RH358配置Web服务器--使用 Apache HTTPD 配置 HTTPS

本文涉及的产品
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
Digicert DV 证书 单域名,20个 3个月
简介: RH358配置Web服务器--使用 Apache HTTPD 配置 HTTPS

RH358配置Web服务器–使用 Apache HTTPD 配置 HTTPS

介绍Https和证书如何配置实现Https访问。

RH358专栏地址:https://blog.csdn.net/qq_41765918/category_11532281.html

1. 描述 TLS 协议:

  • TLS (Transport Layer Security)是HTTPS协议中用来保护web流量的真实性、保密性和完整性免遭攻击的协议。

  • TLS使用公钥加密建立安全的TLS会话。一个密钥能加密的,只有它匹配的密钥才能解密。

  • 每个服务器都必须安装TLS证书。该证书包含关于该证书属于哪个服务器、过期时间以及密钥对的一半的信息;公共密钥。它还由证书颁发机构**(CA)进行数字签名**,该签名可用于验证服务器证书的真实性。服务器还必须安装与证书的公钥相匹配的私钥

  • 当客户端连接到服务器并请求TLS会话时,它们执行一次初始握手,以就双方都可以支持的一组加密密码达成一致。服务器提供客户端客户机使用证书中的信息和CA的签名对其进行验证。然后客户端使用公钥与服务器进行安全通信,并使用它建立一个更快的会话密钥,该会话密钥可用于快速加密和解密数据,然后用于实际的安全会话。

2. 获取服务器证书

要获得新的服务器证书,通常需要创建一个未签名的证书签名请求(CSR)和匹配的私钥。然后,您需要向用户信任的CA提供该CSR,让用户满意地验证您控制该服务器,并安排他们签署CSR,将其转换为有效的证书。有许多商业ca对这种服务收费。Web浏览器通常预先配置为信任商业ca的签名。

出于测试目的,可以创建自签名证书。这是一个包含身份信息和公钥的证书,但它是由自己的私钥签名的。它可以用来建立加密的TLS连接,但是客户端将不能正确地验证证书,他们可能会拒绝连接到使用它们的站点,并显示其他错误和警告消息。

创建证书签名请求

可以使用Ansible生成私钥和匹配的CSR或匹配的自签名证书。您还可以使用openssl包中的工具来检查这些文件,并作为生成它们的另一种方法。

openssl_privatekey 模块用于创建 TLS 私钥,使用以下两种算法:RSA 或 ECDSA

RSA 支持更广泛,密钥较大,且较旧。

ECDSA 密钥较小并提供相似的安全性,较旧的 web 浏览器可能不支持。

为了安全起见,web服务器的私钥通常保存在/etc/pki/tls/private中,您应该确保它们只有根用户可读,并且具有SELinux类型cert_t。

下例创建 2048 位 RSA 私钥和 256 位 ECDSA:

- name: Make sure a RSA private key was generated
  openssl_privatekey:
path: /etc/pki/tls/private/ansible.rsa.key

- name: Make sure an ECDSA private key was generated
  openssl_privatekey:
    path: /etc/pki/tls/private/ansible.ecdsa.key
    type: ECC
    curve: secp256r1

生成私钥后,可使用 openssl_csr 模块来创建证书签名请求:

- name: CSR exists and is correct
  openssl_csr:
    path: /root/ansible.csr
    privatekey_path: /etc/pki/tls/private/ansible.key
    subject_alt_name: "DNS:demo.example.com,DNS:www.example.com"
    common_name: demo.example.com
    C: US
    ST: North Carolina
    L: Raleigh
    O: Example, Inc.
    backup: yes

- subject_alt_name 是⼀个逗号分隔的列表,列出虚拟主机的 ServerName 及其所有 ServerAlias 名称,名称以 DNS: 开头,表示它们是 DNS 名称。也可以使用 IP:172.25.0.10 指定 IP 地址

- 其他字段 C、ST、L 和 O 键代表所在国家/地区(双字符 ISO3166 格式)、州或省、所在地(城市)和组织

- common_name 是证书所属服务器的名称

可以使用以下命令检查CSR的内容:

[root@host ~]# openssl req -in ansible.csr -noout -text

当生成CSR并将其提交给CA进行签名时,不应该向CA提供您的私钥副本。当CA签署了你的CSR后,他们会给你一个完成的服务器证书,你可以把它安装到你的web服务器上。

