加密密码达成一致。服务器提供客户端客户机使用证书中的信息和CA的签名对其进行验证。然后客户端使用公钥与服务器进行安全通信，并使用它建立一个更快的会话密钥，该会话密钥可用于快速加密和解密数据，然后用于实际的安全会话。

2. 获取服务器证书

要获得新的服务器证书，通常需要创建一个未签名的证书签名请求(CSR)和匹配的私钥。然后，您需要向用户信任的CA提供该CSR，让用户满意地验证您控制该服务器，并安排他们签署CSR，将其转换为有效的证书。有许多商业ca对这种服务收费。Web浏览器通常预先配置为信任商业ca的签名。

出于测试目的，可以创建自签名证书。这是一个包含身份信息和公钥的证书，但它是由自己的私钥签名的。它可以用来建立加密的TLS连接，但是客户端将不能正确地验证证书，他们可能会拒绝连接到使用它们的站点，并显示其他错误和警告消息。

创建证书签名请求

可以使用Ansible生成私钥和匹配的CSR或匹配的自签名证书。您还可以使用openssl包中的工具来检查这些文件，并作为生成它们的另一种方法。

openssl_privatekey 模块用于创建 TLS 私钥，使用以下两种算法：RSA 或 ECDSA

RSA 支持更广泛，密钥较大，且较旧。

ECDSA 密钥较小并提供相似的安全性，较旧的 web 浏览器可能不支持。

为了安全起见，web服务器的私钥通常保存在/etc/pki/tls/private中，您应该确保它们只有根用户可读，并且具有SELinux类型cert_t。

下例创建 2048 位 RSA 私钥和 256 位 ECDSA：

- name: Make sure a RSA private key was generated
  openssl_privatekey:
path: /etc/pki/tls/private/ansible.rsa.key

- name: Make sure an ECDSA private key was generated
  openssl_privatekey:
    path: /etc/pki/tls/private/ansible.ecdsa.key
    type: ECC
    curve: secp256r1

生成私钥后，可使用 openssl_csr 模块来创建证书签名请求：

- name: CSR exists and is correct
  openssl_csr:
    path: /root/ansible.csr
    privatekey_path: /etc/pki/tls/private/ansible.key
    subject_alt_name: "DNS:demo.example.com,DNS:www.example.com"
    common_name: demo.example.com
    C: US
    ST: North Carolina
    L: Raleigh
    O: Example, Inc.
    backup: yes

- subject_alt_name 是⼀个逗号分隔的列表，列出虚拟主机的 ServerName 及其所有 ServerAlias 名称，名称以 DNS: 开头，表示它们是 DNS 名称。也可以使用 IP:172.25.0.10 指定 IP 地址

- 其他字段 C、ST、L 和 O 键代表所在国家/地区（双字符 ISO3166 格式）、州或省、所在地（城市）和组织

- common_name 是证书所属服务器的名称

可以使用以下命令检查CSR的内容:

[root@host ~]# openssl req -in ansible.csr -noout -text

当生成CSR并将其提交给CA进行签名时，不应该向CA提供您的私钥副本。当CA签署了你的CSR后，他们会给你一个完成的服务器证书，你可以把它安装到你的web服务器上。

还可以使用openssl_certificate Ansible模块创建一个用于测试的自签名证书。

- name: Make sure self-signed certificate is correct
  openssl_certificate:
    path: /etc/pki/tls/certs/ansible.crt
    privatekey_path: /etc/pki/tls/private/ansible.key
    csr_path: /root/ansible.csr
    provider: selfsigned
    selfsigned_not_after: +90d

selfsigned_not_after: +90d变量和值表示该证书在签署后90天内有效

**注意：**自签名证书需要使用自己的私钥来进行自签名。这与 CA所做的操作不同。证书颁发机构使用自己的私钥对用户的证书进行签名，不需要也不应为其提供私钥

可以用下面的命令检查这个TLS证书:

[root@host ~]# openssl x509 -in ansible.crt -noout -text

**注意：**为您的网站获得TLS证书的一种方法是使用非营利的LetsEncrypt CA服务。LetsEncrypt基于您控制DNS域或特定web服务器的证明来验证您的身份，并颁发短期TLS证书。

3. 配置基于 TLS 虚拟主机

Apache HTTP Server需要安装一个扩展模块来激活TLS支持。在Red Hat Enterprise Linux 8上，可以使用mod_ssl包安装该模块。

[root@host ~]# yum install mod_ssl

这个包自动启用httpd，默认虚拟主机监听端口443/TCP。这个默认的虚拟主机配置在/etc/httpd/conf.d/ssl.conf中。

使用TLS的虚拟主机与常规虚拟主机的配置方式相同，只是有一些附加参数。

<VirtualHost *:443>
  ServerName demo.example.com
  SSLEngine on    # 为虚拟主机启用 TLS
  SSLCertificateFile /etc/pki/tls/certs/demo.example.com.crt        #指定虚拟主机的证书的位置
  SSLCertificateKeyFile /etc/pki/tls/private/demo.example.com.key  #指定虚拟主机的私钥的位置
</VirtualHost>

