https 配置自建ca
https 配置
http over ssl = https 443/tcp
ssl: v3
tls: v1
https://
- SSL会话的简化过程
- 客户端发送可供选择的加密方式,并向服务器请求证书;
- 服务器端发送证书以及选定的加密方式给客户端;
- 客户端取得证书并进行证书验正:
如果信任给其发证书的CA:
- 验正证书来源的合法性;用CA的公钥解密证书上数字签名;
- 验正证书的内容的合法性:完整性验正
- 检查证书的有效期限;
- 检查证书是否被吊销;
- 证书中拥有者的名字,与访问的目标主机要一致;
- 客户端生成临时会话密钥(对称密钥),并使用服务器端的公钥加密此数据发送给服务器,完成密钥交换;
- 服务用此密钥加密用户请求的资源,响应给客户端;
注意:SSL会话是基于IP地址创建;所以单IP的主机上,仅可以使用一个https虚拟主机;
回顾几个术语:PKI,CA,CRL,X.509 (v1, v2, v3)
- 配置httpd支持https:
- 为服务器申请数字证书;
测试:通过私建CA发证书
- 创建私有CA
- 查看配置文件
[root@repo conf]# cat /etc/pki/tls/openssl.cnf | sed ‘/^\[[[:space:]]CA_default/,/# Comment out/p’ –n
- 创建序列号
[root@repo CA]# touch index.txt
[root@repo CA]# echo 01 > serial
[root@repo CA]# ls
certs crl index.txt newcerts private serial
[root@repo CA]# cat serial
01
- 创建ca证书
[root@repo CA]# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
[root@repo CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3560 -out /etc/pki/CA/cacert.pem
- 在服务器创建证书签署请求
- 创建服务器私钥
[root@mx2 ssl]# (umask 077; openssl genrsa -out /etc/httpd/ssl/ns2.cpe.com.key 2048)
- 生成服务器签署请求
[root@mx2 ssl]# openssl req -new -key ns2.cpe.com.key -days 365 -out ns2.cpe.com.csr
- 上传到ca服务器
[root@mx2 ssl]# scp ns2.cpe.com.csr root@172.16.31.125:/etc/pki/CA/certs/ns2.cpe.com.csr
- CA签证
[root@repo certs]# openssl ca -in ns2.cpe.com.csr -out /etc/pki/CA/certs/ns2.cpe.crt
[root@repo certs]# scp ns2.cpe.crt root@172.16.31.124:/etc/httpd/ssl/ns2.cpe.crt
ns2.cpe.crt
- 配置httpd支持使用ssl,及使用的证书;
- 查看mod_ssl是否安装
[root@mx2 conf.d]# httpd -M | grep “ssl”
- 安装mod_ssl
- [root@mx2 ssl]# yum -y install mod_ssl
- 配置ssl.conf
[root@mx2 conf.d]# vim ssl.conf
[root@mx2 conf.d]# cat ssl.conf | sed ‘/^#/d’ | sed ‘/^$/d’
Listen 443 https
SSLPassPhraseDialog exec:/usr/libexec/httpd-ssl-pass-dialog
SSLSessionCache shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout 300
SSLRandomSeed startup file:/dev/urandom 256
SSLRandomSeed connect builtin
SSLCryptoDevice builtin
<VirtualHost 172.16.31.124:443>
DocumentRoot “/var/www/html”
ServerName ns2.cpe.com:443
ErrorLog logs/ssl_error_log
TransferLog logs/ssl_access_log
LogLevel warn
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA
SSLCertificateFile /etc/httpd/ssl/ns2.cpe.crt
SSLCertificateKeyFile /etc/httpd/ssl/ns2.cpe.com.key
<Files ~ “\.(cgi|shtml|phtml|php3?)$”>
SSLOptions +StdEnvVars
</Files>
<Directory “/var/www/cgi-bin”>
SSLOptions +StdEnvVars
</Directory>
BrowserMatch “MSIE [2-5]” \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
CustomLog logs/ssl_request_log \
“%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \”%r\” %b”
</VirtualHost>
- 重启并查看mod_ssl是否成功加载
[root@mx2 conf.d]# systemctl restart httpd
[root@mx2 conf.d]# httpd -M | grep “ssl”
ssl_module (shared)
- 客户端安装ca证书
# yum -y install mod_ssl
配置文件:/etc/httpd/conf.d/ssl.conf
DocumentRoot
ServerName
SSLCertificateFile
SSLCertificateKeyFile
- 测试基于https访问相应的主机;
浏览器浏览:
# openssl s_client [-connect host:port] [-cert filename] [-CApath directory] [-CAfile filename]
[root@repo CA]# openssl s_client -connect 172.16.31.124:443 -CAfile /etc/pki/CA/cacert.pem
https 配置自建ca相关推荐
- https配置中间证书
公司最近做了一个在线课堂直播课的小程序,调用的接口使用的是phalapi框架,接口的话使用https协议访问比较安全,nginx部署https已经配置完成,上线时发现ios手机可以正常访问,但是安卓手 ...