还可以使用openssl_certificate Ansible模块创建一个用于测试的自签名证书。

- name: Make sure self-signed certificate is correct
  openssl_certificate:
    path: /etc/pki/tls/certs/ansible.crt
    privatekey_path: /etc/pki/tls/private/ansible.key
    csr_path: /root/ansible.csr
    provider: selfsigned
    selfsigned_not_after: +90d

selfsigned_not_after: +90d变量和值表示该证书在签署后90天内有效

**注意:**自签名证书需要使用自己的私钥来进行自签名。这与 CA所做的操作不同。证书颁发机构使用自己的私钥对用户的证书进行签名,不需要也不应为其提供私钥

可以用下面的命令检查这个TLS证书:

[root@host ~]# openssl x509 -in ansible.crt -noout -text

**注意:**为您的网站获得TLS证书的一种方法是使用非营利的LetsEncrypt CA服务。LetsEncrypt基于您控制DNS域或特定web服务器的证明来验证您的身份,并颁发短期TLS证书。

3. 配置基于 TLS 虚拟主机

Apache HTTP Server需要安装一个扩展模块来激活TLS支持。在Red Hat Enterprise Linux 8上,可以使用mod_ssl包安装该模块。

[root@host ~]# yum install mod_ssl

这个包自动启用httpd,默认虚拟主机监听端口443/TCP。这个默认的虚拟主机配置在/etc/httpd/conf.d/ssl.conf中。

使用TLS的虚拟主机与常规虚拟主机的配置方式相同,只是有一些附加参数。

<VirtualHost *:443>
  ServerName demo.example.com
  SSLEngine on    # 为虚拟主机启用 TLS
  SSLCertificateFile /etc/pki/tls/certs/demo.example.com.crt        #指定虚拟主机的证书的位置
  SSLCertificateKeyFile /etc/pki/tls/private/demo.example.com.key  #指定虚拟主机的私钥的位置
</VirtualHost>

这个例子缺少一些重要的指令,比如DocumentRoot,但是这些设置是从主配置继承的。

有许多设置可用来优化启用tls的虚拟主机的行为。它们可能控制TLS协议的版本以及支持什么会话加密协议。更详细的虚拟主机块如下所示:

<VirtualHost _default_:443>
  ErrorLog logs/ssl_error_log
  TransferLog logs/ssl_access_log
  LogLevel warn
  SSLEngine on
  SSLProtocol all -SSLv2 -SSLv3
# 指定httpd可以用来与客户端通信的协议列表。您至少应该禁用已知安全问题的SSLV2和SSLV3。
  SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
# 列出httpd在与客户端通信时可以使用的加密密码。密码的选择会严重影响性能和安全性。
  SSLHonorCipherOrder on
# 确保服务器选择ssLciphersuite列表中前面出现的密码。因此,应该首先列出最安全的密码。
  SSLCertificateFile /etc/pki/tls/certs/localhost.crt
  SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
  CustomLog logs/ssl_request_log \
           "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>

4. 将HTTP客户端重定向到HTTPS站点

通常,当HTTPS站点可用时,用户使用HTTP连接到一个网站。这不必要地降低了连接的安全性。

如果你关闭了站点的HTTP版本,这将提高安全性,但这样HTTP用户将无法连接到你的站点。一种更复杂的方法是使用HTTPS自动将任何通过HTTP连接到同一资源的客户机重定向。

要设置这些重定向,请为与TLS保护的虚拟主机相同的ServerName和serverAlias配置一个HTTP虚拟主机。得到的虚拟主机可能看起来像这样:

<VirtualHost *:80>
  ServerName www.lab.example.com
  Redirect "/" "https://www.lab.example.com"
</VirtualHost>

<VirtualHost *:443>
  ServerName www.lab.example.com
  SSLEngine On
  SSLProtocol all -SSLv2 -SSLv3
  SSLCipherSuite HIGH:MEDIUM:!aNull:!MD5
  SSLHonorCipherOrder on
  SSLCertificateFile /etc/pki/tls/certs/www.lab.example.com.crt
  SSLCertificateKeyFile /etc/pki/tls/private/www.lab.example.com.key
  DocumentRoot /srv/www/www.lab.example.com
</VirtualHost>

5. 课本练习

[student@workstation ~]$ lab web-https start

1. 同时安装httpd和mod_ssl包。

[root@servera ~]# yum -y install httpd mod_ssl

2. 创建内容目录,识别内容和适当的SELinux上下文。

[root@servera ~]# mkdir -p /srv/{www-a,servera}/www
[root@servera ~]# echo 'www-a' > /srv/www-a/www/index.html
[root@servera ~]# echo 'servera' > /srv/servera/www/index.html

