首页 > 其他 > 详细

自建的CA配置基于mod_ssl模块实现对ssl的支持

时间:2014-03-30 21:18:36      阅读:681      评论:0      收藏:1      [点我收藏+]

标签:https   mod_ssl   ssl   

https简介

    http协议在网络中是以明文传输的,自然安全性不高。https使用了ssl加密机制,弥补了这点不足。
    http:80端口
    https:443端口

案例:

    自建CA,实现一个https安全的会话机制。
    这里为了方便期间,CA和web服务器是用一台服务器共同实现
  1. web生成并提交请求

    [root@web CA]# (umask 077;openssl genrsa 1024 > httpd.key)
    [root@web CA]# openssl req -new -key httpd.key -out httpd.csr


  2. 自建ca

    [root@web CA]# (umask 077;openssl genrsa 2048 > private/cakey.pem)
    [root@web CA]# openssl req -new -x509 -key private/cakey.pem -days 365 -out cacert.pem


  3. web服务器端发给CA签署(可以使用scp命令)
     

    [root@web ssl]# openssl ca -in httpd.csr -out httpd.crt


  4. 签署成功后有CA服务器发送个web,此时web服务器端就得到了3个相关私钥和证书

    [root@web ssl]# pwd
         /etc/httpd/conf/ssl
     [root@web ssl]# ls
     httpd.crt  httpd.csr  httpd.key


  5. 接下来开始部署我们web支持ssl功能了,想要支持ssl,apache必须加载mod-ssl模块

  6. 查看我们的apache是否已经配置支持了ssl

    [root@web ~]# grep mod_ssl /etc/httpd/conf/httpd.conf
    # (e.g. :80) if mod_ssl is being used, due to the nature of the
    [root@web ~]# grep mod_ssl /etc/httpd/conf.d/*.conf


  7. 既然grep不到,说明没有支持,此时我们需要安装一个mod_ssl

    [root@web ~]# yum -y install mod_ssl
    [root@web ~]# rpm -ql mod_ssl
    /etc/httpd/conf.d/ssl.conf
    /usr/lib64/httpd/modules/mod_ssl.so
    /var/cache/mod_ssl
    /var/cache/mod_ssl/scache.dir
    /var/cache/mod_ssl/scache.pag
    /var/cache/mod_ssl/scache.sem


  8. 查看一下新安装的配置文件吧,这里加载了ssl的模块支持,和新的端口号443等。

    [root@web ~]# vim /etc/httpd/conf.d/ssl.conf
    LoadModule ssl_module modules/mod_ssl.so
    Listen 443
    <VirtualHost _default_:443>


  9. 我们需要修改一下这个配置文件,让其知道我们的web服务器的证书在哪里,私钥在哪里,以方便把我们的证书发给客户端,并且用私钥解密客户端用我们的证书中的公钥加密的对称密码。

    <VirtualHost _default_:443>
    # General setup for the virtual host, inherited from global configuration
    DocumentRoot "/var/www/html"
    ServerName www.magelinux.com:443--------要与证书申请时对应
    ErrorLog logs/ssl_error_log-------------日志文件
    TransferLog logs/ssl_access_log
    LogLevel warn---------------------------日志级别
        SSLEngine on----------------------------是否开启ssl功能
        #   SSL Protocol support:
        # List the enable protocol levels with which clients will be able to
        # connect.  Disable SSLv2 access by default:
        SSLProtocol all -SSLv2
        #   SSL Cipher Suite:
        # List the ciphers that the client is permitted to negotiate.
        # See the mod_ssl documentation for a complete list.
        SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
        #   Server Certificate:
        SSLCertificateFile /etc/httpd/conf/ssl/httpd.crt------证书位置
        #   Server Private Key:
        SSLCertificateKeyFile /etc/httpd/conf/ssl/httpd.key---私钥位置


  10. 通过命令ss -tunl 可以看出此时443端口已经开始监听了,此时通过浏览器访问会提示证书不守信用,有风险,这是因为我们的证书是我们自建的CA签署的,客户端没有认可

    bubuko.com,布布扣XIU

  11. 将CA证书导入到我们的客户端电脑,并安装。

    bubuko.com,布布扣bubuko.com,布布扣

    bubuko.com,布布扣

  12. 当然我们也可以用openssl s_client -connect ip:443来诊断(man s_client)




本文出自 “Sysinit” 博客,请务必保留此出处http://xuqimin.blog.51cto.com/3832456/1386883

自建的CA配置基于mod_ssl模块实现对ssl的支持,布布扣,bubuko.com

自建的CA配置基于mod_ssl模块实现对ssl的支持

标签:https   mod_ssl   ssl   

原文:http://xuqimin.blog.51cto.com/3832456/1386883

(0)
(0)
   
举报
评论 一句话评论(0
0条  
登录后才能评论!
© 2014 bubuko.com 版权所有 鲁ICP备09046678号-4
打开技术之扣,分享程序人生!
             

鲁公网安备 37021202000002号