author:JevonWei
版权声明:原创作品
在httpd安装完成的基础上实现https加密
-
安装mod_ssl软件包
yum -y install mod_ssl
http -M 显示mod_ssl模块已加载
service httpd restart
CA服务端搭建CA证书
openssl配置文件/etc/pki/tls/openssl.cnf
-
/etc/pki/tls/openssl.cnf
CA相关文件都在/etc/pki/CA/目录下
/etc/pki/CA/cert 存放发布证书
/etc/pki/CA/crl 证书吊销列表
/etc/pki/CA/index.txt 证书编号等索引数据库文件
/etc/pki/CA/newcerts 新颁发证书存放目录
/etc/pki/CA/cacert.pem CA服务端的自签名证书
/etc/pki/CA/serial 下一个将要颁发证书的序列号
/etc/pki/CA/crlnumber 吊销证书的编号
/etc/pki/CA/crl.pem 吊销证书存放的文件
/etc/pki/CA/private/cakey.pem 证书的私钥文件 -
CA服务端创建所需要的文件
[root@danran app]# touch /etc/pki/CA/index.txt 生成证书的索引数据库文件
[root@danran app]# echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号,序列号必须为两位,且序列号是十六进制存储 -
CA服务端生成自签名证书
(umask 066;openssl genrsa -out private/cakey.pem 1024) 创建秘钥
生成自签名证书
openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
req 请求
-new:生成新证书签署请求
-x509:专用于CA生成自签证书
-key:生成请求时用到的私钥文件
-days n:证书的有效期限
-out 输出CA自签名文件
-
http服务端申请生成证书申请文件
mkdir /etc/httpd/conf.d/ssl 存放http服务的证书文件
(umask 066;openssl genrsa -out /etc/httpd/conf.d/ssl/httpd.key 1024) 生成私钥文件
openssl req -new -key /etc/httpd/conf.d/ssl/httpd.key -out /etc/httpd/conf.d/ssl/httpd.csr 生成证书申请文件
scp /etc/httpd/conf.d/ssl/httpd.csr 192.168.198.128:/etc/pki/CA \将证书请求文件传送给CA服务端申请证书
-
CA服务端为http服务颁发证书
openssl ca -in /etc/pki/CA/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 10
scp /etc/pki/CA/certs/httpd.crt 192.168.198.136:/etc/httpd/conf.d/ssl 将颁发的证书发送给http服务端配置
scp /etc/pki/CA/cacert.pem 192.168.198.136:/etc/httpd/conf.d/ssl 将ca服务端的CA证书也发送给httpd的服务端 -
http服务端配置httpd支持使用ssl
vim /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/httpd/conf.d/ssl/httpd.crt \证书文件路径 SSLCertificateKeyFile /etc/httpd/conf.d/ssl/httpd.key \证书申请秘钥文件 SSLCACertificateFile /etc/httpd/conf.d/ssl/cacert.pem \CA服务端的CA证书
-
访问测试https加密
httpd服务的搭建参考
http://119.23.52.191/httpd常用配置/
http://www.cnblogs.com/JevonWei/p/7275844.html