[root@servera ~]# restorecon -Rv /srv/

3. 配置SSL虚拟主机

[root@servera ~]# vim /etc/httpd/conf.d/www-a.conf
<VirtualHost *:80>
ServerName www-a.lab.example.com
Redirect "/" "https://www-a.lab.example.com"
</VirtualHost>

<VirtualHost *:443>
  ServerName www-a.lab.example.com
  SSLEngine On
  SSLProtocol all -SSLv2 -SSLv3
  SSLCipherSuite HIGH:MEDIUM:!aNull:!MD5
  SSLHonorCipherOrder on
  SSLCertificateFile /etc/pki/tls/certs/www-a.lab.example.com.crt
  SSLCertificateKeyFile /etc/pki/tls/private/www-a.lab.example.com.key
  SSLCertificateChainFile /etc/pki/tls/certs/cacert.crt
  DocumentRoot /srv/www-a/www
</VirtualHost>

<Directory /srv/www-a/www>
  Require all granted
</Directory>

[root@servera ~]# cp /etc/httpd/conf.d/{www-a,servera}.conf
[root@servera ~]# sed -i 's/www-a/servera/g' /etc/httpd/conf.d/servera.conf

4. 复制已配置好的证书

[root@servera ~]# cd /etc/pki/tls/certs
[root@servera certs]# scp workstation:/home/student/www-a.lab.example.com.crt ./
root@workstation's password: redhat
[root@servera certs]# scp workstation:/home/student/servera.lab.example.com.crt ./
root@workstation's password:redhat
[root@servera certs]# scp workstation:/home/student/cacert.crt ./
root@workstation's password:redhat

[root@servera certs]# cd /etc/pki/tls/private
[root@servera private]# scp workstation:/home/student/www-a.lab.example.com.key ./
root@workstation's password: redhat
[root@servera private]# scp workstation:/home/student/servera.lab.example.com.key ./
root@workstation's password:redhat

5. 启动并启用httpd服务并打开相应的防火墙端口。

[root@servera ~]# systemctl enable --now httpd
[root@servera ~]# firewall-cmd --permanent --add-service=http --add-service=https
[root@servera ~]# firewall-cmd --reload

完成实验

[student@workstation ~]$ lab web-https finish

总结

  • 描述TLS协议。
  • 配置证书实现Https。
  • 将HTTP客户端重定向到HTTPS。
  • 若喜欢金鱼哥的文章,顺手点个赞。也可点个关注,因为后续会不断上干货。

目录
相关文章
|
22天前
|
搜索推荐 安全 网络安全
服务器支持HTTPS的时机和条件
【10月更文挑战第23天】服务器支持HTTPS的时机和条件
15 5
|
1月前
|
存储 分布式计算 druid
大数据-152 Apache Druid 集群模式 配置启动【下篇】 超详细!(一)
大数据-152 Apache Druid 集群模式 配置启动【下篇】 超详细!(一)
39 1
大数据-152 Apache Druid 集群模式 配置启动【下篇】 超详细!(一)
|
1月前
|
缓存 前端开发 应用服务中间件
CORS跨域+Nginx配置、Apache配置
CORS跨域+Nginx配置、Apache配置
135 7
|
1月前
|
消息中间件 分布式计算 druid
大数据-152 Apache Druid 集群模式 配置启动【下篇】 超详细!(二)
大数据-152 Apache Druid 集群模式 配置启动【下篇】 超详细!(二)
41 2
|
1月前
|
存储 消息中间件 druid
大数据-151 Apache Druid 集群模式 配置启动【上篇】 超详细!
大数据-151 Apache Druid 集群模式 配置启动【上篇】 超详细!
80 1
|
1月前
apache+tomcat配置多站点集群的方法
apache+tomcat配置多站点集群的方法
33 4
|
1月前
|
负载均衡 应用服务中间件 Apache
Tomcat负载均衡原理详解及配置Apache2.2.22+Tomcat7
Tomcat负载均衡原理详解及配置Apache2.2.22+Tomcat7
37 3
|
Web App开发 缓存 数据安全/隐私保护
|
2月前
|
监控 安全 搜索推荐
设置 HTTPS 协议以确保数据传输的安全性
设置 HTTPS 协议以确保数据传输的安全性
|
1月前
|
安全 网络协议 算法
HTTPS网络通信协议揭秘:WEB网站安全的关键技术
HTTPS网络通信协议揭秘:WEB网站安全的关键技术
153 4
HTTPS网络通信协议揭秘:WEB网站安全的关键技术

推荐镜像

更多