菜鳥學Linux 第054篇筆記 建立加密的http
csr (Certificate Signing Request)
crt (未找到解釋)
yum install mod_ssl
建立加密http通路步驟
1.安裝mod_ssl
2.建立私有CA
為私有CA頒發自己的證書.pem
3.在http server 生成自己的私有key
并生成私有key的證書請求檔案(請求檔案的host名字必須要和站點名字相同).csr
将該請求檔案送到私有CA處進行頒發證書,并把證書拷貝回到本地目錄.crt
4.修改/etc/httpd/conf.d/ssl.conf檔案
<VirtualHost 192.168.11.122:443> (IP為所要通路的主機名的IP)
ServerName www.mysky.com:443
DocumentRoot "/web/html"(這兩項不多做解釋)
SSLCertificateFile /etc/httpd/ssl/httpd.crt (證書檔案位置)
SSLCertificateKeyFile /etc/httpd/ssl/httpd.key(生成和私鑰位置)
</VirtualHost>
這樣即可實作http加密通路了,用戶端直接通路會提示證書不受信任
解決此問題需要将私有CA的證書拷貝到本地安裝後即提示消失
有的浏覽器還是會提示證書有問題,這是因為咱們是自己建立的CA頒發機構(你懂得)
注意事項
1.建立私有CA時需要修改/etc/pki/tls/openssl.cnf檔案
2.建立serial隻可兩位數(個人測試三位提示有問題,不清楚為何)
3.配置/etc/httpd/conf.d/ssl.conf檔案,此檔案僅在安裝mod_ssl時才會有
4.一個IP隻可建立一個加密的http傳輸
5.如果連接配接網站不成功可能iptables SELinux開啟
關閉 setenforce 0
service iptables stop
(這裡因為沒有學習此兩項是以暫時先關閉)
https 連接配接步驟
1.用戶端首先建立tcp三次握手與伺服器端
2.用戶端和伺服器端協商要使用的對稱加密算法,公鑰加密算法
3.伺服器端發送證書(證書裡有伺服器的公鑰)給用戶端
3.用戶端驗證證書如沒有問題後生成随機對稱密鑰,用伺服器的公鑰加密,傳送給server
4.用戶端發送http請求用對稱密碼加密傳送給伺服器
5.伺服器端回複http請求也用對稱密碼加密傳送給用戶端
(4,5條個人想法,上課走神了呵呵 )
本文轉自Winthcloud部落格51CTO部落格,原文連結http://blog.51cto.com/winthcloud/1884062如需轉載請自行聯系原作者
Winthcloud