菜鳥學Linux 第054篇筆記 建立加密的http

菜鳥學Linux 第054篇筆記  建立加密的http

csr (Certificate Signing Request)

crt (未找到解釋)

yum install mod_ssl

建立加密http通路步驟

1.安裝mod_ssl

2.建立私有CA

為私有CA頒發自己的證書.pem

3.在http server 生成自己的私有key

并生成私有key的證書請求檔案（請求檔案的host名字必須要和站點名字相同）.csr

将該請求檔案送到私有CA處進行頒發證書，并把證書拷貝回到本地目錄.crt

4.修改/etc/httpd/conf.d/ssl.conf檔案

<VirtualHost 192.168.11.122:443> （IP為所要通路的主機名的IP）

ServerName www.mysky.com:443  

DocumentRoot "/web/html"（這兩項不多做解釋）

SSLCertificateFile /etc/httpd/ssl/httpd.crt （證書檔案位置)

SSLCertificateKeyFile /etc/httpd/ssl/httpd.key（生成和私鑰位置）

</VirtualHost>

這樣即可實作http加密通路了，用戶端直接通路會提示證書不受信任

解決此問題需要将私有CA的證書拷貝到本地安裝後即提示消失

有的浏覽器還是會提示證書有問題，這是因為咱們是自己建立的CA頒發機構（你懂得）

注意事項

1.建立私有CA時需要修改/etc/pki/tls/openssl.cnf檔案

2.建立serial隻可兩位數（個人測試三位提示有問題，不清楚為何）

3.配置/etc/httpd/conf.d/ssl.conf檔案，此檔案僅在安裝mod_ssl時才會有

4.一個IP隻可建立一個加密的http傳輸

5.如果連接配接網站不成功可能iptables SELinux開啟

關閉 setenforce 0

service iptables stop 

（這裡因為沒有學習此兩項是以暫時先關閉）

https 連接配接步驟

1.用戶端首先建立tcp三次握手與伺服器端

2.用戶端和伺服器端協商要使用的對稱加密算法，公鑰加密算法

3.伺服器端發送證書（證書裡有伺服器的公鑰）給用戶端

3.用戶端驗證證書如沒有問題後生成随機對稱密鑰，用伺服器的公鑰加密，傳送給server

4.用戶端發送http請求用對稱密碼加密傳送給伺服器

5.伺服器端回複http請求也用對稱密碼加密傳送給用戶端 

（4，5條個人想法，上課走神了呵呵 ）

本文轉自Winthcloud部落格51CTO部落格，原文連結http://blog.51cto.com/winthcloud/1884062如需轉載請自行聯系原作者

Winthcloud