全栈https

Posted 2020-10-07 小学生^.^

前言：在httpd中使用已经被私有CA签署的证书，对外提供一个https服务

---

• 配置httpd服务支持使用https

1：配置httpd支持使用ssl，及使用的证书

yum -y install mod_ssl

 

2：通过rpm -ql mod_ssl查看mod_ssl给httpd添加的配置文件

[[email protected] ~]# rpm -ql mod_ssl

/etc/httpd/conf.d/ssl.conf

/etc/httpd/conf.modules.d/00-ssl.conf

/usr/lib64/httpd/modules/mod_ssl.so

/usr/libexec/httpd-ssl-pass-dialog

/var/cache/httpd/ssl

 

3：配置文件：/etc/httpd/conf.d/ssl.conf

# https请求的站点目录

DocumentRoot "/var/www/html"

 

# 注意：这里定义的www.uplooking.com这个FQDN与vhost.conf中定义的FQDN没有联系，也就是说，/etc/httpd/conf.d/ssl.conf文件中也可以定义FQDN的访问模式，但是是基于https的，监听的端口为443，并且在/etc/httpd/conf.d/ssl.conf文件中只能定义一个FQDN，而vhost.conf文件中可以定义多个FQDN

# 指定基于https的FQDN

ServerName www.uplooking.com

 

# 这是服务器端在CA签证后返回的证书

SSLCertificateFile /etc/httpd/ssl/httpd.crt

 

# 这是服务器端通过openssl生成的密钥

SSLCertificateKeyFile /etc/httpd/ssl/httpd.key

 

4：测试基于https访问web服务，看看是否可以解码ssl会话（需要修改/etc/hosts文件）

openssl s_client -connect www.uplooking.com:443 -CAfile /etc/pki/CA/cacert.pem

 

5：使用浏览器访问https://www.uplooking.com（需要修改hosts文件）

 

6：将cacert.pem导入到浏览器，再次反问