- Android——自建CA证书,实现https请求
Android 使用https 协议请求客户端 server端操作 自己创建 CA 证书 拿自建CA 证书创建 server 端证书 创建 https 服务 Android客户端操作 创建项目并引入相 ...
- [Linux] centos 6.5 httpd 自建CA 认证 实现 https 服务
httpd 自建CA 认证 实现 https 服务 需要的软件: httpd mod_ssl openssl 本文将CA证书服务器和 httpd服务器放到一台物理机器上实现的, 可以作为学习的参考. ...
- centos 6.5 httpd 自建CA 认证 实现 https 服务
httpd 自建CA 认证 实现 https 服务 需要的软件: httpd mod_ssl openssl 本文将CA证书服务器和 httpd服务器放到一台物理机器上实现的, 可以作为学习的参考. ...
- 自建CA证书搭建https服务器
由于CA收费,所以可以自建CA,通过将CA导入浏览器实现https的效果,曾经12306购票就需要自行导入网站证书. 关于https 2015年阿里巴巴将旗下淘宝.天猫(包括移动客户端)全站启用HTT ...
- 自建CA证书以及导入到浏览器实现https安全连接
自建CA证书以及导入到浏览器实现https安全连接 安装 openssl(一般centos 系统都会自带安装好的了) 目录:/etc/pki/CA/ yum install openssl opens ...
- 利用openssl自建ca并且使apache2用自建的ca证书进行https链接(自用,,,
参考了信安实践--自建CA证书搭建https服务器 - LiBaoquan - 博客园 (cnblogs.com) 加一些关于apache的命令: sudo systemctl start apach ...
- 信安实验一:自建CA搭建https
信安实验一:自建CA搭建https 信安实验一:自建HTTPS 自建CA 创建相应文件夹 配置文件 生成CA根证书和密钥 创建服务器公私密钥 使用 CA key 对服务器证书签名 使用Apache搭建 ...
- 信安实践——自建CA证书搭建https服务器
https://www.cnblogs.com/libaoquan/p/7965873.html 1.理论知识 https简介 HTTPS(全称:Hyper Text Transfer Protoco ...
- 信息安全实践Lab1-自建CA证书搭建https服务器
title: 信息安全实践Lab1-自建CA证书搭建https服务器 date: 2021-12-21 02:44:40 tags: 信息安全 categories: 信息安全实践 信息安全实践Lab ...
最新文章
- java pdf插件下载_免费java pdf控件
- 关于http://127.0.0.1:4723/wd/hub的解释
- python创建csv文件并写入-Python 将数据写入文件(txt、csv、excel)
- 洛谷 P2596 [ZJOI2006]书架 (splay)
- Linux主要shell命令详解
- SAP Spartacus 服务器端渲染单步调试步骤之一:应用程序准备工作
- java全jit编译_JVM即时编译(JIT)(转载)
- Opencv imshow显示不出来图片
- 城市运行一网统管_【宣传活动】持续开展城市运行“一网统管”建设宣传活动...
- mysql 一对多 join_Mysql中FIND_IN_SET与JOIN在一对多关系查询时的优劣
- 一 前端基础,http协议,form表单
- 预测评价系统_「机器学习」一文读懂分类算法常用评价指标
- android 表情的正则,Android 手势 正则匹配图片实例代码
- 184.部门工资最高的员工
- 牛腩新闻发布系统——总结
- WPS简历模板的图标怎么修改_新媒体运营-简历模板范文,【工作经历+项目经验+自我评价】怎么写?...
- Objective-C 与 C++ 的区别
- python 科比投篮数据可视化及简单分析
- 3029. 【NOIP2011DAY2】观光公交
- 你是如何转行的?转行容易吗? 1