Https的简单配置

Posted 2020-12-05 oldyang

Https的简单配置

 

 //注意：SSL会话是基于IP地址创建；所以单IP的主机上，仅可以使用一个https虚拟主机；

 

配置httpd支持https：     

(1) 为服务器申请数字证书；      

　　测试：通过私建CA发证书      

　　　　(a) 创建私有CA：

　　　　　　创建私有CA：   openssl的配置文件：/etc/pki/tls/openssl.cnf

　　　　　　(1) 创建所需要的文件    # touch index.txt    # echo 01 > serial    #   

　　　　　　(2) CA自签证书    # (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)    

　　　　　　　　　　　　　　# openssl req -new -x509 -key /etc/pki/CA/private/cakey.epm -days 7300 -out /etc/pki/CA/cacert.pem     

　　　　　　　　　　　　　　　　-new: 生成新证书签署请求；     

　　　　　　　　　　　　　　　　-x509: 专用于CA生成自签证书；     

　　　　　　　　　　　　　　　　-key: 生成请求时用到的私钥文件；     

　　　　　　　　　　　　　　　　-days n：证书的有效期限；     

　　　　　　　　　　　　　　　　-out /PATH/TO/SOMECERTFILE: 证书的保存路径；

 

　　　　(b) 在服务器创建证书签署请求     

　　　　　　(1) 用到证书的主机生成证书请求；

　　　　　　　　# (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

　　　　　　　　# openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr

　　　　　　(2) 把请求文件传输给CA； 

　　　　　　　　# scp httpd.csr [email protected]:/path

 

　　　　(c) CA签证 

　　　　　　　　# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365    

 

(2) 配置httpd支持使用ssl，及使用的证书；      

　　# yum -y install mod_ssl

 

　　配置文件：/etc/httpd/conf.d/ssl.conf       

　　　　DocumentRoot       

　　　　ServerName       

　　　　SSLCertificateFile       

　　　　SSLCertificateKeyFile     

(3) 测试基于https访问相应的主机；      

　　# openssl s_client [-connect host:port] [-cert filename] [-CApath directory] [-CAfile filename]