这个例子缺少一些重要的指令，比如DocumentRoot，但是这些设置是从主配置继承的。

有许多设置可用来优化启用tls的虚拟主机的行为。它们可能控制TLS协议的版本以及支持什么会话加密协议。更详细的虚拟主机块如下所示：

<VirtualHost _default_:443>
  ErrorLog logs/ssl_error_log
  TransferLog logs/ssl_access_log
  LogLevel warn
  SSLEngine on
  SSLProtocol all -SSLv2 -SSLv3
# 指定httpd可以用来与客户端通信的协议列表。您至少应该禁用已知安全问题的SSLV2和SSLV3。
  SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
# 列出httpd在与客户端通信时可以使用的加密密码。密码的选择会严重影响性能和安全性。
  SSLHonorCipherOrder on
# 确保服务器选择ssLciphersuite列表中前面出现的密码。因此，应该首先列出最安全的密码。
  SSLCertificateFile /etc/pki/tls/certs/localhost.crt
  SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
  CustomLog logs/ssl_request_log \
           "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>

4. 将HTTP客户端重定向到HTTPS站点

通常，当HTTPS站点可用时，用户使用HTTP连接到一个网站。这不必要地降低了连接的安全性。

如果你关闭了站点的HTTP版本，这将提高安全性，但这样HTTP用户将无法连接到你的站点。一种更复杂的方法是使用HTTPS自动将任何通过HTTP连接到同一资源的客户机重定向。

要设置这些重定向，请为与TLS保护的虚拟主机相同的ServerName和serverAlias配置一个HTTP虚拟主机。得到的虚拟主机可能看起来像这样:

<VirtualHost *:80>
  ServerName www.lab.example.com
  Redirect "/" "https://www.lab.example.com"
</VirtualHost>

<VirtualHost *:443>
  ServerName www.lab.example.com
  SSLEngine On
  SSLProtocol all -SSLv2 -SSLv3
  SSLCipherSuite HIGH:MEDIUM:!aNull:!MD5
  SSLHonorCipherOrder on
  SSLCertificateFile /etc/pki/tls/certs/www.lab.example.com.crt
  SSLCertificateKeyFile /etc/pki/tls/private/www.lab.example.com.key
  DocumentRoot /srv/www/www.lab.example.com
</VirtualHost>

5. 课本练习

[student@workstation ~]$ lab web-https start

1. 同时安装httpd和mod_ssl包。

[root@servera ~]# yum -y install httpd mod_ssl

2. 创建内容目录，识别内容和适当的SELinux上下文。

[root@servera ~]# mkdir -p /srv/{www-a,servera}/www
[root@servera ~]# echo 'www-a' > /srv/www-a/www/index.html
[root@servera ~]# echo 'servera' > /srv/servera/www/index.html

[root@servera ~]# restorecon -Rv /srv/

3. 配置SSL虚拟主机

[root@servera ~]# vim /etc/httpd/conf.d/www-a.conf
<VirtualHost *:80>
ServerName www-a.lab.example.com
Redirect "/" "https://www-a.lab.example.com"
</VirtualHost>

<VirtualHost *:443>
  ServerName www-a.lab.example.com
  SSLEngine On
  SSLProtocol all -SSLv2 -SSLv3
  SSLCipherSuite HIGH:MEDIUM:!aNull:!MD5
  SSLHonorCipherOrder on
  SSLCertificateFile /etc/pki/tls/certs/www-a.lab.example.com.crt
  SSLCertificateKeyFile /etc/pki/tls/private/www-a.lab.example.com.key
  SSLCertificateChainFile /etc/pki/tls/certs/cacert.crt
  DocumentRoot /srv/www-a/www
</VirtualHost>

<Directory /srv/www-a/www>
  Require all granted
</Directory>

[root@servera ~]# cp /etc/httpd/conf.d/{www-a,servera}.conf
[root@servera ~]# sed -i 's/www-a/servera/g' /etc/httpd/conf.d/servera.conf

4. 复制已配置好的证书

[root@servera ~]# cd /etc/pki/tls/certs
[root@servera certs]# scp workstation:/home/student/www-a.lab.example.com.crt ./
root@workstation's password: redhat
[root@servera certs]# scp workstation:/home/student/servera.lab.example.com.crt ./
root@workstation's password:redhat
[root@servera certs]# scp workstation:/home/student/cacert.crt ./
root@workstation's password:redhat

[root@servera certs]# cd /etc/pki/tls/private
[root@servera private]# scp workstation:/home/student/www-a.lab.example.com.key ./
root@workstation's password: redhat
[root@servera private]# scp workstation:/home/student/servera.lab.example.com.key ./
root@workstation's password:redhat

5. 启动并启用httpd服务并打开相应的防火墙端口。

[root@servera ~]# systemctl enable --now httpd
[root@servera ~]# firewall-cmd --permanent --add-service=http --add-service=https
[root@servera ~]# firewall-cmd --reload

完成实验

[student@workstation ~]$ lab web-https finish

总结

描述TLS协议。
配置证书实现Https。
将HTTP客户端重定向到HTTPS。
若喜欢金鱼哥的文章，顺手点个赞。也可点个关注，因为后续会不断上干货。

RH358配置Web服务器--使用 Apache HTTPD 配置 HTTPS