来一发CentOS体系web办事启用https

只看该作者 · 发表于 2015-1-14 20:34:33

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有帐号？立即注册

x

如果您觉得本篇CentOSLinux教程讲得好，请记得点击右边漂浮的分享程序，把好文章分享给你的小伙伴们！https
https:超文本传输宁静协定（HypertextTransferProtocolSecure）
网景在1994年创立了https

https就是利用了ssl/tls协定通讯的http
#SSL/TLS以后利用的版本
#SSL：SecureSocketLayerv3版
#TLS：TransportLayerSecurityv1版
SSL/TLS的主要性
#（1）一切信息都是加密传布，第三方没法***。
#（2）具有校验机制，一旦被改动，通讯两边会立即发明。
#（3）装备身份证书，避免身份被假充。

https与http的区分
http文本协定tcp：80端口使用层
https二进制格局的协定tcp:443端口传输层

（1）http事件与加密的https事件

登录/注册后可看大图

（2）主要观点常识先容

SSL会话
ssl握手要完成的事情：
互换协定版本号
选择但两边都撑持的加密体例
对两头完成身份考证
密钥互换
注重：SSL会话基于IP地点举行：不撑持在基于FQDN的假造主机上完成

X509.3证书格局
证书格局的版本号
证书序列号
证书署名算法
证书发表者
无效期
持有者的称号
持有者的公钥
CA的ID
持有者的ID
别的扩大信息
基础束缚
证书战略
密钥的利用限定
CA署名

PKI(PublicKeyInfrastructure)

端实体(请求者)
注册机构(RC)
签证机构(CA)-->签证机构(CA)
证书取消列表(CRL)公布机构
证书存取库

客户端考证办事器证书

日期检测：证书是不是在无效期内
证书发表者的可托度：
证书的署名检测：
持有者的身份检测：

办事器设置https

（1）确保mod_ssl模块加载

登录/注册后可看大图

假如没有加载该模块则#yum-yinstallmod_ssl*

（2）办事器自建CA(自我成为CA签发者)

创立办事器本人的私钥

#cd/etc/pki/CA进进CA目次
#(umask077;opensslgenrsa2048>private/cakey.pem)创立办事器私钥

登录/注册后可看大图

办事器自我天生CA证书

#opensslreq-new-x509-key/private/cakey.pem-outcacert.pem-days3655

登录/注册后可看大图

创立index.txt(索引文件数据库)，serial（签证编号）

#touchindex.txtserialcrlnumber
#echo01>serial

(3)客户端请求CA我们同时利用办事器做客户端

1、天生客户端本人的私钥httpd.key
#cd/etc/httpd
#(umask077;opensslgenrsa1024>httpd.key)

2、客户端天生证书签订哀求httpd.csr
#cd/etc/httpd
#opensslreq-new-keyhttpd.key-outhttpd.csr

登录/注册后可看大图